아마도 뭔가 분명한 것을 놓치고 있는 것 같지만... 볼 수는 없습니다.
NFSv4 ACL에 의해 제어되는 FreeBSD에 일반 디렉토리가 있습니다. ACL에서는 내용을 나열할 수 없다고 말합니다.
다음은 getfacl문제 디렉토리와 해당 상위 + 조상의 출력입니다.
# getfacl /mnt/data_dir/working_dir/
# owner: root
# group: wheel
group:data_managers:-w-pDd--------:-------:deny
everyone@:r-------------:-------:allow
group:data_managers:rwxpDda-R-c---:fd-----:allow
owner@:--------------:fd-----:allow
group@:--------------:fd-----:allow
everyone@:--x-----------:-d-----:allow
# file: /mnt/data_dir
# owner: root
# group: wheel
owner@:rwxpDdaARWcCos:fd-----:allow
group@:rwxpDdaARWcCos:fd-----:allow
everyone@:r-x---a-R-c---:fd-----:allow
# file: /mnt
# owner: root
# group: wheel
user::rwx
group::r-x
other::r-x
su새로 만든 계정에 ACL 문제가 있습니다 . 이 계정은 관련 디렉터리의 소유자도 아니고 wheel또는 의 구성원도 아니므 data_managers로 해당 계정의 유일한 권한은 "모든 사람(세계)" 권한/ACL에서 나옵니다.
$ su -f restricted_user
% id
uid=1100(restricted_user) gid=65533(nogroup) groups=65533(nogroup),4003(restricted_users)
% pwd
/mnt/data_dir/working_dir
% ls
ls: .: Permission denied
난 이해가 안 돼요. 디렉터리의 전체 권한은 everyone@:r .....("x"의 하위 디렉터리로 상속되지만 "r"은 상속되지 않음)입니다. r콘텐츠는 세상이 읽을 수 있도록 힘을 실어주어야 합니다 working_dir. 멤버가 아니며 data_managers멤버인 경우 ACE를 거부해도 rOR이 거부되지는 않습니다 x. 그 곳으로 시간여행을 갈 수 있어요. 하지만 그 내용을 읽을 수는 없습니다.
내가 놓친 게 무엇입니까?
답변1
이제 탐색 및 재현 가능하며 FreeBSD ACL 평가에서 버그로 제출되었습니다.