ACL: Problem med arv och mask

[deejam]

Hej

Detta har sysselsatt mig hela dagen. Vad gör jag gör fel?

Kod: Markera allt

root@se:/home/deejam# mkdir test
root@se:/home/deejam# ls -lah test/
total 8,0K
drwxr-xr-x 2 root   root   4,0K 2010-05-10 18:50 .
drwxr-xr-x 5 deejam deejam 4,0K 2010-05-10 18:50 ..
root@se:/home/deejam# setfacl -dm u::rwx,g::rwx,o::---,m::rwx test/
root@se:/home/deejam# setfacl -m u::rwx,g::rwx,o::---,m::rwx test/
root@se:/home/deejam# ls -lah test/
total 12K
drwxrwx---+ 2 root   root   4,0K 2010-05-10 18:50 .
drwxr-xr-x  5 deejam deejam 4,0K 2010-05-10 18:50 ..
root@se:/home/deejam# getfacl test/
# file: test
# owner: root
# group: root
user::rwx
group::rwx
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:mask::rwx
default:other::---

root@se:/home/deejam# 

Så skapar jag en ACL och det ser ut att vara ok.

Verkar även fungera fint om jag skapar en mapp i mappen. Den ärver ACLen som den bör.

Kod: Markera allt

root@se:/home/deejam# mkdir test/test
root@se:/home/deejam# ls -lah test/test/
total 16K
drwxrwx---+ 2 root root 4,0K 2010-05-10 18:53 .
drwxrwx---+ 3 root root 4,0K 2010-05-10 18:53 ..
root@se:/home/deejam# getfacl test/test/
# file: test/test
# owner: root
# group: root
user::rwx
group::rwx
mask::rwx
other::---
default:user::rwx
default:group::rwx
default:mask::rwx
default:other::---

root@se:/home/deejam# 

Men om jag skapar en fil i någon av mapparna så ärver den inte ACL behörigheterna.

Kod: Markera allt

root@se:/home/deejam# touch test/hej
root@se:/home/deejam# ls -lah test/
total 24K
drwxrwx---+ 3 root   root   4,0K 2010-05-10 18:55 .
drwxr-xr-x  5 deejam deejam 4,0K 2010-05-10 18:50 ..
-rw-rw----+ 1 root   root      0 2010-05-10 18:55 hej
drwxrwx---+ 2 root   root   4,0K 2010-05-10 18:53 test
root@se:/home/deejam# getfacl test/hej 
# file: test/hej
# owner: root
# group: root
user::rw-
group::rwx			#effective:rw-
mask::rw-
other::---

root@se:/home/deejam# 

Förväntat resultat är u::rwx,g::rwx,m::rws,o::---. Varför blir user och mask rw-? Dokumentationen säger att om en mask finns så skall den gälla. Annars används umask.

[deejam]

If a default ACL exists for the parent directory, the permission bits assigned to the new object correspond to the overlapping portion of the permissions of the mode parameter and those that are defined in the default ACL. The umask is disregarded in this case.

Hur tänkte dom när dom kom på den där regeln? För att säkra bakåtkompatibilitet så gör dom så att behörigheterna räknas fram av ett default mode (0666). Så maximala behörigheten som går att få fram är rw. Då är frågan om detta går att förbises. Mer Google...

[Bowmore]

Det ser ju riktigt ut
- mappar har 0777 maskat med umask
- filer har 0666 maskat med umask
acl-masken för mappar är i ditt fall rwx vilket ger rw- för filer.

Vad är problemet?

[deejam]

Det ser ju riktigt ut
- mappar har 0777 maskat med umask
- filer har 0666 maskat med umask

Som jag skrev i mitt första inlägg så spelar inte umask in beräkningen eftersom jag har angett en default mask.

Vad är problemet?

Att jag behöver ha exekverbara rättigheter på filer.

[Bowmore]

Fixar du med

Kod: Markera allt

chmod +x filnamn

samt kör getfacl igen och kollar

[deejam]

Fixar du med

Kod: Markera allt

chmod +x filnamn

samt kör getfacl igen och kollar

Det skapas några hundra filer per dag på servern. Jag tror inte jag vill, eller hinner ändra rättigheterna i tid. Inte ens med ett script.

[deejam]

Om jag ändrar fmask till 0777, kan det då få några "oönskade" effekter på systemet i övrigt?

[Bowmore]

Det skapas några hundra filer per dag på servern. Jag tror inte jag vill, eller hinner ändra rättigheterna i tid. Inte ens med ett script.

Om filer/skript skapas i katalogen fungerar det.
Däremot om du kopierar över filer/skript så sätts arvet ur spel, dvs de behåller sina rättigheter.

Om jag ändrar fmask till 0777, kan det då få några "oönskade" effekter på systemet i övrigt?

Du sätter säkerheten ur spel för filer/skript och tillåter alla att köra nya skript. Kanske 0770 är en kompromiss.