samba权限相关零碎记录

Selinux：安全增强型Linux（SELinux）是一个Linux内核 安全模块，它提供了一种支持访问控制安全策略的机制，包括强制访问控制（MAC）。SELinux是一组内核修改和用户空间工具，已添加到各种Linux发行版中。其架构致力于将安全决策的执行与安全策略分开，并简化与安全策略实施相关的软件数量。

访问控制列表（ACL）

ACL是ACE的有序列表，用于定义适用于对象及其属性的保护。每个ACE都标识一个安全主体，并指定一组允许，拒绝或审核该安全主体的访问权限。

对象的安全描述符可以包含两个ACL：

[if !supportLists]1. [endif]一个DACL，用于标识允许或拒绝访问的用户和组

[if !supportLists]2. [endif]控制访问审核方式的SACL

当用户尝试访问文件时，Windows系统会运行AccessCheck并将安全描述符与用户访问令牌进行比较，并根据所设置的ACE评估用户是否被授予访问权限以及访问权限类型。

自由访问控制列表（DACL）

DACL（通常称为ACL）标识在对象上分配或拒绝访问权限的用户和组。它包含安全对象的配对ACE（帐户+访问权限）列表。

系统访问控制列表（SACL）

SACL使监控对安全对象的访问成为可能。SACL中的ACE确定安全事件日志中记录的访问类型。使用监控工具，如果恶意用户尝试访问受保护对象，这可能会向适当的人员发出警报，并且在事件情形中，我们可以使用日志来追溯这些步骤。最后，您可以启用日志记录以解决访问问题。

访问控制条目（ACE）

ACE最终描述了安全主体对安全对象的访问权限。DACL或SACL可以包含许多ACE。

所有ACE都包含以下访问控制信息：

[if !supportLists]1. [endif]标识用户或组的SID

[if !supportLists]2. [endif]一个指定访问权限的访问掩码

[if !supportLists]3. [endif]一组位标志，用于确定子对象是否可以继承ACE

[if !supportLists]4. [endif]一个标志，指示ACE的类型

ACE集合有两种类型：

通用ACE：

通用ACE可以具有以下类型：

- 显式允许ACE - 显式拒绝ACE - 通用拒绝ACE - 通用允许ACE - 继承拒绝ACE - 继承允许ACE - 审核允许和拒绝ACE

拒绝ACE始终优先于Allow ACE。继承的Deny ACE优先于Inherited Allow ACE。但是，如果在子对象上设置显式允许ACE，则会中断继承，并且“允许”权限优先。

显式拒绝始终优先于其对象。

在Windows系统上，在NTFS文件系统中设置对文件和文件夹的访问。当用户尝试访问文件或文件夹时，将用户访问令牌与该文件或文件夹的DACL进行比较。如果访问令牌中的SID的用户列表与任何ACE不对应，则将明确拒绝用户访问。

如果任何ACE对应于访问令牌中的任何SID，则按以下顺序评估访问：

[if !supportLists]1. [endif]明确拒绝

[if !supportLists]2. [endif]明确允许

[if !supportLists]3. [endif]继承否认

[if !supportLists]4. [endif]继承允许

Samba

访问控制列表（ACL），相对于计算机文件系统，是一个列表附加到对象的权限。一个ACL指定哪些用户或系统进程被授予访问对象，以及哪些操作是允许在给定的对象。典型ACL中的每个条目都指定主题和操作。

ACE（访问控制条目）是ACL（访问控制列表）的一部分

DACL（自主访问控制列表）？

在Microsoft Windows 2000中，附加到Active Directory中对象的内部列表，指定哪些用户和组可以访问该对象以及它们可以对该对象执行哪些操作。在Windows 2000和Windows NT中，附加到使用具有类似功能的NTFS格式化的卷上的文件或文件夹的内部列表。