笔者在《Linux ACL 权限》一文中介绍了 Linux ACL 权限的基本用法,本文笔者将尝试探究 ACL 中的基本概念和实现原理,希望能够通过进一步的加深对 Linux 权限系统的理解。说明:本文的演示环境为 ubuntu 16.04。

ACL 中的基本概念

ACL 的类型

  • access ACL:我们可以认为每一个对象(文件/目录)都可以关联一个 ACL 来控制其访问权限,这样的 ACL 被称为 access ACL。
  • default ACL:目录也可以关联一个 ACL 来控制在该目录中创建的对象的默认 ACL,这样的 ACL(目录关联的 ACL)被称为 default ACL。

ACL 条目
一个 ACL 由多个 ACL 条目组成。一个 ACL 条目指定一个用户或者一组用户对所关联对象的读、写、执行权限。下图展示了 ACL 条目的类型及含义:

ACL 权限与 ugo 权限的对应关系

ACL 定义的权限是 ugo 权限的超集。

  • 文件的 owner 权限对应于 ACL 权限中的 ACL_USER_OBJ 条目。
  • 当 ACL 权限中具有 ACL_MASK 条目时,文件的 group 权限对应于 ACL 权限中的 ACL_MASK 条目。否则,当 ACL 权限中具没有 ACL_MASK 条目时,文件的 group 权限对应于 ACL 权限中的 ACL_GROUP_OBJ 条目。
  • 文件的 other 权限对应于 ACL 权限中的 ACL_OTHER_OBJ 条目。

文件的 ugo 权限总是与对应的 ACL 条目保持一致。修改文件的 ugo 权限会导致修改相关的 ACL 条目,同样的,修改这些 ACL 条目会导致修改对应的 guo 权限。

新建文件的 default ACL

一个文件的 access ACL 会在通过 creat()、mkdir()、mknod()、mkfifo() 和 open() 函数创建该文件时被初始化。

如果一个目录被设置了 default ACL,那么将会由文件创建函数的 mode 参数和目录的 default ACL 共通决定新文件的 ACL 权限:

  • 新的文件继承父目录的 default ACL 作为自己的 access ACL。
  • 修改与 ugo 权限对应的 access ACL 条目,使其不包含文件创建函数的 mode 参数不包含的权限。

说明:此时 umask 被忽略。

如果一个目录没有被设置 default ACL,那么将由文件创建函数的 mode 参数和 umask 共同决定新文件的 ACL 权限:

  • 新建文件的 access ACL 包含 ACL_USER_OBJ, ACL_GROUP_OBJ, 和 ACL_OTHER 条目。这些条目的权限被设置为由 umask 决定的权限。
  • 修改与 ugo 权限对应的 access ACL 条目,使其不包含文件创建函数的 mode 参数不包含的权限。

文件权限检查的算法(Access Check Algorithm)

当一个进程访问(读、写、执行)一个被 ACL 保护的文件时,文件权限检查的算法决定了是否授权给进程访问该文件。
下面我们以 下面我们以伪代码的方式来解释文件权限检查的算法。
第一步:if 进程的 effective user ID 与文件 owner 匹配
                  if ACL 的 ACL_USER_OBJ 条目包含了请求所需的权限,此时就被授权访问文件
                  else 访问被拒绝
第二步:else if 进程的 effective user ID 匹配文件 ACL 权限中任何一个 ACL_USER 条目中的 user
                  if 匹配的 ACL_USER 条目和 ACL_MASK 条目包含了请求所需的权限,此时就被授权访问文件
                  else 访问被拒绝
第三步:else if 进程的 effective group ID 或者任何一个补充的(supplementary) group ID 匹配文件的 group 或 ACL 权限中任何一个 ACL_GROUP 条目的 group
                  if ACL 权限包含 ACL_MASK 条目
                      if ACL_MASK 条目和匹配的任何 ACL_GROUP_OBJ 或 ACL_GROUP 条目包含了请求所需的权限,此时就被授权访问文件
                         (注释:ACL_MASK 与其它项是 and 的关系,用来控制最大权限)
                      else 访问被拒绝
                  else (注意:没有 ACL_MASK 条目,就没有 ACL_GROUP 条目)         
                      if ACL_GROUP_OBJ 条目包含了请求所需的权限,此时就被授权访问文件
                      else 访问被拒绝
第四步:else if ACL_OTHER 条目包含了请求所需的权限,此时就被授权访问文件
第五步:else 访问被拒绝

