Establecimiento de las ACL en archivos ZFS

Al implementarse con ZFS, las ACL se componen de una matriz de entradas de ACL. ZFS proporciona un modelo de ACL pura en el que todos los archivos disponen de una ACL. Normalmente, las ACL son triviales en el sentido de que únicamente representan las entradas de UNIX propietario/grupo/otros tradicionales.

Los archivos ZFS siguen teniendo bits de permisos y un modo; sin embargo, estos valores son más de una caché de lo que representa la ACL. Así, si cambia los permisos del archivo, su ACL se actualiza en consonancia. Además, si elimina una ACL no trivial que concedía a un usuario acceso a un archivo o directorio, ese usuario quizá siga disponiendo de acceso gracias a los bits de permisos del archivo o directorio que conceden acceso al grupo o a todos los usuarios. Todas las decisiones de control de acceso se supeditan a los permisos representados en una ACL de archivo o directorio.

A continuación se proporcionan las reglas principales de acceso de ACL de un archivo ZFS:

• ZFS procesa entradas de ACL en el orden que figuran en la ACL, de arriba abajo.

• Sólo se procesan las entradas de ACL que tengan a "alguien" que coincida con quien solicita acceso.

• Una vez que se concede un permiso, una entrada de denegación de ACL posterior no lo puede denegar en el mismo conjunto de permisos de ACL.

• El permiso write_acl se concede de forma incondicional al propietario del archivo aunque el permiso se deniegue explícitamente. De lo contrario, se deniega cualquier permiso que no quede especificado.

  Cuando se deniegan permisos o falta un permiso de acceso, el subsistema de privilegios determina la solicitud de acceso que se concede al propietario del archivo o superusuario. Es un mecanismo para permitir que los propietarios de archivos siempre puedan acceder a sus archivos y que los superusuarios puedan modificar archivos en situaciones de recuperación.

Si en un directorio se establece una ACL no trivial, los directorios secundarios no heredan la ACL de manera automática. Si se establece una ACL no trivial y desea que la hereden los directorios subordinados, debe utilizar los indicadores de herencia de ACL. Para obtener más información, consulte la Tabla 8-3 y Establecimiento de herencia de ACL en archivos ZFS en formato detallado.

Al crear un archivo, y en función del valor umask, se aplica una ACL similar a la siguiente:

$ ls -v file.1
-rw-r--r--   1 root     root      206663 Jun 23 15:06 file.1
     0:owner@:read_data/write_data/append_data/read_xattr/write_xattr
         /read_attributes/write_attributes/read_acl/write_acl/write_owner
         /synchronize:allow
     1:group@:read_data/read_xattr/read_attributes/read_acl/synchronize:allow
     2:everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize
         :allow

Cada categoría de usuario (owner@, group@, everyone@) tiene una entrada de ACL en este ejemplo.

A continuación se proporciona una descripción de esta ACL de archivo:

0:owner@

El propietario puede leer y modificar el contenido del archivo ( read_data/write_data/append_data/read_xattr). También puede modificar atributos del archivo, como indicaciones de hora, atributos extendidos y ACL (write_xattr/read_attributes/write_attributes/ read_acl/write_acl). Además, puede modificar la propiedad del archivo (write_owner:allow).

El permiso de acceso synchronize no está implementado en la actualidad.

1:group@

Se concede al grupo permisos de lectura del archivo y los atributos del archivo (read_data/read_xattr/read_attributes/read_acl:allow).

2:everyone@

Se concede a quienes no sean usuario ni grupo permisos de lectura del archivo y los atributos del archivo (read_data/read_xattr/read_attributes/read_acl/synchronize:allow ). El permiso de acceso synchronize no está implementado en la actualidad.

Si se crea un directorio, y según el valor de umask, una ACL de directorio predeterminada tendrá un aspecto similar al siguiente:

$ ls -dv dir.1
drwxr-xr-x   2 root     root           2 Jun 23 15:06 dir.1
     0:owner@:list_directory/read_data/add_file/write_data/add_subdirectory
         /append_data/read_xattr/write_xattr/execute/read_attributes
         /write_attributes/read_acl/write_acl/write_owner/synchronize:allow
     1:group@:list_directory/read_data/read_xattr/execute/read_attributes
         /read_acl/synchronize:allow
     2:everyone@:list_directory/read_data/read_xattr/execute/read_attributes
         /read_acl/synchronize:allow

A continuación se proporciona una descripción de esta ACL de directorio:

0:owner@

El propietario puede leer y modificar el contenido del directorio (list_directory/read_data/add_file/write_data/add_subdirectory/append_data ), buscar el contenido (execute), y leer y modificar los atributos de un archivo, como las indicaciones de horas, los atributos ampliados, y las ACL (/read_xattr/write_xattr/read_attributes/write_attributes/read_acl/write_acl ). Además, puede modificar la propiedad del directorio (write_owner:allow).

El permiso de acceso synchronize no está implementado en la actualidad.

1:group@

El grupo puede mostrar y leer el contenido y los atributos del directorio. Además, tiene permisos de ejecución para buscar en el contenido del directorio (list_directory/read_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow ).

2:everyone@

Se concede a quien no sea usuario ni grupo permisos de lectura y ejecución del contenido y los atributos del directorio (list_directory/read_data/read_xattr/execute/read_attributes/read_acl/synchronize:allow ). El permiso de acceso synchronize no está implementado en la actualidad.