主页 / unix / 问题 / 726998
Accepted
Damn Vegetables
Asked: 2022-12-02 13:35:42 +0800 CST

将默认 ACL rwx 设置为一个目录,不能作为用户创建子目录

  • 772

作为root,我创建/test并设置了默认的 ACL

setfacl -m -d dog:rwx /test

我验证了 getfacl 的输出

# file: test
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:dog:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

现在,作为用户dog,如果我尝试在中创建一个目录/test,我会得到

mkdir: can't create directory 'sub': Permission denied

为什么会这样?如果我在没有默认设置的情况下设置 facl,则 getfacl 显示user:dog:rwx而不是default:user:dog:rwxdog可以在那里创建一个子目录。

注意:它是在 VM 内部测试的,并且 VM 屏幕上的文本不可复制,所以我添加了屏幕截图。 在此处输入图像描述

permissions

1 个回答

  1. Best Answer

    在分配 ACL 时使用setfacl -m -d ...和具有不同的行为。默认 ACL用于继承setfacl -m ...。因此,当您想要将acl 权限授予用户并分配默认 ACL以继承某些目录下的权限时,您必须分配ACL 。

    解释

    首先,我将目录(作为 root)/test并检查其权限:

    $> mkdir /test ; ls -ld /test 
#Output
drwxr-xr-x 2 root root 4096 Dec  1 17:52 test

    如您所见,组和其他默认情况下没有权限。setfacl让我们看一下这两个命令之间的区别。

    使用setfacl -m guest:rwx /test

    当我运行该命令(以 root 身份)时,我可以使用以下命令看到以下输出:

    ls -ld /test
#Output
drwxrwxr-x+ 2 root root 4096 Dec  1 17:57 test

    正如您在上面看到的,该目录现在具有该组的权限。顺便说一下,如果您使用以下方法删除ACLsetfacl --remove-all /test并且您使用ls -ld /test了,您会注意到/test权限已恢复为以前的权限 ( drwxr-xr-x)。

    getfacl -e /test
#Output
# file: test
# owner: root
# group: root
user::rwx
user:guest:rwx                  #effective:rwx
group::r-x                      #effective:r-x
mask::rwx
other::r-x

    我过去常常getfacl -e打印所有有效权限,这些权限对于了解ACL的工作原理很重要。

    现在我将尝试在用户/test目录guest下创建一个文件edgar

    (user:guest)> touch /test/fuzz
#All is ok!

    (user:edgar)> touch /test/buzz
#touch: cannot touch '/test/buzz': Permission denied

    您会注意到guest用户能够创建/test/fuzz文件而edgar不能。由于分配给的ACL,该行为是正确的guest

    使用setfacl -dm guest:rwx /test

    在我的例子中,语法setfacl -m -d guest:rwx /test无效(我使用的是 openSUSE Tumbleweed)。您也可以使用setfacl -m d:guest:rwx /test.

    现在使用默认 ACL运行命令我有以下内容:

    ls -ld /test
drwxr-xr-x+ 2 root root 4096 Dec  1 18:39 test

    getfacl -e /test
# file: test
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:guest:rwx          #effective:rwx
default:group::r-x              #effective:r-x
default:mask::rwx
default:other::r-x

    正如您现在看到的,该/test目录对组没有权限。通过使用getfacl ...我得到默认来宾用户具有rwx权限,但正如我之前所说,它们将被继承。因此,如果您希望在您的情况下dog用户可以写入/test目录,则使用:setfacl -m dog:rwx /test

    关于默认 ACL 或继承的 ACL

    1. 我将设置以下ACL默认 ACL
    #ACL
setfacl -m guest:rwx /test

#Default ACL
sudo setfacl -dm guest:r /test
    1. 现在我将以用户身份创建一个/test目录guest
    (user:guest) /test: mkdir only_r
(user:guest) /test: ls -ld only_r
drwxr-xr-x+ 2 guest guest 4096 Dec  1 19:19 only_r/
(user:guest): getfacl -e only_r
# file: only_r/
# owner: guest
# group: guest
user::rwx
user:edgar:r--                  #effective:r--
user:guest:r--                  #effective:r--
group::r-x                      #effective:r-x
mask::r-x
other::r-x
default:user::rwx
default:user:edgar:r--          #effective:r--
default:user:guest:r--          #effective:r--
default:group::r-x              #effective:r-x
default:mask::r-x
default:other::r-x
    1. 现在我将尝试更改为only_r目录并创建一个文件
    (user:guest) /test: cd only_r
(user:guest) /test/only_r: touch fuzz
(user:guest) /test/only_r: ls
fuzz

    正如你在上面所做的那样,我能够更改为 only_r 并创建一个文件,尽管 ACL 没有执行写入权限(如果目录没有执行权限,那么我就不能cd)。然而,这种行为是正确的,因为 Unix 权限和所有者drwxr-xr-x+ 2 guest guest允许guest用户cdcreate文件/test/only_r

    1. 最后,edgar我将尝试与用户cd一起/test/only_r创建一些文件:
    (user:edgar) : cd /test/only_r
cd: permission denied: /test/only_r
(user:edgar) : echo jaja > only_r/fuzzbuzz
permission denied: only_r/fuzzbuzz
    • 2

相关问题