Estoy intentando ejecutar el ls
comando en un directorio que tiene permisos acl para el propietario y el grupo del directorio (sin permisos posix estándar establecidos). Esto da como resultado un Permiso denegado aunque getfacl
dice que el usuario debería poder hacerlo.
Esto es lo que estoy haciendo:
- Crea un directorio y un archivo dentro de él.
mkdir /tmp/mydir && touch /tmp/mydir/myfile
- Compruebe si puedo ejecutar
ls
en este directorio.
jgazula@gazula:/tmp$ ls -al /tmp/mydir/
total 896
drwxrwxr-x 2 jgazula jgazula 4096 Nov 1 11:57 .
drwxrwxrwt 25 root root 909312 Nov 1 11:57 ..
-rw-rw-r-- 1 jgazula jgazula 0 Nov 1 11:57 myfile
- Ahora, eliminemos todos los permisos posix estándar en este directorio.
chmod 000 /tmp/mydir
- Verifique los permisos.
jgazula@gazula:/tmp$ ls -al /tmp | grep mydir
d--------- 2 jgazula jgazula 4096 Nov 1 11:57 mydir
- No deberíamos poder hacerlo
ls
ahora.
jgazula@gazula:/tmp$ ls -al /tmp/mydir/
ls: cannot open directory '/tmp/mydir/': Permission denied
- Establezca los permisos de ACL para el
jgazula
usuario y el grupo.
sudo setfacl --mask -Rm u:jgazula:rwx,g:jgazula:rwx /tmp/mydir/
- Verifique los permisos de acl.
jgazula@gazula:/tmp$ getfacl -ep /tmp/mydir/
# file: /tmp/mydir/
# owner: jgazula
# group: jgazula
user::---
user:jgazula:rwx #effective:rwx
group::--- #effective:---
group:jgazula:rwx #effective:rwx
mask::rwx
other::---
- Dado que los permisos acl (incluidos los permisos efectivos) se ven bien, ¿debería poder ejecutarlos
ls
en el directorio?
jgazula@gazula:/tmp$ ls -al /tmp/mydir/
ls: cannot open directory '/tmp/mydir/': Permission denied
Pero no puedo y no entiendo por qué.
- Curiosamente, cuando verifico los permisos posix estándar, ¿se han configurado los bits de permiso del grupo? No estoy seguro de entender por qué solo se han actualizado los permisos de grupo.
jgazula@gazula:/tmp$ ls -al /tmp | grep mydir
d---rwx---+ 2 jgazula jgazula 4096 Nov 1 12:13 mydir
- Configuremos los permisos acl para el propietario y el grupo (es decir, omitamos el propietario/grupo del comando).
sudo setfacl --mask -Rm u::rwx,g::rwx /tmp/mydir/
- Verifique los permisos de acl nuevamente.
jgazula@gazula:/tmp$ getfacl -ep /tmp/mydir/
# file: /tmp/mydir/
# owner: jgazula
# group: jgazula
user::rwx
user:jgazula:rwx #effective:rwx
group::rwx #effective:rwx
group:jgazula:rwx #effective:rwx
mask::rwx
other::---
- Compruebe si puedo ejecutar
ls
ahora.
jgazula@gazula:/tmp$ ls -al /tmp/mydir/
total 896
drwxrwx---+ 2 jgazula jgazula 4096 Nov 1 11:57 .
drwxrwxrwt 25 root root 909312 Nov 1 11:57 ..
-rwxrwxr--+ 1 jgazula jgazula 0 Nov 1 11:57 myfile
¿Por qué el paso 6 no funciona por sí solo? Estoy configurando los permisos acl explícitamente para un usuario y grupo. ¿Por qué necesito ejecutar el paso 11?
Respuesta1
Cuando ejecuta sudo setfacl --mask -Rm u:jgazula:rwx,g:jgazula:rwx /tmp/mydir/
, está creando una ACL_USER
entrada para el usuario jgazula
. Pero el mensaje ACL_USER_OBJ
para el propietario del archivo sigue siendo ---
. (Puede ver esto en el getfacl
resultado del paso 7).
Según man ACL
, el algoritmo de verificación de acceso es:
1. If the effective user ID of the process matches the user ID of the file object owner, then if the ACL_USER_OBJ entry contains the requested permissions, access is granted, else access is denied. 2. else if the effective user ID of the process matches the qualifier of any entry of type ACL_USER, then if the matching ACL_USER entry and the ACL_MASK entry contain the requested permissions, access is granted, else access is denied.
Por lo tanto, la ACL_USER
entrada ni siquiera se verifica.
Básicamente, existe la misma pregunta sobre serverfault:ACL: otorgando - - - permisos para el propietario del archivo. (Pero parece que la respuesta se ACL_USER
invirtió ACL_USER_OBJ
).