• Linux ACL 权限之进阶篇


    笔者在《Linux ACL 权限》一文中介绍了 Linux ACL 权限的基本用法,本文笔者将尝试探究 ACL 中的基本概念和实现原理,希望能够通过进一步的加深对 Linux 权限系统的理解。说明:本文的演示环境为 ubuntu 16.04。

    ACL 中的基本概念

    ACL 的类型

    • access ACL:我们可以认为每一个对象(文件/目录)都可以关联一个 ACL 来控制其访问权限,这样的 ACL 被称为 access ACL。
    • default ACL:目录也可以关联一个 ACL 来控制在该目录中创建的对象的默认 ACL,这样的 ACL(目录关联的 ACL)被称为 default ACL。

    ACL 条目
    一个 ACL 由多个 ACL 条目组成。一个 ACL 条目指定一个用户或者一组用户对所关联对象的读、写、执行权限。下图展示了 ACL 条目的类型及含义:

    ACL 权限与 ugo 权限的对应关系

    ACL 定义的权限是 ugo 权限的超集。

    • 文件的 owner 权限对应于 ACL 权限中的 ACL_USER_OBJ 条目。
    • 当 ACL 权限中具有 ACL_MASK 条目时,文件的 group 权限对应于 ACL 权限中的 ACL_MASK 条目。否则,当 ACL 权限中具没有 ACL_MASK 条目时,文件的 group 权限对应于 ACL 权限中的 ACL_GROUP_OBJ 条目。
    • 文件的 other 权限对应于 ACL 权限中的 ACL_OTHER_OBJ 条目。

    文件的 ugo 权限总是与对应的 ACL 条目保持一致。修改文件的 ugo 权限会导致修改相关的 ACL 条目,同样的,修改这些 ACL 条目会导致修改对应的 guo 权限。

    新建文件的 default ACL

    一个文件的 access ACL 会在通过 creat()、mkdir()、mknod()、mkfifo() 和 open() 函数创建该文件时被初始化。

    如果一个目录被设置了 default ACL,那么将会由文件创建函数的 mode 参数和目录的 default ACL 共通决定新文件的 ACL 权限:

    • 新的文件继承父目录的 default ACL 作为自己的 access ACL。
    • 修改与 ugo 权限对应的 access ACL 条目,使其不包含文件创建函数的 mode 参数不包含的权限。

    说明:此时 umask 被忽略。

    如果一个目录没有被设置 default ACL,那么将由文件创建函数的 mode 参数和 umask 共同决定新文件的 ACL 权限:

    • 新建文件的 access ACL 包含 ACL_USER_OBJ, ACL_GROUP_OBJ, 和 ACL_OTHER 条目。这些条目的权限被设置为由 umask 决定的权限。
    • 修改与 ugo 权限对应的 access ACL 条目,使其不包含文件创建函数的 mode 参数不包含的权限。

    文件权限检查的算法(Access Check Algorithm)

    当一个进程访问(读、写、执行)一个被 ACL 保护的文件时,文件权限检查的算法决定了是否授权给进程访问该文件。
    下面我们以 下面我们以伪代码的方式来解释文件权限检查的算法。
    第一步:if 进程的 effective user ID 与文件 owner 匹配
                      if ACL 的 ACL_USER_OBJ 条目包含了请求所需的权限,此时就被授权访问文件
                      else 访问被拒绝
    第二步:else if 进程的 effective user ID 匹配文件 ACL 权限中任何一个 ACL_USER 条目中的 user
                      if 匹配的 ACL_USER 条目和 ACL_MASK 条目包含了请求所需的权限,此时就被授权访问文件
                      else 访问被拒绝
    第三步:else if 进程的 effective group ID 或者任何一个补充的(supplementary) group ID 匹配文件的 group 或 ACL 权限中任何一个 ACL_GROUP 条目的 group
                      if ACL 权限包含 ACL_MASK 条目
                          if ACL_MASK 条目和匹配的任何 ACL_GROUP_OBJ 或 ACL_GROUP 条目包含了请求所需的权限,此时就被授权访问文件
                             (注释:ACL_MASK 与其它项是 and 的关系,用来控制最大权限)
                          else 访问被拒绝
                      else (注意:没有 ACL_MASK 条目,就没有 ACL_GROUP 条目)         
                          if ACL_GROUP_OBJ 条目包含了请求所需的权限,此时就被授权访问文件
                          else 访问被拒绝
    第四步:else if ACL_OTHER 条目包含了请求所需的权限,此时就被授权访问文件
    第五步:else 访问被拒绝

