Mối quan hệ nào ràng buộc mặt nạ ACL và quyền nhóm tiêu chuẩn trên một tệp?

Đầu tiên tôi tạo một tệp và kiểm tra các quyền và tiêu chuẩn ACL của nó:

$ touch file; ls -l file; getfacl file
-rw-r--r-- 1 user user 0 Jul 30 16:26 file
# file: file
# owner: user
# group: user
user::rw-
group::r--
other::r--

Sau đó, tôi đặt mặt nạ ACL trên tệp và kiểm tra lại các quyền và tiêu chuẩn ACL của nó:

$ setfacl -m mask:rwx file
$ ls -l file; getfacl file
-rw-rwxr--+ 1 user user 0 Jul 30 16:26 file
# file: file
# owner: user
# group: user
user::rw-
group::r--
mask::rwx
other::r--

Lưu ý rằng cùng với quyền của nhóm mặt nạ ACL trên tệp cũng thay đổi.

1. Mối liên hệ nào tồn tại giữa mặt nạ ACL và quyền nhóm tiêu chuẩn?
2. Lý do cho việc ghép mặt nạ ACL và quyền nhóm tệp là gì? Logic gì nằm đằng sau nó?

Các bản phân phối trong câu hỏi là Debian Linux 7.6 và CentOS 7

BIÊN TẬP

Tại thời điểm này tôi chỉ muốn chia sẻ một số phát hiện của tôi mà tôi đã đưa ra trong khi nghiên cứu mối quan hệ giữa các quyền của nhóm tệp tiêu chuẩn và mặt nạ ACL. Dưới đây là những quan sát thực nghiệm tôi tìm thấy:

1. Mặt nạ ACL có thể được thay đổi:

   1. bằng cách trực tiếp thiết lập nó bằng setfacl -m m:<perms>lệnh;
   2. bằng cách thay đổi quyền của nhóm tệp bằng chmodlệnh (nếu mặt nạ ACL đã có sẵn; nó có thể không xuất hiện vì nó là tùy chọn nếu không có quyền ACL của người dùng hoặc nhóm được đặt tên trên tệp);
   3. bằng cách thêm mục nhập ACL của người dùng hoặc nhóm được đặt tên (mặt nạ sẽ được tự động tính toán lại).

2. Mặt nạ sẽ thực thi quyền truy cập tối đa (nếu có các mục ACL có quyền vượt quá quyền truy cập mặt nạ ACL) chỉ khi mặt nạ được đặt trực tiếp bởi setfacl hoặc bằng cách sửa đổi quyền của nhóm tệp bằng chmod (không được tính toán tự động). Mọi thay đổi đối với các mục ACL sẽ kích hoạt tính toán lại tự động mặt nạ ACL và tắt "chế độ thực thi" một cách hiệu quả.

3. Có một số tác dụng phụ ảnh hưởng ngầm đến quyền của nhóm tệp tiêu chuẩn khi sử dụng ACL:

   1. Mục nhập ACL của người dùng hoặc nhóm được đặt tên được áp dụng cho một tệp có thể thay đổi mặt nạ ACL (tăng quyền của nó) và do đó, quyền của nhóm tệp hiệu quả. Ví dụ: nếu bạn, với tư cách là chủ sở hữu tệp, có quyền "rw-r - r-- jim student" được đặt trên đó và bạn cũng cấp quyền rw cho người dùng "jack", bạn cũng sẽ cấp quyền rw cho bất kỳ ai từ nhóm "sinh viên".
   2. Mặt nạ ACL nghiêm ngặt hơn (ít quyền hơn) có thể xóa vĩnh viễn quyền truy cập nhóm tệp tiêu chuẩn tương ứng. Ví dụ: nếu bạn có một tệp có quyền truy cập nhóm tệp chuẩn rw và bạn áp dụng mặt nạ ACL chỉ đọc cho tệp thì quyền của nhóm sẽ giảm xuống chỉ đọc. Sau đó, nếu bạn xóa tất cả các mục ACL mở rộng (bằng setfacl -blệnh), các quyền của nhóm sẽ ở chế độ chỉ đọc. Điều này chỉ áp dụng cho mặt nạ ACL chặt chẽ hơn, mặt nạ ACL mềm hơn (nhiều quyền hơn) không thay đổi vĩnh viễn quyền của nhóm tệp gốc sau khi bị xóa.

