Comprensión del comando’setfacl’ de Linux

4.6 (92.2%) 164 votes


La utilidad Setfacl establece Listas de Control de Acceso (ACLs) de archivos y directorios. En la línea de comandos, una secuencia de comandos es seguida por una secuencia de archivos (que a su vez puede ser seguida por otra secuencia de comandos, ….).

  • Las opciones -m, y -x esperan un ACL en la línea de comandos. Las entradas múltiples de ACL están separadas por comas (`,’). Las opciones -M, y -X leen un ACL desde un archivo o desde una entrada estándar. El formato de entrada ACL se describe en la sección ACL ENTRADAS.
  • Las opciones –set y –set-file establecen el ACL de un archivo o directorio. Se reemplaza el ACL anterior. Las entradas ACL para esta operación deben incluir permisos.
  • Las opciones -m (–modify) y -M (–modify-file) modifican el ACL de un archivo o directorio. Las entradas ACL para esta operación deben incluir permisos.
  • Las opciones -x (–remove) y -X (–remove-file) eliminan ACL enries. Sólo se aceptan como parámetros las entradas ACL sin el campo perms, a menos que se defina POSIXLY_CORRECT.

Cuando se lee desde archivos usando las opciones -M, y -X, setfacl acepta la salida que produce getfacl. Hay como máximo una entrada ACL por línea. Después de un signo de libra (`#’), todo hasta el final de la línea es tratado como un comentario.

Si setfacl se utiliza en un sistema de ficheros que no soporta ACLs, setfacl opera en los bits de permiso del modo de fichero. Si la ACL no encaja completamente en los bits de permiso, setfacl modifica los bits de permiso del modo de archivo para reflejar la ACL lo más fielmente posible, escribe un mensaje de error en el error estándar y vuelve con un estado de salida mayor que 0

.

Sinopsis

setfacl [-bkndRLPvh][{-m|-x} acl_spec][{-M|-X} acl_file] file ….

setfacl –restore=file

Permisos

El propietario del fichero y los procesos capaces de CAP_FOWNER tienen derecho a modificar las ACLs de un fichero. Esto es análogo a los permisos necesarios para acceder al modo de archivo. (En los sistemas Linux actuales, root es el único usuario con la capacidad CAP_FOWNER.)

Opciones

-b, –remove-all

  • Eliminar todas las entradas ACL extendidas. Se conservan las entradas ACL base del propietario, grupo y otros.

-k, –remove-default

  • Elimine el ACL predeterminado. Si no existe ningún ACL predeterminado, no se emitirán advertencias.

-n, –no-mask

  • No recalcule la máscara de derechos efectivos. El comportamiento por defecto de setfacl es recalcular la entrada de la máscara ACL, a menos que se haya dado explícitamente una entrada de máscara. La entrada de la máscara se establece en la unión de todos los permisos del grupo propietario, y todas las entradas de usuario y grupo con nombre. (Estas son exactamente las entradas afectadas por la entrada de la máscara).

–mask

  • Vuelva a calcular la máscara de derechos efectivos, incluso si se ha dado explícitamente una entrada de máscara ACL. (Véase la opción -n ).

-d, –default

  • Todas las operaciones se aplican al ACL predeterminado. Las entradas regulares de ACL en el conjunto de entradas se promueven a entradas de ACL predeterminadas. Las entradas ACL predeterminadas del conjunto de entradas se descartan. (Se emite una advertencia en caso de que eso ocurra).

–restore=file

  • Restaurar una copia de seguridad de permisos creada por `getfacl -R’ o similar. Todos los permisos de un subárbol de directorio completo se restauran utilizando este mecanismo. Si la entrada contiene comentarios del propietario o comentarios del grupo, y setfacl se ejecuta por root, el propietario y el grupo propietario de todos los archivos también se restauran. Esta opción no se puede mezclar con otras opciones excepto `–test’.

–test

  • Modo de prueba. En lugar de cambiar las ACL de cualquier archivo, se enumeran las ACL resultantes.

-R, –recursive

  • Aplicar operaciones a todos los archivos y directorios de forma recursiva. Esta opción no se puede mezclar con `–restore’.

-L, –logical

  • Paseo lógico, seguir enlaces simbólicos. El comportamiento predeterminado es seguir los argumentos de los enlaces simbólicos y omitir los enlaces simbólicos que se encuentran en los subdirectorios. Esta opción no se puede mezclar con `–restore’.

-P, –physical

  • Caminata física, salte todos los enlaces simbólicos. Esto también salta los argumentos simbólicos de los enlaces. Esta opción no se puede mezclar con `–restore’.

–version

  • Imprimir la versión de setfacl y salir.

