用户 tester 具有 aclfile 的读写执行权限,tester1 group 具有 aclfile 的读权限,但是这里的 mask 却变成了 rwx!
这是我们的第三个问题:
**************************************************************
上面的设置并没有显式的指定 mask 项,为什么 mask 的值却变了?
其实我们在第二个问题中已经回答了这个问题,是因为 tester 被设置了 rwx 权限,最终导致 ACL_MASK 条目中的权限也发生了相应的变化。
这里我们可以思考一下:ACL 权限中为什么需要 ACL_MASK 条目?
这是一个需要从长计议的话题,我们应该从 ACL 权限与 ugo 权限的对应说起。在 ugo 权限模型中,定义了 3 个 class 来表示 owner、group、other 的权限。Owner class 表示文件所有者具有的访问权限,group class 表示 owner group 具有的访问权限,other class 表示其它用户所具有的访问权限。在没有显式的设置 ACL 权限时,文件的 ACL 权限与 ugo 权限的对应关系如下图所示:
我们把重点放在 group class 上,此时 group class 的权限和 owner group 的权限是完全一样的。
但是在我们添加了 ACL 权限之后,情况就变得有些复杂了:
此时 group class 中还可能包含 ACL_USER 和 ACL_GROUP 条目中的权限。这样就会出现 owner group 权限与 group class 不一致的情况。
解决的办法就是为 ACL 权限引入 ACL_MASK 条目:
没有设置 ACL 权限时,group class 的权限和 owner group 的权限是完全一样的。
设置 ACL 权限后,group class 的权限映射到了 ACL_MASK 条目的权限,ACL_GROUP_OBJ 条目仅仅用来表示 owner group 的权限。
**************************************************************
最后我们再来设置一下 aclfile 的 mask:
$ setfacl -m mask::r aclfile
$ getfacl aclfile
ACL 权限的最后一道防线就是 mask 。它决定了一个用户或组能够得到的最大的权限。上图中的 #effective 显示了对应行的实际权限。文件权限也反应了上面的变化:
我们的最后一个问题:
**************************************************************
为什么需要 effective 权限?
ACL_MASK 条目 限制的是 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目的最大权限,所以在应用了 ACL_MASK 条目后,需要通过 effective 权限来获得 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目的真正权限(如上图所示)。当 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目包含不包含在 ACL_MASK 条目中的权限,则该条目后面会有一个 "#" 号和字符串 "effective",以及该条目的有效访问权限。
但是 mask 只对 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目有影响(红框中的内容),对 owner 和 other 的权限是没有任何影响的。
**************************************************************
本文先介绍了 ACL 权限中的基本概念,然后解释了笔者在使用 ACL 权限过程中碰到的一些疑问。希望这些内容可以帮助大家更好的理解和使用 ACL 权限。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx