странности во взаимодействии расширенных списков контроля доступа Linux и «обычных» разрешений

Question

Мы видели что-то подобное в наших экспериментах с ACL Linux, особенно через Samba. Но в большинстве случаев, даже если обычные биты разрешения/режима файла изменяются странным образом, система по-прежнему работает в целом так, как и предполагалось.

Я помню, как где-то читал (не помню где, извините), что при создании файлов (возможно, через Samba) разрешения ACL не были правильно отражены в битах режима, пока данные не были записаны в файл. Это могло повлиять на файлы, созданные с помощью, например, touch.

Еще один вопрос, который следует рассмотреть, — это необходимость установки списков контроля доступа по умолчанию.

Мы используем что-то подобное при создании нового каталога с файлами, защищенными ACL; последняя команда, с getfacl, подключенным к setfacl, копирует текущие установленные ACL, которые будут использоваться в качестве ACL по умолчанию для новых файлов, создаваемых в этом каталоге:

chown --recursive $username:$userrole /home/data/private/$datadir
chmod --recursive u=rwx,g=,o= /home/data/private/$datadir

# remove previous ACLs
setfacl --recursive --remove-all /home/data/private/$datadir

# User/group access for owner, group leader and web server
setfacl --recursive -m u:$username:rwx /home/data/private/$datadir
setfacl --recursive -m g:RGLeader:rx /home/data/private/$datadir
setfacl --recursive -m u:www-data:rwx /home/data/private/$datadir

# Copy access modes to default access modes
getfacl --access /home/data/private/$datadir | setfacl --recursive -d -M- /home/data/private/$datadir

Answer 1

Мы видели что-то подобное в наших экспериментах с ACL Linux, особенно через Samba. Но в большинстве случаев, даже если обычные биты разрешения/режима файла изменяются странным образом, система по-прежнему работает в целом так, как и предполагалось.

Я помню, как где-то читал (не помню где, извините), что при создании файлов (возможно, через Samba) разрешения ACL не были правильно отражены в битах режима, пока данные не были записаны в файл. Это могло повлиять на файлы, созданные с помощью, например, touch.

Еще один вопрос, который следует рассмотреть, — это необходимость установки списков контроля доступа по умолчанию.

Мы используем что-то подобное при создании нового каталога с файлами, защищенными ACL; последняя команда, с getfacl, подключенным к setfacl, копирует текущие установленные ACL, которые будут использоваться в качестве ACL по умолчанию для новых файлов, создаваемых в этом каталоге:

chown --recursive $username:$userrole /home/data/private/$datadir
chmod --recursive u=rwx,g=,o= /home/data/private/$datadir

# remove previous ACLs
setfacl --recursive --remove-all /home/data/private/$datadir

# User/group access for owner, group leader and web server
setfacl --recursive -m u:$username:rwx /home/data/private/$datadir
setfacl --recursive -m g:RGLeader:rx /home/data/private/$datadir
setfacl --recursive -m u:www-data:rwx /home/data/private/$datadir

# Copy access modes to default access modes
getfacl --access /home/data/private/$datadir | setfacl --recursive -d -M- /home/data/private/$datadir

странности во взаимодействии расширенных списков контроля доступа Linux и «обычных» разрешений

решение1

Связанный контент