鉴于可以将用户添加到多个组,因此我需要限制对文件的组交集而不是组的并集或子集的访问。
更具体地说,给定权限组A和组B,我想限制属于以下成员的用户的访问A 和 B,而不是A-only 或B-only 的成员。当前 ACL 使用允许您限制属于A 或者 B通过添加到文件的 ACL。
我考虑过的最接近的是某种嵌套目录方案/dir_A/subdir_B/file。这里dir_A目录对具有只执行权限A,subdir_B对具有只执行权限B,文件对具有只读权限 ACL A。B据我了解,这只会阻止列出文件,而不会阻止仅具有组成员身份的用户A在给定完整文件路径的情况下读取文件。
答案1
ACL 只会使情况变得复杂,因此对于这个问题,请忽略它们。
鉴于这种:
drwx--x--- userC groupA directory_A
drwxr-x--- userC groupB directory_A/directory_B
的内容directory_B仅可由userC和 用户访问,并且两个都 group_A和group_B。
仅其中一个组 (除 之外ownerC) 中的任何人都会被一个目录或另一个目录阻止。
这听起来就像你提议的,所以我不明白你为什么这么说”给出完整文件路径,不会阻止仅具有 A 组成员身份的用户读取文件“。