ACL 中的基本概念

ACL 的类型

1.access ACL：我们可以认为每一个对象(文件/目录)都可以关联一个 ACL 来控制其访问权限，这样的 ACL 被称为 access ACL。

2.default ACL：目录也可以关联一个 ACL 来控制在该目录中创建的对象的默认 ACL，这样的 ACL(目录关联的 ACL)被称为 default ACL。

ACL 条目

一个 ACL 由多个 ACL 条目组成。一个 ACL 条目指定一个用户或者一组用户对所关联对象的读、写、执行权限。下图展示了 ACL 条目的类型及含义：

ACL 权限与 ugo 权限的对应关系

ACL 定义的权限是 ugo 权限的超集

1. 文件的 owner 权限对应于 ACL 权限中的 ACL_USER_OBJ 条目。
2. 当 ACL 权限中具有 ACL_MASK 条目时，文件的 group 权限对应于 ACL 权限中的 ACL_MASK 条目。否则，当 ACL 权限中具没有 ACL_MASK 条目时，文件的 group 权限对应于 ACL 权限中的 ACL_GROUP_OBJ 条目。
3. 文件的 other 权限对应于 ACL 权限中的 ACL_OTHER_OBJ 条目。

文件的 ugo 权限总是与对应的 ACL 条目保持一致。修改文件的 ugo 权限会导致修改相关的 ACL 条目，同样的，修改这些 ACL 条目会导致修改对应的 ugo 权限。

文件的默认 ACL

一个文件的 access ACL 会在通过 creat()、mkdir()、mknod()、mkfifo() 和 open() 函数创建该文件时被初始化。

如果一个目录被设置了 default ACL，那么将会由文件创建函数的 mode 参数和目录的 default ACL 共同决定新文件的 ACL 权限：

• 新的文件继承父目录的 default ACL 作为自己的 access ACL。
• 修改与 ugo 权限对应的 access ACL 条目，使其不包含文件创建函数的 mode 参数不包含的权限。

说明：此时 umask 被忽略。

如果一个目录没有被设置 default ACL，那么将由文件创建函数的 mode 参数和 umask 共同决定新文件的 ACL 权限：

• 新建文件的 access ACL 包含 ACL_USER_OBJ, ACL_GROUP_OBJ, 和 ACL_OTHER 条目。这些条目的权限被设置为由 umask 决定的权限。
• 修改与 ugo 权限对应的 access ACL 条目，使其不包含文件创建函数的 mode 参数不包含的权限。

文件权限检查的算法(Access Check Algorithm)

当一个进程访问(读、写、执行)一个被 ACL 保护的文件时，文件权限检查的算法决定了是否授权给进程访问该文件。

下面我们以 下面我们以伪代码的方式来解释文件权限检查的算法：

ACL 的文本描述格式

有两种格式来描述 ACL 条目，分别是长格式和短格式。它们非常类似，都是通过两个冒号把一个 ACL 条目分为三个部分：

ACL 条目的类型:ACL 条目 qualifier:权限信息

我们在前面已经介绍过 ACL 条目的类型，权限信息就是用 rwx 来表示的信息，不支持某个权限的话可以使用 - 表示。这里介绍一下 ACL 条目 qualifier。

• 当 ACL 条目的类型为 ACL_USER 或 ACL_GROUP 时，ACL 条目 qualifier 包含与 ACL 条目关联的用户和组的标识符。
• 当 ACL 条目的类型为其它时，ACL 条目 qualifier 为空。

其中的用户标识符可以是用户名也可以是 user ID，组标识符可以是组名也可以是 group ID。

下面是一组长格式的示例：

user::rw-
user:lfeng:rw- #effective:r--
group::r--
group:lfeng:rw- #effective:r--
mask::r--
other::r--

下面是一组短格式的示例：

u::rw-,u:tester:rw-,g::r--,g:lfeng:rw-,m::r--,o::r--
g:lfeng:rw,u:lfeng:rw,u::wr,g::r,o::r,m::r

解释几个常见的权限变化的例子

创建文件 aclfile，检查其默认的 ACL 权限信息

[lfeng@RHELNote test]$ touch aclfile
[lfeng@RHELNote test]$ ll aclfile 
-rw-rw-r--. 1 lfeng lfeng 0 8月  10 12:05 aclfile
[lfeng@RHELNote test]$ getfacl aclfile 
# file: aclfile
# owner: lfeng
# group: lfeng
user::rw-
group::rw-
other::r--
[lfeng@RHELNote test]$

为 bob 用户赋予读写 aclfile 文件的权限

[lfeng@RHELNote test]$ setfacl -m u:bob:rw- aclfile 
[lfeng@RHELNote test]$ getfacl aclfile 
# file: aclfile
# owner: lfeng
# group: lfeng
user::rw-
user:bob:rw-
group::rw-
mask::rw-
other::r--
[lfeng@RHELNote test]$ ll aclfile 
-rw-rw-r--+ 1 lfeng lfeng 0 8月  10 12:05 aclfile
[lfeng@RHELNote?test]$

