acl的使用问题？？

tzfox

ACL是因为方便系统管理员设置权限所用的。
所有有这样一个问题，普通用户可以使用setfacl吗？
比如一个由普通用户创建的文件，它可以使用setfacl规定把让自己的文件被自己指定的用户识别吗？
我觉得有点像悖论，如果说自己的文件都不能设置让别人来看，似乎有点不合逻辑。但这样做的话，又感觉是普通用户可以把root用户设置的ACL权限修改，又没有道理。

今天给别人讲的，本着对大家负责的态度，所以想求证一下。但是在虚拟机FC3的环境下，不管是普通用户还是root，使用setfacl这个命令老是说不允许。查阅网上的资料，涉及到setfacl的几乎没有前缀，我都不知道是不是普通用户修改的。查阅版内，有一个是用普通用户进行修改的，但因为存有上面这个问题，所以不敢确认。
哪位兄弟对这个问题认识的比较深刻，劳烦告诉一声。

kissingwolf

这里有一份详细实验的步骤和文档：
http://www.vanemery.com/Linux/ACL/linux-acl.html

老老实实自己做一边就知道了！ 这样可以通过测试就完成的问题，尽量不要来麻烦别人！

另：
FC3 acl出问题可能是你没有设置正确的Selinux context ， 如果你不会设，就关了它！

qucklay

没看懂说什么，ACL访问控制是Actions on object，你要修改ACL就必须是这个对象的ownership（可以通过chown命令来获得)。
如果某个命令不能执行要么是你不是它的所有者，要么你不存在它的ACL中，可能还有其他情况

tzfox

Post by qucklay;1907802
没看懂说什么，ACL访问控制是Actions on object，你要修改ACL就必须是这个对象的ownership（可以通过chown命令来获得)。
如果某个命令不能执行要么是你不是它的所有者，要么你不存在它的ACL中，可能还有其他情况

如果这样说的话，那么应该文件的所有者也能使用setfacl命令对自己的文件进行设置了，比如我是文件A的所有者，那么我就可以让A文件被另外一个用户（比如说testuser1）所读写执行。root用户也能对文件A使用setfacl命令，让testuser1对A进行读写执行操作。
不知道我这样理解是否正确。

qucklay

Just DO It.
如果考试我可能会给你打100分，但我不是应试教育者。。。

在一个系统中Administrator总是优先拥有所有对象ownership，即使没有显示的设置管理员为文件的所有者，它也隐含存在。
有些LINUX系统可能不是按这种规定，我也不太清楚。