おそらく何か明らかなものを見逃しているようですが…見ることはできません。
NFSv4 ACL によって制御される FreeBSD には通常のディレクトリがあります。 ACLは内容をリストできないと言います。
以下は、getfacl
問題ディレクトリとその親+祖先の出力です。
# getfacl /mnt/data_dir/working_dir/
# owner: root
# group: wheel
group:data_managers:-w-pDd--------:-------:deny
everyone@:r-------------:-------:allow
group:data_managers:rwxpDda-R-c---:fd-----:allow
owner@:--------------:fd-----:allow
group@:--------------:fd-----:allow
everyone@:--x-----------:-d-----:allow
# file: /mnt/data_dir
# owner: root
# group: wheel
owner@:rwxpDdaARWcCos:fd-----:allow
group@:rwxpDdaARWcCos:fd-----:allow
everyone@:r-x---a-R-c---:fd-----:allow
# file: /mnt
# owner: root
# group: wheel
user::rwx
group::r-x
other::r-x
su
新しく作成したアカウントにACLの問題があります。このアカウントは関連ディレクトリの所有者でもメンバーでもないwheel
ため、data_managers
そのアカウントの唯一の権限は「全員(世界)」権限/ ACLから来ます。
$ su -f restricted_user
% id
uid=1100(restricted_user) gid=65533(nogroup) groups=65533(nogroup),4003(restricted_users)
% pwd
/mnt/data_dir/working_dir
% ls
ls: .: Permission denied
私は理解できません。ディレクトリの完全な権限はeveryone@:r .....
(「x」の子ディレクトリに継承されますが、「r」は継承されません)です。r
コンテンツは世界が読めるように力を入れなければなりませんworking_dir
。メンバーではなくdata_managers
メンバーの場合、ACEを拒否してもr
ORは拒否されませんx
。そこに時間旅行が行けます。しかし、その内容を読むことはできません。
私が逃したものは何ですか?
ベストアンサー1
これでナビゲーションと再現性があり、FreeBSD ACL評価でバグとして提出されました。