Linux ACL 权限之进阶篇
笔者在《Linux ACL 权限》一文中介绍了 Linux ACL 权限的基本用法,本文笔者将尝试探究 ACL 中的基本概念和实现原理,希望能够通过进一步的加深对 Linux 权限系统的理解。说明:本文的演示环境为 ubuntu 16.04。
ACL 中的基本概念
ACL 的类型
- access ACL:我们可以认为每一个对象(文件/目录)都可以关联一个 ACL 来控制其访问权限,这样的 ACL 被称为 access ACL。
- default ACL:目录也可以关联一个 ACL 来控制在该目录中创建的对象的默认 ACL,这样的 ACL(目录关联的 ACL)被称为 default ACL。
ACL 条目
一个 ACL 由多个 ACL 条目组成。一个 ACL 条目指定一个用户或者一组用户对所关联对象的读、写、执行权限。下图展示了 ACL 条目的类型及含义:
ACL 权限与 ugo 权限的对应关系
ACL 定义的权限是 ugo 权限的超集。
- 文件的 owner 权限对应于 ACL 权限中的 ACL_USER_OBJ 条目。
- 当 ACL 权限中具有 ACL_MASK 条目时,文件的 group 权限对应于 ACL 权限中的 ACL_MASK 条目。否则,当 ACL 权限中具没有 ACL_MASK 条目时,文件的 group 权限对应于 ACL 权限中的 ACL_GROUP_OBJ 条目。
- 文件的 other 权限对应于 ACL 权限中的 ACL_OTHER_OBJ 条目。
文件的 ugo 权限总是与对应的 ACL 条目保持一致。修改文件的 ugo 权限会导致修改相关的 ACL 条目,同样的,修改这些 ACL 条目会导致修改对应的 guo 权限。
新建文件的 default ACL
一个文件的 access ACL 会在通过 creat()、mkdir()、mknod()、mkfifo() 和 open() 函数创建该文件时被初始化。
如果一个目录被设置了 default ACL,那么将会由文件创建函数的 mode 参数和目录的 default ACL 共通决定新文件的 ACL 权限:
- 新的文件继承父目录的 default ACL 作为自己的 access ACL。
- 修改与 ugo 权限对应的 access ACL 条目,使其不包含文件创建函数的 mode 参数不包含的权限。
说明:此时 umask 被忽略。
如果一个目录没有被设置 default ACL,那么将由文件创建函数的 mode 参数和 umask 共同决定新文件的 ACL 权限:
- 新建文件的 access ACL 包含 ACL_USER_OBJ, ACL_GROUP_OBJ, 和 ACL_OTHER 条目。这些条目的权限被设置为由 umask 决定的权限。
- 修改与 ugo 权限对应的 access ACL 条目,使其不包含文件创建函数的 mode 参数不包含的权限。
文件权限检查的算法(Access Check Algorithm)
当一个进程访问(读、写、执行)一个被 ACL 保护的文件时,文件权限检查的算法决定了是否授权给进程访问该文件。
下面我们以 下面我们以伪代码的方式来解释文件权限检查的算法。
第一步:if 进程的 effective user ID 与文件 owner 匹配
if ACL 的 ACL_USER_OBJ 条目包含了请求所需的权限,此时就被授权访问文件
else 访问被拒绝
第二步:else if 进程的 effective user ID 匹配文件 ACL 权限中任何一个 ACL_USER 条目中的 user
if 匹配的 ACL_USER 条目和 ACL_MASK 条目包含了请求所需的权限,此时就被授权访问文件
else 访问被拒绝
第三步:else if 进程的 effective group ID 或者任何一个补充的(supplementary) group ID 匹配文件的 group 或 ACL 权限中任何一个 ACL_GROUP 条目的 group
if ACL 权限包含 ACL_MASK 条目
if ACL_MASK 条目和匹配的任何 ACL_GROUP_OBJ 或 ACL_GROUP 条目包含了请求所需的权限,此时就被授权访问文件
(注释:ACL_MASK 与其它项是 and 的关系,用来控制最大权限)
else 访问被拒绝
else (注意:没有 ACL_MASK 条目,就没有 ACL_GROUP 条目)
if ACL_GROUP_OBJ 条目包含了请求所需的权限,此时就被授权访问文件
else 访问被拒绝
第四步:else if ACL_OTHER 条目包含了请求所需的权限,此时就被授权访问文件
第五步:else 访问被拒绝
ACL 的文本描述格式
