Como funcionam as permissões de grupo?

Question

gjvatsalya

Asked: 2021-11-02 08:21:48 +0800 CST2021-11-02 08:21:48 +0800 CST 2021-11-02 08:21:48 +0800 CST

Por que recebo permissão negada para um diretório com acl definido para o proprietário do diretório (depois de remover todas as permissões posix padrão)?

772

Estou tentando executar o lscomando em um diretório que possui permissões acl para o proprietário e o grupo do diretório (sem conjunto de permissões posix padrão). Isso resulta em uma permissão negada, embora getfacldiga que o usuário deve poder fazê-lo.

Aqui está o que estou fazendo:

Crie um diretório e um arquivo dentro dele.

mkdir /tmp/mydir && touch /tmp/mydir/myfile

Verifique se consigo executar lsneste diretório.

jgazula@gazula:/tmp$ ls -al /tmp/mydir/
total 896
drwxrwxr-x  2 jgazula jgazula   4096 Nov  1 11:57 .
drwxrwxrwt 25 root    root    909312 Nov  1 11:57 ..
-rw-rw-r--  1 jgazula jgazula      0 Nov  1 11:57 myfile

Agora, vamos remover todas as permissões posix padrão neste diretório.

chmod 000 /tmp/mydir

Verifique as permissões.

jgazula@gazula:/tmp$ ls -al /tmp | grep mydir
d---------  2 jgazula jgazula   4096 Nov  1 11:57 mydir

Não deveríamos poder lsagora.

jgazula@gazula:/tmp$ ls -al /tmp/mydir/
ls: cannot open directory '/tmp/mydir/': Permission denied

Defina as permissões de acl para o jgazulausuário e grupo.

sudo setfacl --mask -Rm u:jgazula:rwx,g:jgazula:rwx /tmp/mydir/

Verifique as permissões de acl.

jgazula@gazula:/tmp$ getfacl -ep /tmp/mydir/
# file: /tmp/mydir/
# owner: jgazula
# group: jgazula
user::---
user:jgazula:rwx        #effective:rwx
group::---          #effective:---
group:jgazula:rwx       #effective:rwx
mask::rwx
other::---

Como as permissões acl (incluindo as permissões efetivas) parecem boas, devo poder executar lsno diretório?

jgazula@gazula:/tmp$ ls -al /tmp/mydir/
ls: cannot open directory '/tmp/mydir/': Permission denied

Mas não posso e não entendo o porquê.

Curiosamente, quando eu verifico as permissões posix padrão, os bits de permissão do grupo foram definidos? Não tenho certeza se entendi por que apenas as permissões de grupo foram atualizadas.

jgazula@gazula:/tmp$ ls -al /tmp | grep mydir
d---rwx---+  2 jgazula jgazula   4096 Nov  1 12:13 mydir

Vamos definir as permissões de acl para o proprietário e o grupo (ou seja, omita o proprietário/grupo do comando).

sudo setfacl --mask -Rm u::rwx,g::rwx /tmp/mydir/

Verifique as permissões de acl novamente.

jgazula@gazula:/tmp$ getfacl -ep /tmp/mydir/
# file: /tmp/mydir/
# owner: jgazula
# group: jgazula
user::rwx
user:jgazula:rwx        #effective:rwx
group::rwx          #effective:rwx
group:jgazula:rwx       #effective:rwx
mask::rwx
other::---

Verifique se posso executar lsagora.

jgazula@gazula:/tmp$ ls -al /tmp/mydir/
total 896
drwxrwx---+  2 jgazula jgazula   4096 Nov  1 11:57 .
drwxrwxrwt  25 root    root    909312 Nov  1 11:57 ..
-rwxrwxr--+  1 jgazula jgazula      0 Nov  1 11:57 myfile

Por que o passo 6 não funciona sozinho? Estou definindo as permissões de acl explicitamente para um usuário e grupo. Por que preciso executar a etapa 11?

1 respostas

Voted

Nick Matteo · Answer 1 · 2021-11-02T09:36:53+08:00

Best Answer

Nick Matteo

2021-11-02T09:36:53+08:002021-11-02T09:36:53+08:00

Ao executar sudo setfacl --mask -Rm u:jgazula:rwx,g:jgazula:rwx /tmp/mydir/, você está criando uma ACL_USERentrada para usuário jgazula. Mas o ACL_USER_OBJpara o proprietário do arquivo ainda é ---. (Você pode ver isso na getfaclsaída na etapa 7.)

De acordo com man ACL, o algoritmo de verificação de acesso vai:

1.   If the effective user ID of the process matches the user ID of the file object owner, then
           if the ACL_USER_OBJ entry contains the requested permissions, access is granted,
           else access is denied.

2.   else if the effective user ID of the process matches the qualifier of any entry of type ACL_USER, then
           if the matching ACL_USER entry and the ACL_MASK entry contain the requested permissions, access is granted,
           else access is denied.

Portanto, a ACL_USERentrada nunca é verificada.

Há essencialmente a mesma pergunta no serverfault: ACL: dando - - - permissões para o proprietário do arquivo . (Mas parece que a resposta ficou ACL_USERvs ACL_USER_OBJinvertida.)

2

Por que recebo permissão negada para um diretório com acl definido para o proprietário do diretório (depois de remover todas as permissões posix padrão)?

Possível firmware ausente /lib/firmware/i915/* para o módulo i915

Falha ao buscar o repositório de backports jessie

Como exportar uma chave privada GPG e uma chave pública para um arquivo

Como podemos executar um comando armazenado em uma variável?

Como configurar o systemd-resolved e o systemd-networkd para usar o servidor DNS local para resolver domínios locais e o servidor DNS remoto para domínios remotos?

apt-get update error no Kali Linux após a atualização do dist [duplicado]

Como ver as últimas linhas x do log de serviço systemctl

Nano - pule para o final do arquivo

erro grub: você precisa carregar o kernel primeiro

Como baixar o pacote não instalá-lo com o comando apt-get?

Por que recebo permissão negada para um diretório com acl definido para o proprietário do diretório (depois de remover todas as permissões posix padrão)?

1 respostas

relate perguntas