Informe de Configuración: ACLs para Nodo Virt-metadatos

Fecha:

2026-03-20

Responsable:

Administrador de Sistemas (Gemini AI Collaboration)

Estado:

Implementado

Referencia:

Infraestructura IdM / Almacenamiento NAS

Introducción

Este documento detalla la configuración de permisos avanzados mediante Listas de Control de Acceso (ACLs) para permitir que el usuario técnico virt-admin gestione archivos de configuración y metadatos de virtualización en una ruta específica dentro del almacenamiento persistente.

Objetivos

  • Permitir acceso de lectura y escritura a virt-admin en el directorio de metadatos.

  • Garantizar la navegabilidad (traversing) a través de rutas con permisos restrictivos (como el HOME del usuario).

  • Evitar la propagación del bit de ejecución en archivos de datos (.xml, .rst, .sh), restringiéndolo exclusivamente a directorios.

  • Mantener la integridad de los permisos originales para el propietario raul-ipa y el grupo raul.

Análisis de la Estructura

La ruta de trabajo es un enlace simbólico que apunta a un volumen NFS/NAS montado:

  • Ruta Lógica: /home/raul-ipa/Documents/Virt-metadatos/

  • Destino Real: /mnt/datos_raul/home_config/Documents/Virt-metadatos/

Configuración Aplicada

Acceso de Tránsito

Se ha habilitado el bit de ejecución (x) para virt-admin en el nivel superior (/home/raul-ipa). Esto permite al usuario atravesar el directorio sin necesidad de listar su contenido, manteniendo la privacidad de otros archivos del usuario.

Gestión de Permisos en Destino

Se ha implementado una configuración asimétrica para garantizar la operatividad:

  1. Directorios: Se ha asignado rwx (Lectura, Escritura y Ejecución) para permitir la entrada en subcarpetas y la creación/eliminación de objetos.

  2. Archivos: Se ha restringido a rw- (Lectura y Escritura). Se ha realizado una limpieza selectiva para asegurar que ningún archivo de texto o script herede accidentalmente permisos de ejecución.

  3. Herencia (Default ACLs): Se han configurado reglas de herencia en el directorio raíz para que cualquier objeto creado en el futuro por cualquier usuario mantenga la accesibilidad para virt-admin de forma automática.

Verificación de Seguridad

Tras la aplicación, se han confirmado los siguientes estados:

  • Aislamiento: virt-admin puede navegar hasta el destino pero recibe Permission Denied si intenta listar el contenido del Home o escribir fuera del área autorizada.

  • Transparencia: El propietario original (raul-ipa) mantiene su capacidad de gestión total.

  • Coherencia: La máscara de ACL (mask) ha sido ajustada para no bloquear los permisos efectivos necesarios para la navegación.

Implementación Técnica

Los comandos específicos de setfacl y la lógica de limpieza mediante find utilizados en este proceso están documentados y automatizados en el script de mantenimiento:

Archivo de referencia: ACLsVirtMetadatos.sh

Note

Cualquier modificación futura en la estructura de subdirectorios dentro de Virt-metadatos debería realizarse preferiblemente a través del script mencionado para asegurar la consistencia de los bits de ejecución.