Wiki: Linux/ACL

ea/acl访问控制系统

: 1. 参考资料
: 2. acl 基础
: 3. 安装
: 4. 测试 acl
: 5. CVS Repository 权限设置
: 6. 已知问题

1. 参考资料

2. acl 基础

acl 的 6 种规则:

: 一个 acl 规则包含 ACL_USER_OBJ, ACL_GROUP_OBJ, ACL_OTHER 各一条；ACL_MASK 可以有一条，ACL_USER 和 ACL_GROUP 可以有 0 至多条；

ACL_USER_OBJ: 用户属主权限，对应于传统的 Unix 的用户权限；
ACL_GROUP_OBJ: 用户组属主权限，对应于传统的 Unix 的组权限，如果没有 ACL_MASK 规则的化，否则 ACL_MASK 才是对应于 Unix 组用户权限；
ACL_OTHER: 其它用户权限，对应于传统的 Unix 的其它权限；定义了如果其它规则不匹配，用户的权限；
ACL_USER: 为某个用户添加的规则；
ACL_GROUP: 为某个组添加的规则；
ACL_MASK: 定义了 ACL_USER, ACL_GROUP_OBJ, or ACL_GROUP 三类规则的最大权限；

权限检查的顺序
- ACL_USER_OBJ :
如果 ACL_USER_OBJ 和用户id匹配，则根据权限或允许或拒绝；

ACL_USER :

: 如果 ACL_USER 和用户ID匹配，则根据权限（与 ACL_MASK 计算后的权限）或允许或拒绝；

ACL_GROUP_OBJ 和 ACL_GROUP :

: 如果与用户的组匹配，则根据权限（与 ACL_MASK 计算后的权限）或允许或拒绝；

ACL_OTHER :

: 如果 ACL_USER 和用户ID匹配，则根据权限（与 ACL_MASK 计算后的权限）或允许或拒绝；

拒绝

权限的书写格式（可以用逗号分隔多个设置）

user::rw-
user:lisa:rw-         #effective:r--
group::r--
group:toolies:rw-     #effective:r--
mask::r--
other::r--

缺省权限:
default:group:toolies:rw-

也可以写成短格式

u::rw-,u:lisa:rw-,g::r--,g:toolies:rw-,m::r--,o::r--
g:toolies:rw,u:lisa:rw,u::wr,g::r,o::r,m::r

缺省权限：
d:g:toolies:rw

缺省权限

shell 命令
- ls -l
设置有 acl 的目录或者文件，显示 (+)

cp -p

: 拷贝时保留 acl；

: 保持 acl

acl 相关命令
- getfacl
- setfacl
setfacl工具设置文件和目录的访问控制列表，支持对ACL规则的设置（-s/-S）、修改（-m/-M）和删除（-x/-X）。

示例：

# Copying the ACL of one file to another
getfacl file1 | setfacl --set-file=- file2

# Copying the access ACL into the Default ACL
getfacl -a dir | setfacl -d -M- dir

star, spax, ustar

: 当前 tar 不能备份 acl, star 可以；

getfattr, setfattr, attr

: 略

3. 安装

内核

2.4 内核需要打补丁，2.6以上内核已经支持；

$ cd linux-2.4.19
$ zcat ../linux-2.4.19-xttr-0.8.50.diff.gz | patch -p1
$ zcat ../linux-2.4.19-acl-0.8.50.diff.gz | patch -p1
配置内核...

安装辅助工具

: 完成内核的安装之后，我们还需要安装用户空间的工具和库以便对ACL进行日常维护。

安装attr库

# rpm --rebuild attr-2.0.10-0.src.rpm
# rpm -ihv /usr/src/redhat/RPMS/i386/attr-2.0.10-0.i386.rpm
# rpm -ihv /usr/src/redhat/RPMS/i386/attr-devel-2.0.10-0.i386.rpm
# rpm -ihv /usr/src/redhat/RPMS/i386/libattr-2.0.10-0.i386.rpm

安装acl库

# rpm --rebuild acl-2.0.18-0.src.rpm
# rpm -ihv /usr/src/redhat/RPMS/i386/acl-2.0.18-0.i386.rpm
# rpm -ihv /usr/src/redhat/RPMS/i386/acl-devel-2.0.18-0.i386.rpm
# rpm -ihv /usr/src/redhat/RPMS/i386/libacl-2.0.18-0.i386.rpm