有两种格式来描述 ACL 条目,分别是长格式和短格式。它们非常类似,都是通过两个冒号把一个 ACL 条目分为三个部分:
ACL 条目的类型:ACL 条目 qualifier:权限信息
我们在前面已经介绍过 ACL 条目的类型,权限信息就是用 rwx 来表示的信息,不支持某个权限的话可以使用 - 表示。这里介绍一下 ACL 条目 qualifier(不知道该咋翻译这货)。
- 当 ACL 条目的类型为 ACL_USER 或 ACL_GROUP 时,ACL 条目 qualifier 包含与 ACL 条目关联的用户和组的标识符。
- 当 ACL 条目的类型为其它时,ACL 条目 qualifier 为空。
其中的用户标识符可以是用户名也可以是 user ID,组标识符可以是组名也可以是 group ID。
下面是一组长格式的示例:
user::rw-
user:tester:rw- #effective:r--
group::r--
group:tester1:rw- #effective:r--
mask::r--
other::r--
下面是一组短格式的示例:
u::rw-,u:tester:rw-,g::r--,g:tester1:rw-,m::r--,o::r--
g:tester1:rw,u:tester:rw,u::wr,g::r,o::r,m::r
解释几个常见的权限变化的例子
前文我们的重点是介绍 ACL 权限的基本用法。有了本文前面介绍的基础内容,我们就可以解释前文中出现的一些比较怪异的现象。
创建用户 tester, tester1:
$ sudo adduser tester
$ sudo adduser tester1
先创建文件 aclfile,检查其默认的 ACL 权限信息:
然后为 tester 用户赋予读写 aclfile 文件的权限:
$ setfacl -m u:tester:rw aclfile
此时查看 aclfile 文件的权限:
$ ll aclfile
貌似并没有发生什么变化,只是在描述权限的地方多出了一个 "+" 号。下面再看看 acl 权限:
$ getfacl aclfile
上图的黄框中出现了 ACL_MASK 条目,这就是我们的第一个问题:
**************************************************************
我们并没有显式的设置 ACL_MASK 条目,为什么它出现了?
An ACL that contains entries of ACL_USER or ACL_GROUP tag types must contain exactly one entry of the ACL_MASK tag type. If an ACL contains no entries of ACL_USER or ACL_GROUP tag types, the ACL_MASK entry is optional.
上面的解释大意是当添加了 ACL_USER 或 ACL_GROUP 后,必须有一个对应的 ACL_MASK 条目。在当前的情况下,ACL_MASK 是被自动创建的,它的权限被设置成了 group(其实是 group class) 的权限即 rw-。
**************************************************************
下面我们接着更新 aclfile 的 ACL 权限:
$ setfacl -m u:tester:rwx,g:tester1:r aclfile
查看文件权限:
在修改了 tester 的权限并添加了 tester1 group 的权限后,我们看到的组权限居然变成了 rwx !
这是我们的第二个问题:
**************************************************************
为什么 aclfile 文件的组权限变成了 rwx?
这是因为我们设置了 u:tester:rwx 导致的:
在设置了 ACL 权限后,group 显示的权限为 ACL_MASK 条目中的权限。而 ACL_MASK 条目中的权限表示 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目能够被授予的最大权限,所以当 tester 被设置了 rwx 权限时,ACL_MASK 条目中的权限也发生了相应的变化。并最终导致我们看到了上面的结果:-rw-rwxr--+。
**************************************************************
接下来我们看看 acl 权限:
用户 tester 具有 aclfile 的读写执行权限,tester1 group 具有 aclfile 的读权限,但是这里的 mask 却变成了 rwx!