ACL 的文本描述格式

有两种格式来描述 ACL 条目,分别是长格式和短格式。它们非常类似,都是通过两个冒号把一个 ACL 条目分为三个部分:
ACL 条目的类型:ACL 条目 qualifier:权限信息

我们在前面已经介绍过 ACL 条目的类型,权限信息就是用 rwx 来表示的信息,不支持某个权限的话可以使用 - 表示。这里介绍一下 ACL 条目 qualifier(不知道该咋翻译这货)。

  • 当 ACL 条目的类型为 ACL_USER 或 ACL_GROUP 时,ACL 条目 qualifier 包含与 ACL 条目关联的用户和组的标识符。
  • 当 ACL 条目的类型为其它时,ACL 条目 qualifier 为空。

其中的用户标识符可以是用户名也可以是 user ID,组标识符可以是组名也可以是 group ID。

下面是一组长格式的示例:
user::rw-
user:tester:rw- #effective:r--
group::r--
group:tester1:rw- #effective:r--
mask::r--
other::r--

下面是一组短格式的示例:
u::rw-,u:tester:rw-,g::r--,g:tester1:rw-,m::r--,o::r--
g:tester1:rw,u:tester:rw,u::wr,g::r,o::r,m::r

解释几个常见的权限变化的例子

前文我们的重点是介绍 ACL 权限的基本用法。有了本文前面介绍的基础内容,我们就可以解释前文中出现的一些比较怪异的现象。
创建用户 tester, tester1:

$ sudo adduser tester
$ sudo adduser tester1

先创建文件 aclfile,检查其默认的 ACL 权限信息:

然后为 tester 用户赋予读写 aclfile 文件的权限:

$ setfacl -m u:tester:rw aclfile

此时查看 aclfile 文件的权限:

$ ll aclfile

貌似并没有发生什么变化,只是在描述权限的地方多出了一个 "+" 号。下面再看看 acl 权限:

$ getfacl aclfile

上图的黄框中出现了 ACL_MASK 条目,这就是我们的第一个问题:
**************************************************************
我们并没有显式的设置 ACL_MASK 条目,为什么它出现了?
An ACL that contains entries of ACL_USER or ACL_GROUP tag types must contain exactly one entry of the ACL_MASK tag type. If an ACL contains no entries of ACL_USER or ACL_GROUP tag types, the ACL_MASK entry is optional.
上面的解释大意是当添加了 ACL_USER 或 ACL_GROUP 后,必须有一个对应的 ACL_MASK 条目。在当前的情况下,ACL_MASK 是被自动创建的,它的权限被设置成了 group(其实是 group class) 的权限即 rw-。
**************************************************************

下面我们接着更新 aclfile 的 ACL 权限:

$ setfacl -m u:tester:rwx,g:tester1:r aclfile

查看文件权限:

在修改了 tester 的权限并添加了 tester1 group 的权限后,我们看到的组权限居然变成了 rwx !
这是我们的第二个问题:
**************************************************************
为什么 aclfile 文件的组权限变成了 rwx?
这是因为我们设置了  u:tester:rwx 导致的:
在设置了 ACL 权限后,group 显示的权限为 ACL_MASK 条目中的权限。而 ACL_MASK 条目中的权限表示 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目能够被授予的最大权限,所以当 tester 被设置了 rwx 权限时,ACL_MASK 条目中的权限也发生了相应的变化。并最终导致我们看到了上面的结果:-rw-rwxr--+。
**************************************************************

