mask

mask 权限,指的是用户或群组能拥有的最大 ACL 权限,也就是说,给用户或群组设定的 ACL 权限不能超过 mask 规定的权限范围,超出部分做无效处理。

mask:
用于临时降低用户或组(除属主和其他人)的权限
mask决定了他们的最高权限
建议:为了方便管理文件权限,其他人的权限置为空

root

  1. [root@bogon ~]# touch /home/file1
  2. [root@bogon ~]# setfacl -m user:alice:r,user:jack:rw,g:hr:rwx /home/file1
  3. [root@bogon ~]# getfacl /home/file1 
  4. getfacl: Removing leading '/' from absolute path names
  5. # file: home/file1
  6. # owner: root
  7. # group: root
  8. user::rw-
  9. user:alice:r--
  10. user:jack:rw-
  11. group::r--
  12. group:hr:rwx
  13. mask::rwx
  14. other::r--
  16. [root@bogon ~]# setfacl -m m::r /home/file1  //修改mask权限
  17. [root@bogon ~]# getfacl /home/file1 
  18. getfacl: Removing leading '/' from absolute path names
  19. # file: home/file1
  20. # owner: root
  21. # group: root
  22. user::rw-
  23. user:alice:r--
  24. user:jack:rw-            #effective:r--
  25. group::r--
  26. group:hr:rwx            #effective:r--
  27. mask::r--
  28. other::r--
  30. [root@bogon ~]# setfacl -m m::- /home/file1 //修改mask权限
  31. [root@bogon ~]# getfacl /home/file1 
  32. getfacl: Removing leading '/' from absolute path names
  33. # file: home/file1
  34. # owner: root
  35. # group: root
  36. user::rw-
  37. user:alice:r--            #effective:---
  38. user:jack:rw-            #effective:---
  39. group::r--            #effective:---
  40. group:hr:rwx            #effective:---
  41. mask::---
  42. other::r--
  44. [root@bogon ~]# setfacl -m o::- /home/file1 // 修改其他用户没有权限
  45. [root@bogon ~]# getfacl /home/file1 
  46. getfacl: Removing leading '/' from absolute path names
  47. # file: home/file1
  48. # owner: root
  49. # group: root
  50. user::rw-
  51. user:alice:r--
  52. user:jack:rw-
  53. group::r--
  54. group:hr:rwx
  55. mask::rwx
  56. other::---
  58. [root@bogon ~]# setfacl -m m::- /home/file1 //修改mask权限为没有权限
  59. [root@bogon ~]# getfacl /home/file1 
  60. getfacl: Removing leading '/' from absolute path names
  61. # file: home/file1
  62. # owner: root
  63. # group: root
  64. user::rw-
  65. user:alice:r--            #effective:---
  66. user:jack:rw-            #effective:---
  67. group::r--            #effective:---
  68. group:hr:rwx            #effective:---
  69. mask::---
  70. other::---
[alice@bogon ~]$ cat /home/file1 
cat: /home/file1: 权限不够

default

default:继承(默认)
root

[root@bogon ~]# mkdir /111
[root@bogon ~]# setfacl -m d:u:alice:rwx /111
[root@bogon ~]# getfacl  /111
getfacl: Removing leading '/' from absolute path names
# file: 111
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:alice:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

root

[root@bogon ~]# mkdir /111/222
[root@bogon ~]# getfacl  /111/222
getfacl: Removing leading '/' from absolute path names
# file: 111/222
# owner: root
# group: root
user::rwx
user:alice:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:alice:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

[root@bogon ~]# setfacl -m u:alice:rwx /111  // 当前目设置acl权限
[root@bogon ~]# setfacl -m d:u:alice:rwx /111    // 以后创建的目录才会出现acl权限  d--defalut

参考文件:https://www.cnblogs.com/fengdejiyixx/p/10887223.html