我已经阅读了很多关于 UNIX ACL 有多棒的文章。例如,可以在此处查看一个很好的示例。但是,有什么缺点或配置不能用ACL来表达吗?
这可能会因征求意见或过于宽泛而被关闭,但我会尽力而为。“UNIX ACL”是一种非常间接的引用方式。我假设你的意思是 POSIX 风格的 ACL。主要的缺点是您可以指定的操作数量缺乏表现力,因为它只是扩展了传统的读/写/执行权限,这样您就可以指定更多的用户而不仅仅是所有者和更多的组,而不仅仅是文件的主要组.
不过,这些限制中的大多数并不重要,而 rwx 可以满足大多数人的需求。一旦您将文件属性考虑在内,例如使文件不可变或仅附加(通过chattr),其他访问控制通常会达到“足够接近”的范围。
不过,除了 POSIX 之外,还有其他 ACL 实现。有一个用于在文件系统级别实现 NFS ACL 的方法,称为richacls,但目前支持尚不完整。
POSIX ACL 也不能真正控制自己的能力执行。他们必须将这种能力添加到 SELinux 中,这样你就可以做一些事情,比如给一个用户CAP_CHOWN一般的东西,但限制他们对具有特定 SELinux 类型的文件这样做。
| 归档时间: |
|
| 查看次数: |
2339 次 |
| 最近记录: |