Permisos extendidos: después de configurar ACL, el grupo no puede escribir

Permisos extendidos: después de configurar ACL, el grupo no puede escribir

Quiero usarsetfaclpara establecer permisos dirpara el grupo de usuarios. Hago algo como esto:

mkdir /Employee
chgrp employeers /Employee
setfacl -m d:g::rwx /Employee

Y ahora, cuando intento crear un archivo (de usuarios que son miembros de este grupo), aparece un error que dice "Sin permiso".

root@debian:~# ls -la /Employee
all 8
drwxr-xr-x+  2 root employeers 4096 maj 21 14:50 .
drwxr-xr-x  23 root root       4096 maj 21 14:50 ..

¿Qué estoy haciendo mal?

Respuesta1

des una abreviatura de default. Los permisos predeterminados y reales son independientes. Ejecute el comando setfacl por segunda vez sin d:, luego los permisos deberían funcionar como se desea. Supongo que quieres el efecto de ambos comandos.

El resultado de getfaclpuede sugerirle esta conclusión, al

  1. mostrando default:ampliado
  2. mostrando las entradas de control de acceso originales que no contienen "predeterminado", lo que indica que hay algo diferente en la entrada que realizó.

A su vez, +en el resultado de ls -l, se muestra que hay ACE que permiten accesos que de otro modo no se esperarían desde el modo básico (no hay forma de que los ACE POSIX estándar puedan negar accesos permitidos por el modo básico que ve) [1]. Después del segundo comando setfacl, notarás que el modo básico cambia a rwxrwxr-x. Esto se debe a que employeerses el grupo principal del archivo y setfacl evita crear una entrada duplicada.


[1] Las ACL de Windows y NFSv4 permiten denegar entradas. Muchos consideran que esto es una trampa de complejidad, incluida la página de manual de nfs4_acl. Naturalmente, esto significa que el orden de ACL es importante. Aparentemente, las GUI de Windows las cambian a un orden "preferido" con entradas denegadas explícitas primero y entradas heredadas al final.

información relacionada