การใช้ setfacl เพื่อให้สมาชิกกลุ่มสามารถเขียนไฟล์ใด ๆ ในไดเรกทอรี

ฉันต้องการใช้ setfacl เพื่อให้ทุกคนในกลุ่ม 'แอป' สามารถแก้ไขไฟล์ใด ๆ ที่มีอยู่ใน / usr / local / users / app โดยไม่คำนึงถึงสิ่งที่สิทธิ์ UNIX ดั้งเดิมพูด ฉันมีผู้ใช้สองคนคือจอห์นและเบ็น ฉันพยายามติดตามคำแนะนำจากคำถามอื่นแต่จอห์นไม่สามารถเขียนไปยังไฟล์บางไฟล์ได้ ดูเหมือนว่านี่เป็นเพราะหน้ากาก ACL อย่างไรก็ตามฉันได้ตั้งค่ามาสก์เริ่มต้นในไดเรกทอรีของ rwx แล้วไฟล์ในนั้นจะไม่สืบทอดเมื่อสร้าง

เช่น john ไม่สามารถเขียนไฟล์ด้านล่างนี้ได้ แต่เขาเป็นสมาชิกของกลุ่ม 'app' ที่มีการเขียน acls ลงในไฟล์ดังนั้นฉันจึงประหลาดใจที่เขาไม่สามารถแก้ไขไฟล์ได้

ben@app1:/usr/local/users$ ls -la app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar 
-rw-r--r--+ 1 ben users 38326 Apr  2 10:21 app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar

ben@app1:/usr/local/users/app$ getfacl app-1.0-SNAPSHOT/lib/
# file: app-1.0-SNAPSHOT/lib/
# owner: ben
# group: users
user::rwx
group::rwx          #effective:r-x
group:app:rwx       #effective:r-x
mask::r-x
other::r-x
default:user::rwx
default:group::rwx
default:group:app:rwx
default:mask::rwx
default:other::r-x

ben@app1:/usr/local/users$ getfacl app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar 
# file: app/app-1.0-SNAPSHOT/lib/play.templates_2.10-2.1.1.jar
# owner: ben
# group: users
user::rw-
group::rwx          #effective:r--
group:app:rwx       #effective:r--
mask::r--
other::r--

คุณจะสังเกตเห็นความคิดเห็น "มีประสิทธิภาพ" ที่ getfacl กำลังขว้างใส่คุณ ปัญหาคือการอนุญาตกำลังคำนวณเพื่อให้ "แอป" ไม่ได้รับการตั้งค่าบิตการเขียน เกิดขึ้นเพราะมาสก์บนไฟล์ถูกตั้งค่าเป็นแบบอ่านอย่างเดียว มาสก์ถูกใช้เพื่อ จำกัด จำนวนสิทธิ์ที่อาจมอบให้กับไฟล์หรือไดเรกทอรีเฉพาะ

ตัวอย่างของสาเหตุที่คุณต้องการให้พฤติกรรมนี้เป็นเช่นถ้าคุณรู้ว่าไฟล์นั้นต้องการผู้ใช้ / กลุ่มที่แตกต่างกันเพื่อให้สามารถเข้าถึงได้ แต่ด้วยเหตุผลบางอย่างที่ซับซ้อนขึ้นด้วยการอนุญาตและคุณต้องการวิธีที่จะพูดว่า การอนุญาตเริ่มต้นถูกตั้งค่าเป็นไม่ว่าจะเป็นสมาชิกกลุ่มของพวกเขาหรืออะไรก็ตามที่ setfacl แบบเรียกซ้ำได้รับการดำเนินการในภายหลังไม่ จำกัด ไม่ให้สิ่งนี้ ! ผู้ใช้ที่เป็นเจ้าของมีสถานะพิเศษในโลก POSIX แต่ก็มีสิทธิ์ที่ผู้ใช้รายอื่นไม่มีเช่นความสามารถในการไม่ใช่สิทธิ์การใช้งานและเปลี่ยนสิทธิ์ไฟล์และมีสิทธิ์ไม่ถูก จำกัด โดยมาสก์ (ซึ่งจะเป็น อย่างไรก็ตามไม่มีจุดหมายเพราะสิทธิพิเศษครั้งแรกที่ระบบมอบให้) นี่คือเหตุผลที่พวกเขายังคงได้รับ rwx แม้ว่าหน้ากากถูก จำกัด

หากต้องการตอบคำถามเฉพาะของคุณให้เพิ่มบิตการเขียนลงในหน้ากากบนไฟล์แล้วลองอีกครั้งในฐานะjohnผู้ใช้

นี่คือรุ่นบรรทัดคำสั่งของคำอธิบายข้างต้นโปรดสังเกตว่าสิทธิในการเปลี่ยนแปลง "ประสิทธิภาพ" เมื่อใดก็ตามที่ฉันแก้ไขเป็นมาสก์

มันเป็นไปไม่ได้. cp, rsync ฯลฯ สร้างไฟล์โดยไม่คำนึงถึง ACL เริ่มต้น

เหตุใด cp ไม่เคารพ ACL