mask

mask 权限,指的是用户或群组能拥有的最大 ACL 权限,也就是说,给用户或群组设定的 ACL 权限不能超过 mask 规定的权限范围,超出部分做无效处理。

mask:
用于临时降低用户或组(除属主和其他人)的权限
mask决定了他们的最高权限
建议:为了方便管理文件权限,其他人的权限置为空

root

  1. [root@bogon ~]# touch /home/file1
  2. [root@bogon ~]# setfacl -m user:alice:r,user:jack:rw,g:hr:rwx /home/file1
  3. [root@bogon ~]# getfacl /home/file1
  4. getfacl: Removing leading '/' from absolute path names
  5. # file: home/file1
  6. # owner: root
  7. # group: root
  8. user::rw-
  9. user:alice:r--
  10. user:jack:rw-
  11. group::r--
  12. group:hr:rwx
  13. mask::rwx
  14. other::r--
  15. [root@bogon ~]# setfacl -m m::r /home/file1 //修改mask权限
  16. [root@bogon ~]# getfacl /home/file1
  17. getfacl: Removing leading '/' from absolute path names
  18. # file: home/file1
  19. # owner: root
  20. # group: root
  21. user::rw-
  22. user:alice:r--
  23. user:jack:rw- #effective:r--
  24. group::r--
  25. group:hr:rwx #effective:r--
  26. mask::r--
  27. other::r--
  28. [root@bogon ~]# setfacl -m m::- /home/file1 //修改mask权限
  29. [root@bogon ~]# getfacl /home/file1
  30. getfacl: Removing leading '/' from absolute path names
  31. # file: home/file1
  32. # owner: root
  33. # group: root
  34. user::rw-
  35. user:alice:r-- #effective:---
  36. user:jack:rw- #effective:---
  37. group::r-- #effective:---
  38. group:hr:rwx #effective:---
  39. mask::---
  40. other::r--
  41. [root@bogon ~]# setfacl -m o::- /home/file1 // 修改其他用户没有权限
  42. [root@bogon ~]# getfacl /home/file1
  43. getfacl: Removing leading '/' from absolute path names
  44. # file: home/file1
  45. # owner: root
  46. # group: root
  47. user::rw-
  48. user:alice:r--
  49. user:jack:rw-
  50. group::r--
  51. group:hr:rwx
  52. mask::rwx
  53. other::---
  54. [root@bogon ~]# setfacl -m m::- /home/file1 //修改mask权限为没有权限
  55. [root@bogon ~]# getfacl /home/file1
  56. getfacl: Removing leading '/' from absolute path names
  57. # file: home/file1
  58. # owner: root
  59. # group: root
  60. user::rw-
  61. user:alice:r-- #effective:---
  62. user:jack:rw- #effective:---
  63. group::r-- #effective:---
  64. group:hr:rwx #effective:---
  65. mask::---
  66. other::---
[alice@bogon ~]$ cat /home/file1 
cat: /home/file1: 权限不够

default

default:继承(默认)
root

[root@bogon ~]# mkdir /111
[root@bogon ~]# setfacl -m d:u:alice:rwx /111
[root@bogon ~]# getfacl  /111
getfacl: Removing leading '/' from absolute path names
# file: 111
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:alice:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

root

[root@bogon ~]# mkdir /111/222
[root@bogon ~]# getfacl  /111/222
getfacl: Removing leading '/' from absolute path names
# file: 111/222
# owner: root
# group: root
user::rwx
user:alice:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:alice:rwx
default:group::r-x
default:mask::rwx
default:other::r-x
[root@bogon ~]# setfacl -m u:alice:rwx /111  // 当前目设置acl权限
[root@bogon ~]# setfacl -m d:u:alice:rwx /111    // 以后创建的目录才会出现acl权限  d--defalut

参考文件:https://www.cnblogs.com/fengdejiyixx/p/10887223.html