Início / unix / Perguntas / 726998
Accepted
Damn Vegetables
Asked: 2022-12-02 13:35:42 +0800 CST

Defina o padrão ACL rwx para um diretório, não é possível criar um subdiretório como o usuário

  • 772

Como root, criei /teste configurei a ACL padrão com

setfacl -m -d dog:rwx /test

Eu verifiquei a saída de getfacl

# file: test
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:dog:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

Agora, como o usuário dog, se eu tentar criar um diretório em /test, recebo

mkdir: can't create directory 'sub': Permission denied

Porque isto é assim? Se eu setfacl sem o padrão, getfacl mostra user:dog:rwxem vez de default:user:dog:rwxe dogpode criar um subdiretório lá.

Observação: foi testado dentro de uma VM e o texto na tela da VM não pode ser copiado, por isso adiciono a captura de tela. insira a descrição da imagem aqui

permissions

1 respostas

  1. Best Answer

    Usando setfacl -m -d ...e setfacl -m ...têm comportamentos diferentes quando a ACL é atribuída. As ACLs padrão são usadas para serem herdadas. Portanto, você deve atribuir ACLs quando quiser conceder permissão acl a um usuário e atribuir ACLs padrão para herdar permissões em algum diretório.

    Explicação

    Primeiro, vou ao diretório (como root) /teste verifico suas permissões:

    $> mkdir /test ; ls -ld /test 
#Output
drwxr-xr-x 2 root root 4096 Dec  1 17:52 test

    Como você pode ver, o grupo e outros não têm permissões de gravação por padrão. Vamos dar uma olhada na diferença entre os dois setfaclcomandos.

    Usandosetfacl -m guest:rwx /test

    Quando executo esse comando (como root), posso ver as seguintes saídas usando os seguintes comandos:

    ls -ld /test
#Output
drwxrwxr-x+ 2 root root 4096 Dec  1 17:57 test

    Como você pode ver acima, o diretório agora tem permissões de gravação para o grupo. A propósito, se você remover ACLs usando: setfacl --remove-all /teste usar, ls -ld /testnotará que /testas permissões são revertidas para as anteriores ( drwxr-xr-x).

    getfacl -e /test
#Output
# file: test
# owner: root
# group: root
user::rwx
user:guest:rwx                  #effective:rwx
group::r-x                      #effective:r-x
mask::rwx
other::r-x

    Eu costumava getfacl -eimprimir todos os direitos vigentes que são importantes para saber como funcionam as ACLs .

    Agora vou tentar criar um arquivo no /testdiretório com gueste edgarusuários:

    (user:guest)> touch /test/fuzz
#All is ok!

    (user:edgar)> touch /test/buzz
#touch: cannot touch '/test/buzz': Permission denied

    Você pode notar que guesto usuário foi capaz de criar /test/fuzzo arquivo, mas edgarnão foi. Esse comportamento está correto devido à ACL atribuída a guest.

    Usandosetfacl -dm guest:rwx /test

    No meu caso a sintaxe setfacl -m -d guest:rwx /testnão é válida (estou usando openSUSE Tumbleweed). Você também pode usar setfacl -m d:guest:rwx /test.

    Agora, executando o comando com ACLs padrão, tenho o seguinte:

    ls -ld /test
drwxr-xr-x+ 2 root root 4096 Dec  1 18:39 test

    getfacl -e /test
# file: test
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:guest:rwx          #effective:rwx
default:group::r-x              #effective:r-x
default:mask::rwx
default:other::r-x

    Como você pode ver agora, o /testdiretório não tem permissões de gravação para o grupo. E ao usar, getfacl ...entendo que o usuário convidado padrão tem rwxpermissões, mas como eu disse antes, elas serão usadas para serem herdadas. Portanto, se você deseja que, no seu caso, dogo usuário possa gravar no /testdiretório, use: setfacl -m dog:rwx /test.

    Sobre ACLs padrão ou ACLs herdadas

    1. Vou definir o seguinte ACL e ACL padrão :
    #ACL
setfacl -m guest:rwx /test

#Default ACL
sudo setfacl -dm guest:r /test
    1. Agora vou criar um diretório /testcomo guestusuário:
    (user:guest) /test: mkdir only_r
(user:guest) /test: ls -ld only_r
drwxr-xr-x+ 2 guest guest 4096 Dec  1 19:19 only_r/
(user:guest): getfacl -e only_r
# file: only_r/
# owner: guest
# group: guest
user::rwx
user:edgar:r--                  #effective:r--
user:guest:r--                  #effective:r--
group::r-x                      #effective:r-x
mask::r-x
other::r-x
default:user::rwx
default:user:edgar:r--          #effective:r--
default:user:guest:r--          #effective:r--
default:group::r-x              #effective:r-x
default:mask::r-x
default:other::r-x
    1. Agora vou tentar mudar para only_rdir e criar um arquivo
    (user:guest) /test: cd only_r
(user:guest) /test/only_r: touch fuzz
(user:guest) /test/only_r: ls
fuzz

    Como você pode ver acima, consegui alterar para only_r e criar um arquivo, embora as ACLs não tenham permissões de execução e gravação (se um diretório não tiver permissões de execução, não posso cdfazê-lo). No entanto, este comportamento está correto porque as permissões do Unix e o proprietário drwxr-xr-x+ 2 guest guestpermitem que o guestusuário cde createos arquivos/test/only_r

    1. Finalmente, com edgaro usuário, tentarei cdcriar /test/only_ralgum arquivo:
    (user:edgar) : cd /test/only_r
cd: permission denied: /test/only_r
(user:edgar) : echo jaja > only_r/fuzzbuzz
permission denied: only_r/fuzzbuzz
    • 2

relate perguntas