バックアップに使用するユーザーがいて、setfaclそのユーザーにファイルへのアクセスを許可しています。しかし、setfaclグループの基本 ACL エントリが変更され、一部のアプリケーションではグループの基本 ACL エントリが0(読み取り、書き込み、実行不可) である必要があります。アプリケーションに干渉されることなく、バックアップ ユーザーに読み取りアクセスを許可する方法はありますか? 以下に、setfacl基本 ACL エントリがどのように干渉するかの例を示します。
user@host:/tmp$ umask 0077
user@host:/tmp$ touch a
user@host:/tmp$ ls -l a
-rw------- 1 user user 0 2012-02-01 16:28 a
user@host:/tmp$ setfacl -m u:nobody:rX a
user@host:/tmp$ ls -l a
-rw-r-----+ 1 user user 0 2012-02-01 16:28 a
user@host:/tmp$ chmod 600 a
user@host:/tmp$ getfacl a
user:nobody:r-- #effective:---
編集: バックアップ ユーザーとして root を使用することもできますが、そうすべきではないと思います。リモート システムにバックアップするために rsnapshot (rsync (ssh を使用) を使用) を使用していますが、ssh に PermitRootLogin するか、バックアップ ユーザーの uid を 0 にする必要があると思います。さらに、バックアップを自動化したいのですが、現在は ssh キーを使用してこれを行っています。バックアップ システムにバックアップされたシステムへの読み取りアクセス権があってもかまいませんが、書き込みアクセス権があったら困ります。
答え1
いいえ。POSIX ACL が存在する場合、Unix の「グループ」権限は ACL エントリにマッピングされmask::、ACL 非対応ツールとの互換性を損なわないように、すべての ACL エントリに許可される最大権限が設定されます。(ServerFaultのこの回答詳しい説明についてはこちらをご覧ください。