Как интерпретировать символ 'в строке, прошедшей через SSH

Да, ACL: s позволяют свободно устанавливать разные права для разных пользователей или групп. IIRC обычные групповые разрешения ограничивают набор разрешений, которые группы и пользователи могут иметь через ACL: s (показанные как маска в getfacl ), но setfacl должен иметь дело с этим, если вы добавите разрешения.

Но в некоторых случаях вам нужно спросить, имеет ли смысл набор разрешений.

У меня 3 пользователя с этими разрешениями ....
- user1 rwx
- user2 rw_
- user3 r__

Вы можете реализовать это с помощью ACL: s или (приблизительно) с обычными разрешениями Unix, сделав user1 владельцем файла, user2 членом группы, и предоставив другим, включая user3, доступ для чтения. Хотя тогда каждый (имеющий доступ к каталогу) также будет иметь доступ для чтения.

Давайте рассмотрим значение этих разрешений. Один пользователь может читать, а другой - читать и писать. Это совершенно нормально. Ни у одного из них нет доступа для выполнения файла, но тогда предполагается, что третий пользователь тоже сможет это сделать.

На мой взгляд, это не имеет особого смысла. Любой пользователь, который может читать файл, может сделать копию (*), пометить его как исполняемый и запустить без доступа к выполнению исходного файла. Единственная ситуация, в которой есть смысл иметь доступ на выполнение для одних пользователей, но не для других, - это когда исполняемый файл имеет повышенные привилегии через suid. Но если бы это было так, у вас также не должно быть других пользователей с доступом на запись в файл.

В том же смысле слова user4 с -wx и user5 с - x для меня не имеют смысла. Доступ только для записи мог бы иметь смысл, если бы была возможность разрешить только добавления , но система разрешений не такая детализированная.

_{(* если они не могут никуда писать)}

Хотя, если мы удалим странное требование для бита x , у нас останется файл, в котором user1 и user2 должны иметь доступ на запись , а user3 должен иметь доступ для чтения. С традиционной моделью было бы легко работать с одним писателем и несколькими читателями, но в этом случае потребуются уловки, чтобы объединить права доступа к файлам с разрешениями содержащего его каталога. К счастью, во многих случаях достаточно одного пользователя с большим количеством разрешений.

Без требования к биту выполнения это похоже на случай использования ACL: s. Но вместе с тем этот конкретный пример мне кажется довольно запутанным.