Re: ACL group vs mask

[Simon Reinhardt <simon.reinhardt@stud.uni-regensburg.de>]

Am 03.12.2012 02:17, schrieb Michael Strauß:
> Am Sun, 02 Dec 2012 15:43:30 +0100
> schrieb Simon Reinhardt<simon.reinhardt@stud.uni-regensburg.de>:
>
> > Um wwwrun Zugriff zu geben habe ich einen ACL Eintrag
> > user:wwwrun:--x
> > gemacht. Damit dieser effektiv wirksam wird brauche ich noch einen Eintrag
> > mask::--x
> > Das Problem ist, dass dann die group permissions auch auf --x gesetzt
> > werden.
>
> Die angezeigten Unix-Group-Permissions (zum Beispiel bei 'ls -l') entsprechen
> bei gesetzten ACL nicht mehr der Owning-Group sondern der mask.
Ah, dann war es das, was ich übersehen habe. Vielen Dank.
Was mich etwas irritiert ist der Abschnitt "CORRESPONDENCE BETWEEN ACL 
ENTRIES AND FILE PERMISSION BITS" in der acl manpage. Da heißt es

"If the ACL has an ACL_MASK entry, the group permissions correspond to 
the permissions of the ACL_MASK entry.  Otherwise, if the ACL has no 
ACL_MASK entry, the group permissions correspond to the permissions of 
the ACL_GROUP_OBJ entry."

Ein ACL_GROUP_OBJ entry ist doch ein "group::<Permissions>".
Ist hier dann mit "group permissions" nur das gemeint, was ls -l anzeigt 
und nicht das was die Gruppe effektiv machen darf?

Gruß, Simon
 Möchtest du die
> Permissions der Owning-Group kontrollieren oder verändern musst du ebenfalls auf
> ACLs zurückgreifen.

> Hier ist das etwas genauer erklärt:
> http://users.suse.com/~agruen/acl/linux-acls/online/
>
> > Gleichzeitig sollen die Zugriffsrechte für group 000 sein.
>
> Dann solltest du ggf. folgende ACL definieren:
> group::---
>
> Grüße
> Michael