安装支持ACL的fileutils软件包。它比原始的fileutils软件包增加了维护ACL的工具。

# rpm --rebuild fileutils-4.1.18acl65.5.src.rpm
# rpm -Uhv /usr/src/redhat/RPMS/i386/fileutils-4.1.8acl-65.5.i386.rpm

安装支持文件系统的扩展属性（Extended Attribute）的e2fsprogs软件包。

# rpm --rebuild e2fsprogs-1.27ea-26.4.src.rpm
# rpm -Uhv /usr/src/redhat/RPMS/i386/e2fsprogs-1.27ea-26.4.i386.rpm

安装star。Star是一个类似于tar，支持ACL的快速归档工具。

# rpm --rebuild star-1.5a03-2.src.rpm
# rpm -Uhv /usr/src/redhat/RPMS/i386/

/etc/fstab 的配置

在 options 的位置上加上 acl, 如:

LABEL=/        /            ext2        defaults,acl        1 1
LABEL=/boot    /boot        ext2        defaults,acl        1 2
LABEL=/home    /home        ext3        defaults,acl        1 2
LABEL=/usr     /usr         ext3        defaults,acl        1 2

remount

mount -o remount /
mount -o remount /boot
mount -o remount /home
mount -o remount /usr

4. 测试 acl

首先创建一个512KB的空白文件:

    bash# dd if=/dev/zero of=/opt/testptn count=512

和一个loop设备联系在一起:

    bash# losetup /dev/loop0 /opt/testptn

创建一个EXT2的文件系统:

    bash# mke2fs /dev/loop0

把新建的文件系统mount上（注意mount选项里的acl）:

    bash# mount -o rw,acl /dev/loop0 /mnt
    bash# cd /mnt
    bash# ls
          lost+found

现在开始实验，首先新建一个文件:

    bash# touch file1

设置和查看 ACL:

    bash# getfacl file1
          # file: file1
          # owner: root
          # group: root
          user::rw-
          group::r--
          other::r--
    
    bash# setfacl -m u:testu1:rw file1
    bash$ getfacl file1
          # file: file1
          # owner: root
          # group: root
          user::rw-
          user:testu1:rw-
          group::r--
          mask::rw-
          other::r--

5. CVS Repository 权限设置

参见 CVSHowto/AclSample

6. 已知问题

Linux kernel 2.6.10 acl 存在偶尔丢失 default acl 的问题

http://www.kernel.org/pub/linux/kernel/v2.6/testing/ChangeLog-2.6.11-rc4

<agruen@suse.de>
	[PATCH] Long-standing xattr sharing bug
	
	When looking for identical xattr blocks to share, we were not comparing the
	name_index fields.  This could lead to false sharing when two xattr blocks
	ended up with identical attribute names and values, and the only default
	acls.  Because acls are cached, the bug was hidden until the next reload of
	the affected inode.
	
	  $ mkdir -m 700 a b
	  $ setfacl -m u:bin:rwx a
		< acl of a goes in the mbcache
	
	  $ setfacl -dm u:bin:rwx b
		< acl of b differs only in name_index, so a's acl is reused
	
	  $ getfacl b
		< shows the result from the inode cache
	
	  < empty inode cache (remount, etc.)
	
	  $ getfacl b
		< shows an access acl instead of a default acl.
	
	Signed-off-by: Andreas Gruenbacher <agruen@suse.de>
	Signed-off-by: Andrew Morton <akpm@osdl.org>
	Signed-off-by: Linus Torvalds <torvalds@osdl.org>

[问题描述: Default acls disappearing on ext2/ext3 - script to reproduce included]

: http://acl.bestbits.at/pipermail/acl-devel/2005-January/001822.html

测试脚本

#!/bin/sh
#Test acl bug may exist in kernel <= 2.6.10

set -e

mkdir testacl
cd testacl
mkdir mnt

dd if=/dev/zero of=filesystem count=512 >/dev/null 2>&1
losetup /dev/loop0 filesystem >/dev/null
mke2fs /dev/loop0 >/dev/null 2>&1
mount -o rw,acl /dev/loop0 mnt
cd mnt

mkdir -m 700 a b
setfacl -m u:bin:rwx a
setfacl -dm u:bin:rwx b
echo "ACL after cmd line 'setfacl -dm u:bin:rwx b'"
echo "-------------------------"
getfacl b
echo "-------------------------"
cd ..
umount mnt

mount -o rw,acl /dev/loop0 mnt
cd mnt
echo "ACL after remount"
echo "-------------------------"
getfacl b
echo "-------------------------"

if getfacl b | grep -q "^default:user:bin:rwx"; then
  echo -e "\nTest acl: success!\n"
else
  echo -e "\nTest acl: failed!\n"
fi

cd ..
umount mnt
losetup -d /dev/loop0
cd ..
rmdir testacl/mnt
rm    testacl/filesystem
rmdir testacl