接下来我们看看 acl 权限:

用户 tester 具有 aclfile 的读写执行权限,tester1 group 具有 aclfile 的读权限,但是这里的 mask 却变成了 rwx!
这是我们的第三个问题:
**************************************************************
上面的设置并没有显式的指定 mask 项,为什么 mask 的值却变了?
其实我们在第二个问题中已经回答了这个问题,是因为 tester 被设置了 rwx 权限,最终导致 ACL_MASK 条目中的权限也发生了相应的变化。

这里我们可以思考一下:ACL 权限中为什么需要 ACL_MASK 条目?
这是一个需要从长计议的话题,我们应该从 ACL 权限与 ugo 权限的对应说起。在 ugo 权限模型中,定义了 3 个 class 来表示 owner、group、other 的权限。Owner class 表示文件所有者具有的访问权限,group class 表示 owner group 具有的访问权限,other class 表示其它用户所具有的访问权限。在没有显式的设置 ACL 权限时,文件的 ACL 权限与 ugo 权限的对应关系如下图所示:

我们把重点放在 group class 上,此时 group class 的权限和 owner group 的权限是完全一样的。

但是在我们添加了 ACL 权限之后,情况就变得有些复杂了:

此时 group class 中还可能包含 ACL_USER 和 ACL_GROUP 条目中的权限。这样就会出现 owner group 权限与 group class 不一致的情况。
解决的办法就是为 ACL 权限引入 ACL_MASK 条目:

  • 没有设置 ACL 权限时,group class 的权限和 owner group 的权限是完全一样的。
  • 设置 ACL 权限后,group class 的权限映射到了 ACL_MASK 条目的权限,ACL_GROUP_OBJ 条目仅仅用来表示 owner group 的权限。

**************************************************************

最后我们再来设置一下 aclfile 的 mask:

$ setfacl -m mask::r aclfile
$ getfacl aclfile

ACL 权限的最后一道防线就是 mask 。它决定了一个用户或组能够得到的最大的权限。上图中的 #effective 显示了对应行的实际权限。文件权限也反应了上面的变化:

我们的最后一个问题:
**************************************************************
为什么需要 effective 权限?
ACL_MASK 条目 限制的是 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目的最大权限,所以在应用了 ACL_MASK 条目后,需要通过 effective 权限来获得 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目的真正权限(如上图所示)。当 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目包含不包含在 ACL_MASK 条目中的权限,则该条目后面会有一个 "#" 号和字符串 "effective",以及该条目的有效访问权限。
但是 mask 只对 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目有影响(红框中的内容),对 owner 和 other 的权限是没有任何影响的。
**************************************************************

总结

本文先介绍了 ACL 权限中的基本概念,然后解释了笔者在使用 ACL 权限过程中碰到的一些疑问。希望这些内容可以帮助大家更好的理解和使用 ACL 权限。

参考:
acl man page
POSIX Access Control Lists on Linux

Linux ACL 权限之进阶篇的更多相关文章

  1. Linux ACL 权限

    ACL 是什么 ACL的全称是 Access Control List (访问控制列表) ,一个针对文件/目录的访问控制列表.它在UGO权限管理的基础上为文件系统提供一个额外的.更灵活的权限管理机制. ...

  2. linux ACL权限规划:getfacl,setfacl使用

    ACL即Access Control List 主要的目的是提供传统的owner,group,others的read,write,execute权限之外的具体权限设置,ACL可以针对单一用户.单一文件 ...

  3. linux ACL权限

    利用这两个指令就可以了: getfacl:获取某個文件的 ACL 设置 setfacl:设置某個文件的 ACL 规范 [root@study ~]# setfacl [-bkRd] [{-m|-x} ...