Sẽ không có nghĩa gì nếu các quyền của tệp unix không đồng ý với mục nhập acl và ngược lại. Theo đó, trang hướng dẫn ( acl(5)) cho biết những gì bạn yêu cầu:

ĐÚNG CÁCH GIỮA ACL ENTRIES VÀ FITS PERMISSION BITS

Các quyền được xác định bởi ACL là một siêu quyền của các quyền được chỉ định bởi các bit quyền của tệp.

Có sự tương ứng giữa chủ sở hữu tệp, nhóm và các quyền khác và các mục nhập ACL cụ thể: quyền của chủ sở hữu tương ứng với các quyền của mục nhập ACL_USER_OBJ. Nếu ACL có mục ACL_MASK, quyền của nhóm tương ứng với quyền của mục ACL_MASK. Mặt khác, nếu ACL không có mục ACL_MASK, các quyền của nhóm tương ứng với các quyền của mục ACL_GROUP_OBJ. Các quyền khác tương ứng với các quyền của mục nhập ACL_OTHER_OBJ.

Chủ sở hữu tệp, nhóm và các quyền khác luôn khớp với các quyền của mục nhập ACL tương ứng. Việc sửa đổi các bit quyền của tệp dẫn đến việc sửa đổi các mục ACL được liên kết và sửa đổi các mục ACL này dẫn đến việc sửa đổi các bit cho phép của tệp.

Phụ lục trả lời thảo luận:

Lý do cho việc ghép mặt nạ ACL và quyền nhóm tệp là gì? Logic gì nằm đằng sau nó?

Một lời giải thích tốt là ở đây . Về bản chất, mặt nạ là một

[...] Giới hạn trên của các quyền mà bất kỳ mục nào trong lớp nhóm sẽ cấp.

Thuộc tính ràng buộc trên này đảm bảo rằng các ứng dụng POSIX.1 không biết về ACL sẽ không đột ngột và bất ngờ bắt đầu cấp quyền bổ sung sau khi ACL được hỗ trợ.

Trong các ACL tối thiểu, các quyền của nhóm nhóm giống hệt với các quyền của nhóm sở hữu. Trong các ACL mở rộng, lớp nhóm có thể chứa các mục nhập cho người dùng hoặc nhóm bổ sung. Điều này dẫn đến một vấn đề: một số trong các mục bổ sung này có thể chứa các quyền không có trong mục nhập nhóm sở hữu, do đó, quyền sở hữu mục nhập nhóm có thể khác với quyền của nhóm nhóm.

Vấn đề này được giải quyết bằng đức tính của mục mặt nạ. Với ACL tối thiểu, quyền nhóm lớp ánh xạ tới quyền truy cập nhóm sở hữu. Với ACL mở rộng, quyền nhóm lớp ánh xạ tới quyền truy cập mặt nạ, trong khi mục nhập nhóm sở hữu vẫn xác định quyền sở hữu nhóm. Ánh xạ của các quyền lớp nhóm không còn là hằng số.

Cuối cùng tôi đã hiểu chính xác những gì đang xảy ra khi tôi thấy liên kết này Xử lý ACL

Cụ thể, mặt nạ đó về cơ bản thay thế và hoạt động để thay thế NAMED USER và tất cả các quyền của NHÓM. Điều này có nghĩa là nếu bạn:

1. điều chỉnh mặt nạ, bạn thay đổi quyền tối đa của nhóm,
2. nếu bạn thay đổi bất kỳ quyền của nhóm với mặt nạ hiện diện, mặt nạ sẽ có quyền tối đa của nhóm trong tất cả các quyền của nhóm
3. quyền đọc, ghi và thực thi nhóm được xác định dựa trên mặt nạ, nếu có

Hy vọng điều này sẽ giúp.

Logic gì nằm đằng sau nó?

Logic hoàn toàn bị phá vỡ và do đó POSIX ACL là vô nghĩa và vô nghĩa.

Nếu họ nhằm duy trì khả năng tương thích với các ứng dụng mà không có khái niệm về ACL trừ tiêu chuẩn nguyên thủy UNIX' ugo "mô hình, họ thực sự đã thất bại ngay từ đầu vì bây giờ mọi ứng quyền Clears nhóm được thu hồi có hiệu quả truy cập thêm bởi ACL.