–help

  • Imprimir la ayuda explicando las opciones de la línea de comandos.

Opciones de fin de línea de comandos. Todos los demás parámetros se interpretan como nombres de archivo, incluso si comienzan con un guión.

Si el parámetro de nombre de archivo es un solo guión, setfacl lee una lista de archivos de la entrada estándar.

Entradas ACL

La utilidad setfacl reconoce los siguientes formatos de entrada ACL:

  • [d[efault]:] [u[ser]:] uid [: perms]
  • Permisos de un usuario nombrado. Permisos del propietario del archivo si uid está vacío.
  • [d[efault]:] g[roup]: gid [: perms]
  • Permisos de un grupo nombrado. Permisos del grupo propietario si gid está vacío.
  • [d[efault]:] m[ask][:] [: perms]
  • Máscara de derechos efectivos
  • [d[efault]:] o[ther][:] [: perms]
  • Permisos de otros

Se ignoran los espacios en blanco entre los caracteres delimitadores y los caracteres no delimitadores.

Las entradas ACL adecuadas, incluidos los permisos, se utilizan en las operaciones de modificación y establecimiento. (opciones -m, -M, –set y –set-file). Las entradas sin el campo perms se utilizan para la eliminación de entradas (opciones -x y -X).

Para uid y gid puede especificar un nombre o un número.

El campo perms es una combinación de caracteres que indican los permisos: read (r), write (w), execute (x), execute (x), execute only if the file is a directory or already has execute permission for some user (X). Alternativamente, el campo perms puede ser un dígito octal (0-7).

Entradas creadas automáticamente

Inicialmente, los archivos y directorios contienen sólo las tres entradas ACL básicas para el propietario, el grupo y otros. Hay algunas reglas que necesitan ser satisfechas para que un ACL sea válido:

  • Las tres entradas base no se pueden eliminar. Debe haber exactamente una entrada de cada una de estas clases de entrada base.
  • Siempre que una ACL contenga entradas de usuario con nombre u objetos de grupo con nombre, también debe contener una máscara de derechos efectiva.
  • Siempre que una ACL contenga entradas ACL predeterminadas, también deben existir las tres entradas base ACL predeterminadas (propietario predeterminado, grupo predeterminado y otros valores predeterminados).
  • Siempre que una ACL predeterminada contenga entradas de usuario con nombre u objetos de grupo con nombre, también debe contener una máscara de derechos efectivos predeterminada.

Para ayudar al usuario a asegurar estas reglas, setfacl crea entradas a partir de entradas existentes bajo las siguientes condiciones:

  • Si una ACL contiene entradas de usuario o de grupo con nombre, y no existe ninguna entrada de máscara, se crea una entrada de máscara que contiene los mismos permisos que la entrada de grupo. A menos que se indique la opción -n, los permisos de la entrada de la máscara se ajustan para incluir la unión de todos los permisos afectados por la entrada de la máscara. (Véase la descripción de la opción -n).
  • Si se crea una entrada ACL predeterminada y la ACL predeterminada no contiene ninguna entrada de propietario, grupo propietario u otros, se agrega una copia del propietario de la ACL, grupo propietario u otros a la ACL predeterminada.
  • Si una ACL predeterminada contiene entradas de usuario o entradas de grupo con nombre, y no existe ninguna entrada de máscara, se agrega una entrada de máscara que contiene los mismos permisos que la entrada de grupo predeterminada de la ACL predeterminada. A menos que se indique la opción -n, los permisos de la entrada de la máscara se ajustan para incluir la unión de todos los permisos afectados por la entrada de la máscara. (Véase la descripción -nopción).

Ejemplos

  • Conceder acceso de lectura a un usuario adicional
  • setfacl -m u:lisa:r archivo
  • Revocación del acceso de escritura de todos los grupos y todos los usuarios nombrados (utilizando la máscara de derechos efectivos)
  • setfacl -m m::rx archivo
  • Eliminación de una entrada de grupo con nombre de una ACL de un archivo
  • setfacl -x g:archivo de pentagrama
  • Copiar el ACL de un archivo a otro
  • getfacl file1 | setfacl –set-file=- file2
  • Copiar la ACL de acceso en la ACL predeterminada
  • getfacl -a dir | setfacl -d -M- dir

Conformidad con el Proyecto de Norma 17 Posix 1003.1e

Si se define la variable de entorno POSIXLY_CORRECT, el comportamiento por defecto de setfacl cambia como sigue: Todas las opciones no estándar están deshabilitadas. El prefijo «default:»’ está desactivado. Las opciones -x y -X también aceptan campos de permiso (e ignorarlos).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *