linux的acl 权限进阶篇

ACL 中的基本概念

ACL 的类型

1.access ACL:我们可以认为每一个对象(文件/目录)都可以关联一个 ACL 来控制其访问权限,这样的 ACL 被称为 access ACL。

2.default ACL:目录也可以关联一个 ACL 来控制在该目录中创建的对象的默认 ACL,这样的 ACL(目录关联的 ACL)被称为 default ACL。

ACL 条目

一个 ACL 由多个 ACL 条目组成。一个 ACL 条目指定一个用户或者一组用户对所关联对象的读、写、执行权限。下图展示了 ACL 条目的类型及含义:

图片[1]-linux的acl 权限进阶篇-趣考网

ACL 权限与 ugo 权限的对应关系

ACL 定义的权限是 ugo 权限的超集

  1. 文件的 owner 权限对应于 ACL 权限中的 ACL_USER_OBJ 条目。
  2. 当 ACL 权限中具有 ACL_MASK 条目时,文件的 group 权限对应于 ACL 权限中的 ACL_MASK 条目。否则,当 ACL 权限中具没有 ACL_MASK 条目时,文件的 group 权限对应于 ACL 权限中的 ACL_GROUP_OBJ 条目。
  3. 文件的 other 权限对应于 ACL 权限中的 ACL_OTHER_OBJ 条目。


文件的 ugo 权限总是与对应的 ACL 条目保持一致。修改文件的 ugo 权限会导致修改相关的 ACL 条目,同样的,修改这些 ACL 条目会导致修改对应的 ugo 权限。

文件的默认 ACL

一个文件的 access ACL 会在通过 creat()、mkdir()、mknod()、mkfifo() 和 open() 函数创建该文件时被初始化。

如果一个目录被设置了 default ACL,那么将会由文件创建函数的 mode 参数和目录的 default ACL 共同决定新文件的 ACL 权限:

  • 新的文件继承父目录的 default ACL 作为自己的 access ACL。
  • 修改与 ugo 权限对应的 access ACL 条目,使其不包含文件创建函数的 mode 参数不包含的权限。

说明:此时 umask 被忽略。

如果一个目录没有被设置 default ACL,那么将由文件创建函数的 mode 参数和 umask 共同决定新文件的 ACL 权限:

  • 新建文件的 access ACL 包含 ACL_USER_OBJ, ACL_GROUP_OBJ, 和 ACL_OTHER 条目。这些条目的权限被设置为由 umask 决定的权限。
  • 修改与 ugo 权限对应的 access ACL 条目,使其不包含文件创建函数的 mode 参数不包含的权限。

文件权限检查的算法(Access Check Algorithm)

当一个进程访问(读、写、执行)一个被 ACL 保护的文件时,文件权限检查的算法决定了是否授权给进程访问该文件。

下面我们以 下面我们以伪代码的方式来解释文件权限检查的算法:

图片[2]-linux的acl 权限进阶篇-趣考网

ACL 的文本描述格式

有两种格式来描述 ACL 条目,分别是长格式和短格式。它们非常类似,都是通过两个冒号把一个 ACL 条目分为三个部分:

ACL 条目的类型:ACL 条目 qualifier:权限信息

我们在前面已经介绍过 ACL 条目的类型,权限信息就是用 rwx 来表示的信息,不支持某个权限的话可以使用 - 表示。这里介绍一下 ACL 条目 qualifier。

  • 当 ACL 条目的类型为 ACL_USER 或 ACL_GROUP 时,ACL 条目 qualifier 包含与 ACL 条目关联的用户和组的标识符。
  • 当 ACL 条目的类型为其它时,ACL 条目 qualifier 为空。

其中的用户标识符可以是用户名也可以是 user ID,组标识符可以是组名也可以是 group ID。

下面是一组长格式的示例:

user::rw-user:lfeng:rw- #effective:r--group::r--group:lfeng:rw- #effective:r--mask::r--other::r--

下面是一组短格式的示例:

u::rw-,u:tester:rw-,g::r--,g:lfeng:rw-,m::r--,o::r--g:lfeng:rw,u:lfeng:rw,u::wr,g::r,o::r,m::r

解释几个常见的权限变化的例子

创建文件 aclfile,检查其默认的 ACL 权限信息

[lfeng@RHELNote test]$ touch aclfile[lfeng@RHELNote test]$ ll aclfile -rw-rw-r--. 1 lfeng lfeng 0 810 12:05 aclfile[lfeng@RHELNote test]$ getfacl aclfile # file: aclfile# owner: lfeng# group: lfenguser::rw-group::rw-other::r--[lfeng@RHELNote test]$

bob 用户赋予读写 aclfile 文件的权限

[lfeng@RHELNote test]$ setfacl -m u:bob:rw- aclfile [lfeng@RHELNote test]$ getfacl aclfile # file: aclfile# owner: lfeng# group: lfenguser::rw-user:bob:rw-group::rw-mask::rw-other::r--[lfeng@RHELNote test]$ ll aclfile -rw-rw-r--+ 1 lfeng lfeng 0 810 12:05 aclfile[lfeng@RHELNote test]$