这是我们的第三个问题:
**************************************************************
上面的设置并没有显式的指定 mask 项,为什么 mask 的值却变了?
其实我们在第二个问题中已经回答了这个问题,是因为 tester 被设置了 rwx 权限,最终导致 ACL_MASK 条目中的权限也发生了相应的变化。
这里我们可以思考一下:ACL 权限中为什么需要 ACL_MASK 条目?
这是一个需要从长计议的话题,我们应该从 ACL 权限与 ugo 权限的对应说起。在 ugo 权限模型中,定义了 3 个 class 来表示 owner、group、other 的权限。Owner class 表示文件所有者具有的访问权限,group class 表示 owner group 具有的访问权限,other class 表示其它用户所具有的访问权限。在没有显式的设置 ACL 权限时,文件的 ACL 权限与 ugo 权限的对应关系如下图所示:
我们把重点放在 group class 上,此时 group class 的权限和 owner group 的权限是完全一样的。
但是在我们添加了 ACL 权限之后,情况就变得有些复杂了:
此时 group class 中还可能包含 ACL_USER 和 ACL_GROUP 条目中的权限。这样就会出现 owner group 权限与 group class 不一致的情况。
解决的办法就是为 ACL 权限引入 ACL_MASK 条目:
- 没有设置 ACL 权限时,group class 的权限和 owner group 的权限是完全一样的。
- 设置 ACL 权限后,group class 的权限映射到了 ACL_MASK 条目的权限,ACL_GROUP_OBJ 条目仅仅用来表示 owner group 的权限。
**************************************************************
最后我们再来设置一下 aclfile 的 mask:
$ setfacl -m mask::r aclfile
$ getfacl aclfile
ACL 权限的最后一道防线就是 mask 。它决定了一个用户或组能够得到的最大的权限。上图中的 #effective 显示了对应行的实际权限。文件权限也反应了上面的变化:
我们的最后一个问题:
**************************************************************
为什么需要 effective 权限?
ACL_MASK 条目 限制的是 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目的最大权限,所以在应用了 ACL_MASK 条目后,需要通过 effective 权限来获得 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目的真正权限(如上图所示)。当 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目包含不包含在 ACL_MASK 条目中的权限,则该条目后面会有一个 "#" 号和字符串 "effective",以及该条目的有效访问权限。
但是 mask 只对 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目有影响(红框中的内容),对 owner 和 other 的权限是没有任何影响的。
**************************************************************
总结
本文先介绍了 ACL 权限中的基本概念,然后解释了笔者在使用 ACL 权限过程中碰到的一些疑问。希望这些内容可以帮助大家更好的理解和使用 ACL 权限。
参考:
acl man page
POSIX Access Control Lists on Linux
Linux ACL 权限之进阶篇的更多相关文章
- Linux ACL 权限
ACL 是什么 ACL的全称是 Access Control List (访问控制列表) ,一个针对文件/目录的访问控制列表.它在UGO权限管理的基础上为文件系统提供一个额外的.更灵活的权限管理机制. ...
- linux ACL权限规划:getfacl,setfacl使用
ACL即Access Control List 主要的目的是提供传统的owner,group,others的read,write,execute权限之外的具体权限设置,ACL可以针对单一用户.单一文件 ...
- linux ACL权限
利用这两个指令就可以了: getfacl:获取某個文件的 ACL 设置 setfacl:设置某個文件的 ACL 规范 [root@study ~]# setfacl [-bkRd] [{-m|-x} ...
- LInux ACL权限控制
1.ACL简介 ACL是一种可以实现灵活的权限管理(文件的额外赋权机制)除了文件所有者,所属组和其他人,可以对更多的用户设置权限,这就是访问控制列表(Access Control List) 2.AC ...