    ACL 的文本描述格式

    有两种格式来描述 ACL 条目,分别是长格式和短格式。它们非常类似,都是通过两个冒号把一个 ACL 条目分为三个部分:
    ACL 条目的类型:ACL 条目 qualifier:权限信息

    我们在前面已经介绍过 ACL 条目的类型,权限信息就是用 rwx 来表示的信息,不支持某个权限的话可以使用 - 表示。这里介绍一下 ACL 条目 qualifier(不知道该咋翻译这货)。

    • 当 ACL 条目的类型为 ACL_USER 或 ACL_GROUP 时,ACL 条目 qualifier 包含与 ACL 条目关联的用户和组的标识符。
    • 当 ACL 条目的类型为其它时,ACL 条目 qualifier 为空。

    其中的用户标识符可以是用户名也可以是 user ID,组标识符可以是组名也可以是 group ID。

    下面是一组长格式的示例:
    user::rw-
    user:tester:rw- #effective:r--
    group::r--
    group:tester1:rw- #effective:r--
    mask::r--
    other::r--

    下面是一组短格式的示例:
    u::rw-,u:tester:rw-,g::r--,g:tester1:rw-,m::r--,o::r--
    g:tester1:rw,u:tester:rw,u::wr,g::r,o::r,m::r

    解释几个常见的权限变化的例子

    前文我们的重点是介绍 ACL 权限的基本用法。有了本文前面介绍的基础内容,我们就可以解释前文中出现的一些比较怪异的现象。
    创建用户 tester, tester1:

    $ sudo adduser tester
    $ sudo adduser tester1

    先创建文件 aclfile,检查其默认的 ACL 权限信息:

    然后为 tester 用户赋予读写 aclfile 文件的权限:

    $ setfacl -m u:tester:rw aclfile

    此时查看 aclfile 文件的权限:

    $ ll aclfile

    貌似并没有发生什么变化,只是在描述权限的地方多出了一个 "+" 号。下面再看看 acl 权限:

    $ getfacl aclfile

    上图的黄框中出现了 ACL_MASK 条目,这就是我们的第一个问题:
    **************************************************************
    我们并没有显式的设置 ACL_MASK 条目,为什么它出现了?
    An ACL that contains entries of ACL_USER or ACL_GROUP tag types must contain exactly one entry of the ACL_MASK tag type. If an ACL contains no entries of ACL_USER or ACL_GROUP tag types, the ACL_MASK entry is optional.
    上面的解释大意是当添加了 ACL_USER 或 ACL_GROUP 后,必须有一个对应的 ACL_MASK 条目。在当前的情况下,ACL_MASK 是被自动创建的,它的权限被设置成了 group(其实是 group class) 的权限即 rw-。
    **************************************************************

    下面我们接着更新 aclfile 的 ACL 权限:

    $ setfacl -m u:tester:rwx,g:tester1:r aclfile

    查看文件权限:

    在修改了 tester 的权限并添加了 tester1 group 的权限后,我们看到的组权限居然变成了 rwx !
    这是我们的第二个问题:
    **************************************************************
    为什么 aclfile 文件的组权限变成了 rwx?
    这是因为我们设置了  u:tester:rwx 导致的:
    在设置了 ACL 权限后,group 显示的权限为 ACL_MASK 条目中的权限。而 ACL_MASK 条目中的权限表示 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目能够被授予的最大权限,所以当 tester 被设置了 rwx 权限时,ACL_MASK 条目中的权限也发生了相应的变化。并最终导致我们看到了上面的结果:-rw-rwxr--+。
    **************************************************************

