Перезаписать режим создания каталога с помощью linux acl
Я пытаюсь дать конкретному пользователю (например, "test") право читать любой новый созданный каталог. Я делаю это с помощью:
undefine@undefine-ThinkPad-T430s:~/test$ getfacl .
# file: .
# owner: undefine
# group: undefine
user::rwx
group::rwx
other::r-x
undefine@undefine-ThinkPad-T430s:~/test$ setfacl -d -m u:test:rX .
undefine@undefine-ThinkPad-T430s:~/test$ getfacl .
# file: .
# owner: undefine
# group: undefine
user::rwx
group::rwx
other::r-x
default:user::rwx
default:user:test:r-x
default:group::rwx
default:mask::rwx
default:other::r-x
Затем - когда я создаю новый каталог с помощью команды mkdir - он работает нормально:
undefine@undefine-ThinkPad-T430s:~/test$ mkdir testa
undefine@undefine-ThinkPad-T430s:~/test$ getfacl testa
# file: testa
# owner: undefine
# group: undefine
user::rwx
user:test:r-x
group::rwx
mask::rwx
other::r-x
default:user::rwx
default:user:test:r-x
default:group::rwx
default:mask::rwx
default:other::r-x
Но - если я создаю новый режим принудительного использования каталога - действующие права пусты:
undefine@undefine-ThinkPad-T430s:~/test$ mkdir -m 700 testb
undefine@undefine-ThinkPad-T430s:~/test$ getfacl testb
# file: testb
# owner: undefine
# group: undefine
user::rwx
user:test:r-x #effective:---
group::rwx #effective:---
mask::---
other::---
default:user::rwx
default:user:test:r-x
default:group::rwx
default:mask::rwx
default:other::r-x
И тестовый пользователь не может читать файлы в каталоге.
Есть ли способ избежать этого и дать «тестирующему» пользователю право читать содержимое каталога независимо от режима, используемого при создании каталога? Я могу обойти это, используя задание incron, которое «исправляет» разрешения после создания каталога - но это грязный хакер, и я хотел бы сделать это «правильно»
Настоящая проблема, которая возникла в системе докеров, где dockerd создает себе каталоги в каталоге / var / lib / docker / container в режиме 0700.
Есть ли у вас пример разрешений, которые вы даете папке при создании каталога с флагом "режим"? Разрешения AFAIK, ACL комбинируются с "обычными" разрешениями на файлы (chmod). Но разрешения для файлов заменяют ACL разрешения. Я смог скопировать то, что вы объясняли, создав папку с ACL разрешениями ниже, чем разрешения папки.
Или можно использовать маску umask?
test@shell-server:~$ getfacl .
# file: .
# owner: test
# group: test
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:test:r-x
default:group::r-x
default:mask::r-x
default:other::r-x
test@server:~$ mkdir -m 0100 dir3
test@server:~$ getfacl dir3/
# file: dir3/
# owner: test
# group: test
user::--x
user:test:r-x #effective:---
group::r-x #effective:---
mask::---
other::---
default:user::rwx
default:user:test:r-x
default:group::r-x
default:mask::r-x
default:other::r-x
Также, если посмотреть на "другие" разрешения на эту папку, ваш "тестовый" пользователь должен иметь доступ для чтения и изменения в эту директорию (r-x)? Разве это не так?
undefine@undefine-ThinkPad-T430s:~/test$ getfacl .
# file: .
# owner: undefine
# group: undefine
user::rwx
group::rwx
other::r-x