  4. LInux ACL权限控制

    1.ACL简介 ACL是一种可以实现灵活的权限管理(文件的额外赋权机制)除了文件所有者,所属组和其他人,可以对更多的用户设置权限,这就是访问控制列表(Access Control List) 2.AC ...

  5. Linux ACL权限查看与设定

    getfacl 文件名,可以查看文件的acl权限 setfacl [选项] 文件名,可以设定文件的acl权限,例如:setfacl -m u:boduo:rx /project/ 这时候,创建了bod ...

  6. linux性能指令分析进阶篇

    作为刚刚走入测试领域的我来说,对性能测试了解的也不是很深,只不过自己平常一直在收集资料,性能测试也没有那么神秘,也请广大测试小白不要陷入误区,其实性能测试跟功能测试关系并不大,即使你做10年功能测试, ...

  7. 12 Linux ACL权限

    1.查看facl权限 getfacl /home/test.txt [root@localhost ~]# getfacl /home/test.txt getfacl: Removing leadi ...

  8. Linux UGO和ACL权限管理

    自主访问控制(Discretionary Access Control, DAC)是指对象(比如程序.文件.进程)的拥有者可以任意修改或者授予此对象相应的权限.Linux的UGO(User, Grou ...

  9. Linux文件目录权限浅谈

    1.基本权限三种(1)r (read) 读 针对目录,有读(r)权限就代表能对此目录有列表功能,就是可以执行ls命令进行查看,另外还有cp的功能.针对文件,有读(r)权限就代表能对此文件有阅读功能,可 ...

随机推荐

  1. .NET Core 2.0

    下载 Visual Studio 2017 version 15.3 下载 .NET Core 2.0 下载 Visual Studio for Mac 微软今天发布了.NET Core 2.0 版本 ...

  2. mac 全角/半角标点符号切换

    快捷键:option+shift+H 背景是这样的,前段时间sublimeText新装了HTML/CSS/JS Prittify,JS代码格式化的快捷键是:command+shift+H. 记性有点差 ...

  3. Solr5.5高级应用(基于tomcat9)

    一.配置solr 1.配置 注意:要是想放到其它路径下,可以修改此路径下的web.xml配置文件 修改内容如下: <!-- 将solrhome的绝对路径写入env-entry-value --& ...

  4. SQL中常用数学函数

    --1 RAND() 返回0到1的随机值,若不指定随机种子,返回值不同;若指定的种子相同则随机值相同SELECT RAND()SELECT RAND()SELECT RAND(100)SELECT R ...

  5. servlet请求和响应的过程

    1.加载 Servlet类被加载到Java虚拟机中,并且实例化.在这个过程中,web容器(例如tomcat)会调用Servlet类的公开无参构造函数,产生一个Servlet类的实例对象.默认情况下Se ...

  6. 利用python搭建Powersploit powershell脚本站点

    powershell脚本站点的搭建 一.Powersploit Powersploit是一款基于powershell的后渗透(Post-Exploitation)框架,集成大量渗透相关模块和功能. 下 ...

  7. Linux下memcache编译安装与基本使用

    memcache是一套分布式的高速缓存系统,特点为key-value 存储 一.在 linux 编译安装memcache.redis等,需要 gcc,make,cmake,autoconf,libto ...

  8. LeetCode算法题-Reverse Linked List(Java实现)

    这是悦乐书的第192次更新,第195篇原创 01 看题和准备 今天介绍的是LeetCode算法题中Easy级别的第51题(顺位题号是206).反转单链表.例如: 输入:1-> 2-> 3- ...

  9. UUID生成随机字符串

    import java.util.UUID; UUID.randomUUID().toString().replace("-", "") 生成的样子      ...

  10. 监听器的配置,绑定HttpSessionListener监听器的使用

    监听器的配置,绑定 <listener> <listener-class>监听器的全路径</listener-class> </listener> Se ...