getfacl 说我的非特权帐户应该能够读取目录的内容,但它不能

getfacl 说我的非特权帐户应该能够读取目录的内容,但它不能

我可能错过了一些明显的东西......但我看不到它。

我在 FreeBSD 上有一个普通目录,由 NFSv4 ACL 控制。 ACL 说我可以列出其内容;但我不能。

这是getfacl问题目录及其父级+祖级的输出:

 # getfacl /mnt/data_dir/working_dir/
# owner: root
# group: wheel
group:data_managers:-w-pDd--------:-------:deny
everyone@:r-------------:-------:allow
group:data_managers:rwxpDda-R-c---:fd-----:allow
owner@:--------------:fd-----:allow
group@:--------------:fd-----:allow
everyone@:--x-----------:-d-----:allow

  # file: /mnt/data_dir
# owner: root
# group: wheel
owner@:rwxpDdaARWcCos:fd-----:allow
group@:rwxpDdaARWcCos:fd-----:allow
everyone@:r-x---a-R-c---:fd-----:allow

  # file: /mnt
# owner: root
# group: wheel
user::rwx
group::r-x
other::r-x

su作为新创建的帐户存在 ACL 问题。该帐户不是任何相关目录的所有者,也不是wheel或的成员data_managers,因此其唯一的权利源于“每个人(世界)”权限/ACL。

 $ su -f restricted_user
 % id
uid=1100(restricted_user) gid=65533(nogroup) groups=65533(nogroup),4003(restricted_users)
 % pwd
/mnt/data_dir/working_dir
 % ls
ls: .: Permission denied

我不明白。该目录的世界权限是everyone@:r .....(向下继承到“x”的子目录,但不是“r”)。r应该赋予全世界阅读 的内容的权利working_dir。它不是 的成员data_managers,如果是,则拒绝 ACE 并不否认rx。我可以穿越到它。但我无法阅读其内容。

我错过了什么?

答案1

现在已探索并可重现,作为 FreeBSD ACL 评估中的错误提交:

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=228538

相关内容