- Linux ACL权限查看与设定
getfacl 文件名,可以查看文件的acl权限 setfacl [选项] 文件名,可以设定文件的acl权限,例如:setfacl -m u:boduo:rx /project/ 这时候,创建了bod ...
- linux性能指令分析进阶篇
作为刚刚走入测试领域的我来说,对性能测试了解的也不是很深,只不过自己平常一直在收集资料,性能测试也没有那么神秘,也请广大测试小白不要陷入误区,其实性能测试跟功能测试关系并不大,即使你做10年功能测试, ...
- 12 Linux ACL权限
1.查看facl权限 getfacl /home/test.txt [root@localhost ~]# getfacl /home/test.txt getfacl: Removing leadi ...
- Linux UGO和ACL权限管理
自主访问控制(Discretionary Access Control, DAC)是指对象(比如程序.文件.进程)的拥有者可以任意修改或者授予此对象相应的权限.Linux的UGO(User, Grou ...
- Linux文件目录权限浅谈
1.基本权限三种(1)r (read) 读 针对目录,有读(r)权限就代表能对此目录有列表功能,就是可以执行ls命令进行查看,另外还有cp的功能.针对文件,有读(r)权限就代表能对此文件有阅读功能,可 ...
随机推荐
- SAP生产机该不该开放Debuger权限
前段时间公司定制系统在调用SAP RFC接口的时候报错了,看错误消息一时半会儿也不知道是哪里参数数据错误,就想着进到SAP系统里面对这个接口做远程Debuger,跟踪一下参数变量的变化,结果发现根本就 ...
- 前端AntD框架的upload组件上传图片时遇到的一些坑
前言 本次做后台管理系统,采用的是 AntD 框架.涉及到图片的上传,用的是AntD的 upload 组件. 前端做文件上传这个功能,是很有技术难度的.既然框架给我们提供好了,那就直接用呗.结果用的时 ...
- 在Windows服务中托管 ASP.NET Core的坑
按照官网教程 https://docs.microsoft.com/zh-cn/aspnet/core/host-and-deploy/windows-service?view=aspnetcore- ...
- HTML表单 CSS样式
1.HTML表单 <body rightmargin="50" leftmargin="50" background="未标题-1.jpg&qu ...
- Python - 判断list是否为空
Python中判断list是否为空有以下两种方式: 方式一: list_temp = [] if len(list_temp): # 存在值即为真 else: # list_temp是空的 方式二: ...
- 将正在运行的Proxmox EV5.x版本更新到最新版本
问题描述: 最近搭建了一个KVM开源虚拟化平台 Proxmox Virtual Environment是一种基于QEMU / KVM和LXC的开源服务器虚拟化管理解决方案.您可以使用集成的,易于使用的 ...
- Python中函数partial的应用
函数在执行时,要带上所有必要的参数进行调用.但是,有时参数可以在函数被调用之前提前获知.这种情况下, 一个函数有一个或多个参数预先就能用上,以便函数能用更少的参数进行调用.通过设定参数的默认值,可以降 ...
- Python语法基础-函数,类以及调试处理
[TOC] 1. 函数的定义 python中函数有两种: python自带的函数 用户定义函数 返回多个值 原来返回值是一个tuple!但是,在语法上,返回一个tuple可以省略括号,而多个变量可以同 ...
- TCP长连接保持连接状态
对于TCP长连接保活是十分必要的,原因如下: 1.系统多在OA网和外网间有防火墙隔离,很多防火墙对一段时间内没有报文活动的socket会自动关闭. 2.对于非正常断开的连接系统并不能侦测到,比如防火墙 ...
- TCP三次握手四次挥手过程详解
http://blog.csdn.net/imilli/article/details/50620104 TCP头部: 其中 ACK SYN 序号 这三个部分在以下会用到,它们的介绍也在下面. ...