CentOS 6.4
Snažím se lépe porozumět tomu, jak se zpracovávají pravidla ACL souborového systému a v jakém pořadí platí pravidla ACL.
Řekněme například, že uživatelé bob a joe patří do skupiny zvané prodej. Řekněme také, že mám prodejní doklad s následujícími podrobnostmi:
[[email protected] ~]# getfacl /home/foo/docs/foo.txt
getfacl: Removing leading '/' from absolute path names
# file: home/foo/docs/foo.txt
# owner: jane
# group: executives
user:: r--
user:bob:rw-
user:joe:rwx
group:sales:rwx
group::r--
mask::rwx
other::---
Moje otázka zní, jak se v příkladu, jako je tento, zpracovávají oprávnění a jaká přístupová oprávnění mají přednost?
Existuje pouze vyhledávání shora dolů a platí to, které pravidlo odpovídá prvnímu?
Nebo Linux vynucuje přístup na základě toho, jaké je nejkonkrétnější pravidlo pro daného uživatele? Nebo možná má přednost to nejvíce omezující a použitelné pravidlo?
Přijatá odpověď:
Toto je tak trochu široké téma a trochu příliš na to, aby se zde zabývalo. Odkážu vás na POSIX Access Control Lists on Linux whitepaper, které sestavil Andreas Grünbacher ze SuSE Labs. Odvádí docela dobrou práci při pokrytí tématu a jeho rozdělení, abyste pochopili, jak ACL fungují.
Váš příklad
Nyní se podívejme na váš příklad a rozeberte si ho.
- skupina (prodej)
- členové prodejní skupiny (bob, joe)
Nyní pojďme rozebrat oprávnění k souboru /home/foo/docs/foo.txt . ACL také zapouzdřují stejná oprávnění, která by většina lidí měla znát na Unixu, zejména bity User, Group a Other. Nejprve je tedy vytáhneme.
user:: r--
group::r--
other::---
Ty by obvykle vypadaly takto v ls -l :
$ ls -l /home/foo/docs/foo.txt
-r--r----- 1 jane executives 24041 Sep 17 15:09 /home/foo/docs/foo.txt
Na těchto řádcích ACL můžete vidět, kdo soubor vlastní a co je to za skupinu:
# owner: jane
# group: executives
Nyní se tedy dostáváme k těm nejhrubším ACL:
user:bob:rw-
user:joe:rwx
group:sales:rwx
Toto ukazuje uživatele bob má rw , zatímco uživatel joe má rwx . Existuje také skupina, která má také rwx podobný joe. Tato oprávnění jsou stejná jako ve sloupci uživatele v našem ls -l výstup měl 3 vlastníky (jane, bob a joe) a také 2 skupiny (výkonní pracovníci a prodej). Neexistuje žádný rozdíl kromě toho, že jsou to ACL.
Nakonec mask řádek:
mask::rwx
V tomto případě nic nemaskujeme, je to otevřené. Pokud tedy uživatelé bob a joe mají tyto řádky:
user:bob:rw-
user:joe:rwx
Pak to jsou jejich platná oprávnění. Pokud by maska byla takto:
mask::r-x
Jejich účinná oprávnění by pak vypadala takto:
user:bob:rw- # effective:r--
user:joe:rwx # effective:r-x
Toto je výkonný mechanismus pro omezování oprávnění, která jsou udělována velkoobchodně.
Související:Debian – Jak zvlnit celý obsah webové stránky?POZNÁMKA: Vlastník souboru a další oprávnění nejsou ovlivněna platnou maskou práv; všechny ostatní položky jsou! Takže s ohledem na masku jsou oprávnění ACL občany druhé třídy ve srovnání s tradičními unixovými oprávněními.
Odkazy
- getfacl(1) – manuálová stránka Linuxu
- Seznamy řízení přístupu POSIX v dokumentu Linux