在描述权限的地方多出了一个 "+" 号，上图中出现了 ACL_MASK 条目，这就是我们的第一个问题：
**************************************************************
我们并没有显式的设置 ACL_MASK 条目，为什么它出现了？
这是因为当添加了 ACL_USER 或 ACL_GROUP 后，必须有一个对应的 ACL_MASK 条目。在当前的情况下，ACL_MASK 是被自动创建的，它的权限被设置成了 group(其实是 group class) 的权限即 rw-。

**************************************************************

下面我们接着更新 aclfile 的 ACL 权限：

[lfeng@RHELNote test]$ setfacl -m u:bob:rwx,g:tom:r aclfile 
[lfeng@RHELNote test]$ ll aclfile 
-rw-rwxr--+ 1 lfeng lfeng 0 8月  10 12:05 aclfile
[lfeng@RHELNote test]$ getfacl aclfile 
# file: aclfile
# owner: lfeng
# group: lfeng
user::rw-
user:bob:rwx
group::rw-
group:tom:r--
mask::rwx
other::r--
[lfeng@RHELNote?test]$?

在修改了 bob 的权限并添加了 tom group 的权限后，我们看到的组权限居然变成了 rwx ！

这是我们的第二个问题：

**************************************************************

为什么 aclfile 文件的组权限变成了 rwx？

这是因为我们设置了 u:bob:rwx 导致的：

在设置了 ACL 权限后，group 显示的权限为 ACL_MASK 条目中的权限。而 ACL_MASK 条目中的权限表示 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目能够被授予的最大权限，所以当 bob 被设置了 rwx 权限时，ACL_MASK 条目中的权限也发生了相应的变化。并最终导致我们看到了上面的结果：-rw-rwxr--+。

*************************************************************

用户 bob 具有 aclfile 的读写执行权限，tom group 具有 aclfile 的读权限，但是这里的 mask 却变成了 rwx！

这是我们的第三个问题：

**************************************************************

上面的设置并没有显式的指定 mask 项，为什么 mask 的值却变了？

其实我们在第二个问题中已经回答了这个问题，是因为 bob 被设置了 rwx 权限，最终导致 ACL_MASK 条目中的权限也发生了相应的变化。

这里我们可以思考一下：ACL 权限中为什么需要 ACL_MASK 条目？

这是一个需要从长计议的话题，我们应该从 ACL 权限与 ugo 权限的对应说起。在 ugo 权限模型中，定义了 3 个 class 来表示 owner、group、other 的权限。owner class 表示文件所有者具有的访问权限，group class 表示 owner group 具有的访问权限，other class 表示其它用户所具有的访问权限。在没有显式的设置 ACL 权限时，文件的 ACL 权限与 ugo 权限的对应关系如下图所示：

我们把重点放在 group class 上，此时 group class 的权限和 owner group 的权限是完全一样的。

但是在我们添加了 ACL 权限之后，情况就变得有些复杂了：

此时 group class 中还可能包含 ACL_USER 和 ACL_GROUP 条目中的权限。这样就会出现 owner group 权限与 group class 不一致的情况。

解决的办法就是为 ACL 权限引入 ACL_MASK 条目：

• 没有设置 ACL 权限时，group class 的权限和 owner group 的权限是完全一样的。
• 设置 ACL 权限后，group class 的权限映射到了 ACL_MASK 条目的权限，ACL_GROUP_OBJ 条目仅仅用来表示 owner group 的权限。

**************************************************************

最后我们再来设置一下 aclfile 的 mask：

[lfeng@RHELNote test]$ setfacl -m mask::r aclfile 
[lfeng@RHELNote test]$ getfacl aclfile 
# file: aclfile
# owner: lfeng
# group: lfeng
user::rw-
user:bob:rwx      #effective:r--
group::rw-      #effective:r--
group:tom:r--
mask::r--
other::r--
[lfeng@RHELNote test]$ ll aclfile 
-rw-r--r--+ 1 lfeng lfeng 0 8月  10 12:05 aclfile
[lfeng@RHELNote?test]$?

ACL 权限的最后一道防线就是 mask ，它决定了一个用户或组能够得到的最大的权限。上图中的 #effective 显示了对应行的实际权限。文件权限也反应了上面的变化。

我们的最后一个问题：

**************************************************************

为什么需要 effective 权限？

ACL_MASK 条目限制的是 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目的最大权限，所以在应用了 ACL_MASK 条目后，需要通过 effective 权限来获得 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目的真正权限(如上所示)。当 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目包含不包含在 ACL_MASK 条目中的权限，则该条目后面会有一个 "#" 号和字符串 "effective"，以及该条目的有效访问权限。

但是 mask 只对 ACL_USER、ACL_GROUP_OBJ 和 ACL_GROUP 条目有影响，对 owner 和 other 的权限是没有任何影响的。