Вы делаете слишком много предположений в своем вопросе. Если бы я просто ответил на ваш заголовок, я бы сказал «сценарий». Я не знаю общих инструментов, потому что это не то, что вы обычно делаете.

У вас есть стандартная модель разрешений Unix и списки контроля доступа . Первый управляется с помощью chmodи chflags-, другой — с помощью setfaclи getfacl.

Я не вижу никакой проблемы в просмотре списков ACL по одному за раз. Это способ работы Unix. Тогда вы сможете построить хорошие пайплайны. Если вы хотите только проверить, имеют ли файлы ACL, отличные от родительских, то создайте конвейер соответствующим образом.

Судя по вашему вопросу, вы, кажется, считаете очевидным, как вы хотите следить за вещами и держать их на месте. Но вы не приводите никаких конкретных примеров. То, что очевидно для вас, не очевидно для остальных.

Итак! Есть ли у меня сценарий для решения вашей конкретной проблемы? Нет. Даже если вы поставите тег «awk», я не собираюсь его писать:-)

Но у меня есть некоторые типичные паттерны:

1. Контролировать

ACL могут быть чрезвычайно мощными, и, настраивая все с огромным вниманием к деталям, вы можете гарантировать, что разрешения останутся такими, как вы предполагали. Это, естественно, требует, чтобы вы были ответственными. Используя правильные ACL, вы получаете нечто гораздо более мощное, чем простые пользователи/группы. Если я назначаю контроль, я приложу огромные усилия, чтобы убедиться, что все настроено так, как я хочу. Если это так, то нам следует обсудить, как избежать чрезмерной снисходительности в конкретном контексте. Если пользователи не предназначены для установки разрешений, мы должны установить их соответствующим образом. Наследование может быть проблемой, но ее можно решить.

2. Взять под контроль

Другим типичным и простым подходом может быть простой сброс разрешений. Это удобно, если больше людей имеют административный доступ.Таким образом, вместо того, чтобы полагаться на то, что выглядит нормально, определите свои узкие места и сбросьте разрешения. Если вы хотите, чтобы файлы имели те же разрешения, что и родительский, просмотрите родительские и сбросьте дочерние. Система «поможет» любому незадачливому администратору, установившему неправильные разрешения. В этом случае сценарий будет представлять собой тривиальный список chmod/chflags/setfacls/setuid.

3. Дворник

Если у вас есть действительно сложная система с ослабленной системой безопасности, и вам нужно действовать как уборщик и осознанно очищать (, а не просто взять на себя управление ), то в некоторых случаях имеет смысл изучить Системы обнаружения вторжений (IDS ). Одной из таких хорошо -известных систем может быть натяжной трос . Это помогает вам контролировать вашу систему и уведомлять вас, если происходят неожиданные изменения. В частности, вам следует обратить внимание на политику tripwire twpolicy и свойствоp - Permission & filemode bits

auditd также может вас заинтересовать.