    接下来我们看看 acl 权限:

    用户 tester 具有 aclfile 的读写执行权限,tester1 group 具有 aclfile 的读权限,但是这里的 mask 却变成了 rwx!
    这是我们的第三个问题:
    **************************************************************
    上面的设置并没有显式的指定 mask 项,为什么 mask 的值却变了?
    其实我们在第二个问题中已经回答了这个问题,是因为 tester 被设置了 rwx 权限,最终导致 ACL_MASK 条目中的权限也发生了相应的变化。

    这里我们可以思考一下:ACL 权限中为什么需要 ACL_MASK 条目?
    这是一个需要从长计议的话题,我们应该从 ACL 权限与 ugo 权限的对应说起。在 ugo 权限模型中,定义了 3 个 class 来表示 owner、group、other 的权限。Owner class 表示文件所有者具有的访问权限,group class 表示 owner group 具有的访问权限,other class 表示其它用户所具有的访问权限。在没有显式的设置 ACL 权限时,文件的 ACL 权限与 ugo 权限的对应关系如下图所示:

    我们把重点放在 group class 上,此时 group class 的权限和 owner group 的权限是完全一样的。

    但是在我们添加了 ACL 权限之后,情况就变得有些复杂了:

    此时 group class 中还可能包含 ACL_USER 和 ACL_GROUP 条目中的权限。这样就会出现 owner group 权限与 group class 不一致的情况。
    解决的办法就是为 ACL 权限引入 ACL_MASK 条目:

    • 没有设置 ACL 权限时,group class 的权限和 owner group 的权限是完全一样的。
    • 设置 ACL 权限后,group class 的权限映射到了 ACL_MASK 条目的权限,ACL_GROUP_OBJ 条目仅仅用来表示 owner group 的权限。

    **************************************************************

    最后我们再来设置一下 aclfile 的 mask:

    $ setfacl -m mask::r aclfile
    $ getfacl aclfile

    ACL 权限的最后一道防线就是 mask 。它决定了一个用户或组能够得到的最大的权限。上图中的 #effective 显示了对应行的实际权限。文件权限也反应了上面的变化:

    我们的最后一个问题:
    **************************************************************
    为什么需要 effective 权限?
    ACL_MASK 条目 限制的是 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目的最大权限,所以在应用了 ACL_MASK 条目后,需要通过 effective 权限来获得 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目的真正权限(如上图所示)。当 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目包含不包含在 ACL_MASK 条目中的权限,则该条目后面会有一个 "#" 号和字符串 "effective",以及该条目的有效访问权限。
    但是 mask 只对 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目有影响(红框中的内容),对 owner 和 other 的权限是没有任何影响的。
    **************************************************************

    总结

    本文先介绍了 ACL 权限中的基本概念,然后解释了笔者在使用 ACL 权限过程中碰到的一些疑问。希望这些内容可以帮助大家更好的理解和使用 ACL 权限。

    参考:
    acl man page
    POSIX Access Control Lists on Linux

  • 相关阅读:
    java.lang.AbstractMethodError: org.mybatis.spring.transaction.SpringManagedTransaction.getTimeout()Ljava/lang/Integer;解决
    springmvc-restful风格
    springmvc视图解析器配置
    spring整合mybatis以及配置事务
    spring AOP
    Spring AOP配置-xml
    springmvc-post请求 ---配置编码过滤器解决乱码
    实现支付宝接口
    spring-springmvc-mybatis整合
    OGLN两种表达式的区别
  • 原文地址:https://www.cnblogs.com/sparkdev/p/9694015.html
Copyright © 2020-2023  润新知