Ich versuche, den Befehl in einem Verzeichnis auszuführen ls
, das über ACL-Berechtigungen für den Eigentümer und die Gruppe des Verzeichnisses verfügt (ohne dass Standard-POSIX-Berechtigungen festgelegt sind). Dies führt zu einer verweigerten Berechtigung, obwohl getfacl
angegeben wird, dass der Benutzer dazu in der Lage sein sollte.
Folgendes mache ich:
- Erstellen Sie ein Verzeichnis und eine Datei darin.
mkdir /tmp/mydir && touch /tmp/mydir/myfile
ls
Überprüfen Sie, ob ich in diesem Verzeichnis ausführen kann .
jgazula@gazula:/tmp$ ls -al /tmp/mydir/
total 896
drwxrwxr-x 2 jgazula jgazula 4096 Nov 1 11:57 .
drwxrwxrwt 25 root root 909312 Nov 1 11:57 ..
-rw-rw-r-- 1 jgazula jgazula 0 Nov 1 11:57 myfile
- Entfernen wir nun alle Standard-POSIX-Berechtigungen für dieses Verzeichnis.
chmod 000 /tmp/mydir
- Überprüfen Sie die Berechtigungen.
jgazula@gazula:/tmp$ ls -al /tmp | grep mydir
d--------- 2 jgazula jgazula 4096 Nov 1 11:57 mydir
- Dazu sollten wir
ls
jetzt nicht in der Lage sein.
jgazula@gazula:/tmp$ ls -al /tmp/mydir/
ls: cannot open directory '/tmp/mydir/': Permission denied
- Legen Sie die ACL-Berechtigungen für den
jgazula
Benutzer und die Gruppe fest.
sudo setfacl --mask -Rm u:jgazula:rwx,g:jgazula:rwx /tmp/mydir/
- Überprüfen Sie die ACL-Berechtigungen.
jgazula@gazula:/tmp$ getfacl -ep /tmp/mydir/
# file: /tmp/mydir/
# owner: jgazula
# group: jgazula
user::---
user:jgazula:rwx #effective:rwx
group::--- #effective:---
group:jgazula:rwx #effective:rwx
mask::rwx
other::---
- Da die ACL-Berechtigungen (einschließlich der effektiven Berechtigungen) gut aussehen, sollte ich in der Lage sein,
ls
das Verzeichnis auszuführen?
jgazula@gazula:/tmp$ ls -al /tmp/mydir/
ls: cannot open directory '/tmp/mydir/': Permission denied
Aber ich kann nicht und ich verstehe nicht, warum.
- Interessanterweise wurden die Gruppenberechtigungsbits gesetzt, als ich die Standard-POSIX-Berechtigungen überprüfte. Ich bin mir nicht sicher, warum nur die Gruppenberechtigungen aktualisiert wurden.
jgazula@gazula:/tmp$ ls -al /tmp | grep mydir
d---rwx---+ 2 jgazula jgazula 4096 Nov 1 12:13 mydir
- Lassen Sie uns die ACL-Berechtigungen für den Besitzer und die Gruppe festlegen (d. h. den Besitzer/die Gruppe aus dem Befehl weglassen).
sudo setfacl --mask -Rm u::rwx,g::rwx /tmp/mydir/
- Überprüfen Sie die ACL-Berechtigungen erneut.
jgazula@gazula:/tmp$ getfacl -ep /tmp/mydir/
# file: /tmp/mydir/
# owner: jgazula
# group: jgazula
user::rwx
user:jgazula:rwx #effective:rwx
group::rwx #effective:rwx
group:jgazula:rwx #effective:rwx
mask::rwx
other::---
- Überprüfen Sie, ob ich jetzt ausführen kann
ls
.
jgazula@gazula:/tmp$ ls -al /tmp/mydir/
total 896
drwxrwx---+ 2 jgazula jgazula 4096 Nov 1 11:57 .
drwxrwxrwt 25 root root 909312 Nov 1 11:57 ..
-rwxrwxr--+ 1 jgazula jgazula 0 Nov 1 11:57 myfile
Warum funktioniert Schritt 6 nicht von alleine? Ich lege die ACL-Berechtigungen explizit für einen Benutzer und eine Gruppe fest. Warum muss ich Schritt 11 ausführen?
Antwort1
Wenn Sie ausführen sudo setfacl --mask -Rm u:jgazula:rwx,g:jgazula:rwx /tmp/mydir/
, erstellen Sie einen ACL_USER
Eintrag für den Benutzer jgazula
. Der Eintrag ACL_USER_OBJ
für den Eigentümer der Datei ist jedoch immer noch ---
. (Sie können dies in der getfacl
Ausgabe in Schritt 7 sehen.)
Laut lautet man ACL
der Algorithmus zur Zugriffsprüfung:
1. If the effective user ID of the process matches the user ID of the file object owner, then if the ACL_USER_OBJ entry contains the requested permissions, access is granted, else access is denied. 2. else if the effective user ID of the process matches the qualifier of any entry of type ACL_USER, then if the matching ACL_USER entry and the ACL_MASK entry contain the requested permissions, access is granted, else access is denied.
Der ACL_USER
Eintrag wird also nicht einmal überprüft.
Im Wesentlichen gibt es die gleiche Frage zu Serverfault:ACL: Erteilen von - - - Berechtigungen für den Besitzer der Datei. (Aber es sieht so aus, als wäre die Antwort dort ACL_USER
umgekehrt ACL_USER_OBJ
.)