ema*_*rti 7 acl backup permissions
为了备份服务器的“/home”目录树,我创建了一个“备份”帐户并使用 setfacl 使其可以读取整个目录。我的 cron 作业每晚都以 root 身份运行此命令:
setfacl -R -m u:backup:rx,d:u:backup:rx /home
很好,除了一个问题:每当我运行此命令时,它都会更改我的 ssh 密钥的组权限。
me@myserver:~/.ssh$ ls /home/me/.ssh/id_rsa -l
-rw-r-x---+ 1 me me 1679 Jan 8 18:35 /home/me/.ssh/id_rsa
好吧,这会导致我的 ssh 程序停止运行,因为它现在是组可读的。奇怪的是,getfacl 不同意这些权限。
me@myserver:~/.ssh$ getfacl /home/me/.ssh/id_rsa
getfacl: Removing leading '/' from absolute path names
# file: home/me/.ssh/id_rsa
# owner: me
# group: me
user::r--
user:backup:r-x
group::---
mask::r-x
other::---
getfacl 认为该文件不是组可读的。如果我运行明显的命令
chmod 400 id_rsa
权限是固定的,但每次我重新运行原始命令时都会恢复(setfacl -R -mu:backup:rx,d:u:backup:rx /home)。这是怎么回事?
注意:我确实希望我的 id_rsa 备份,所以我们不用担心这些安全隐患。
如果我们查看acl(5)手册页,我们会看到:
ACL 条目和文件权限位之间的对应关系
ACL 定义的权限是文件权限位指定的权限的超集。
文件属主、组等权限与具体的ACL表项之间存在对应关系:属主权限对应ACL_USER_OBJ表项的权限。如果 ACL 有 ACL_MASK 条目,则组权限对应于 ACL_MASK 条目的权限。否则,如果 ACL 没有 ACL_MASK 条目,组是否允许?sions 对应于 ACL_GROUP_OBJ 条目的权限。其他权限对应于 ACL_OTHER_OBJ 条目的权限。
如果您查看getfacl输出,您会看到maskis r-x,否则backup将无法访问该文件。
实际上,r-x在模式中并不意味着该me组有权访问该文件(它没有),只是其他人(用户或组)可能有权访问它。
尽管如此,因为ssh它是相同的,它还是不够好。
当您执行 时chmod 400,您清除了掩码,这意味着backup用户无法再访问它。
这有点令人困惑,但它可能是协调两种权限机制的最佳方法。
对于您的问题,您可能需要将备份作为root或使用功能。
我的 ssh 的行为并非如此(openssh-6.0p1-2.3.3)。
\n\n查看 ssh 调用的 strace 输出(仅检查文件)会很有趣。
\n\n我普遍怀疑这是一个好的策略。为什么不使用 root 进行备份?或者至少将 CAP_DAC_READ_SEARCH 和 CAP_DAC_OVERRIDE 提供给 backup\xc2\xa0process(使用 setcap 或 Apparmor)?
\n