在描述权限的地方多出了一个 \"+\" 号,上图中出现了 ACL_MASK 条目,这就是我们的第一个问题:
**************************************************************
我们并没有显式的设置 ACL_MASK 条目,为什么它出现了?
这是因为当添加了 ACL_USER 或 ACL_GROUP 后,必须有一个对应的 ACL_MASK 条目。在当前的情况下,ACL_MASK 是被自动创建的,它的权限被设置成了 group(其实是 group class) 的权限即 rw-。

**************************************************************

下面我们接着更新 aclfile 的 ACL 权限:

[lfeng@RHELNote test]$ setfacl -m u:bob:rwx,g:tom:r aclfile [lfeng@RHELNote test]$ ll aclfile -rw-rwxr--+ 1 lfeng lfeng 0 810 12:05 aclfile[lfeng@RHELNote test]$ getfacl aclfile # file: aclfile# owner: lfeng# group: lfenguser::rw-user:bob:rwxgroup::rw-group:tom:r--mask::rwxother::r--[lfeng@RHELNote test]$ 

在修改了 bob 的权限并添加了 tom group 的权限后,我们看到的组权限居然变成了 rwx !

这是我们的第二个问题:

**************************************************************

为什么 aclfile 文件的组权限变成了 rwx?

这是因为我们设置了 u:bob:rwx 导致的:

在设置了 ACL 权限后,group 显示的权限为 ACL_MASK 条目中的权限。而 ACL_MASK 条目中的权限表示 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目能够被授予的最大权限,所以当 bob 被设置了 rwx 权限时,ACL_MASK 条目中的权限也发生了相应的变化。并最终导致我们看到了上面的结果:-rw-rwxr--+。

*************************************************************

用户 bob 具有 aclfile 的读写执行权限,tom group 具有 aclfile 的读权限,但是这里的 mask 却变成了 rwx!

这是我们的第三个问题:

**************************************************************

上面的设置并没有显式的指定 mask 项,为什么 mask 的值却变了?

其实我们在第二个问题中已经回答了这个问题,是因为 bob 被设置了 rwx 权限,最终导致 ACL_MASK 条目中的权限也发生了相应的变化。

这里我们可以思考一下:ACL 权限中为什么需要 ACL_MASK 条目?

这是一个需要从长计议的话题,我们应该从 ACL 权限与 ugo 权限的对应说起。在 ugo 权限模型中,定义了 3 个 class 来表示 owner、group、other 的权限。owner class 表示文件所有者具有的访问权限,group class 表示 owner group 具有的访问权限,other class 表示其它用户所具有的访问权限。在没有显式的设置 ACL 权限时,文件的 ACL 权限与 ugo 权限的对应关系如下图所示:

图片[3]-linux的acl 权限进阶篇-趣考网

我们把重点放在 group class 上,此时 group class 的权限和 owner group 的权限是完全一样的。

但是在我们添加了 ACL 权限之后,情况就变得有些复杂了:

图片[4]-linux的acl 权限进阶篇-趣考网

此时 group class 中还可能包含 ACL_USER 和 ACL_GROUP 条目中的权限。这样就会出现 owner group 权限与 group class 不一致的情况。

解决的办法就是为 ACL 权限引入 ACL_MASK 条目:

  • 没有设置 ACL 权限时,group class 的权限和 owner group 的权限是完全一样的。
  • 设置 ACL 权限后,group class 的权限映射到了 ACL_MASK 条目的权限,ACL_GROUP_OBJ 条目仅仅用来表示 owner group 的权限。

**************************************************************

最后我们再来设置一下 aclfile 的 mask:

[lfeng@RHELNote test]$ setfacl -m mask::r aclfile [lfeng@RHELNote test]$ getfacl aclfile # file: aclfile# owner: lfeng# group: lfenguser::rw-user:bob:rwx      #effective:r--group::rw-      #effective:r--group:tom:r--mask::r--other::r--[lfeng@RHELNote test]$ ll aclfile -rw-r--r--+ 1 lfeng lfeng 0 810 12:05 aclfile[lfeng@RHELNote test]$ 

ACL 权限的最后一道防线就是 mask ,它决定了一个用户或组能够得到的最大的权限。上图中的 #effective 显示了对应行的实际权限。文件权限也反应了上面的变化。

我们的最后一个问题:

**************************************************************

为什么需要 effective 权限?

ACL_MASK 条目限制的是 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目的最大权限,所以在应用了 ACL_MASK 条目后,需要通过 effective 权限来获得 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目的真正权限(如上所示)。当 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目包含不包含在 ACL_MASK 条目中的权限,则该条目后面会有一个 \"#\" 号和字符串 \"effective\",以及该条目的有效访问权限。

但是 mask 只对 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目有影响,对 owner 和 other 的权限是没有任何影响的。

© 版权声明
THE END
喜欢就支持一下吧
点赞12 分享