[Linux] POSIX ACL mask 적용하기 (일반 ACL mask 설정)

Cloud Engineering/Linux 🐧

[Linux] POSIX ACL mask 적용하기 (일반 ACL mask 설정)

minjiwoo 2023. 1. 4. 10:40

728x90

우선 mask란 무엇일까?

전통적인 Permission으로 권한 관리할 때의 umask가 있다.

umask 란 ?

파일을 생성할 때 초기의 퍼미션을 결정해주기 위해 사용하는 mask값이다. 여기서 mask라는 것은 가린다는 의미이다. 파일에 지나치게 많은 권한들이 부여될 경우에 보안상 위험하다. 따라서 umask값을 통해서 적절한 권한을 설정할 수 있도록 도와주는 역할을 한다. 즉, 필요하지 않은 권한들을 빼주는 역할을 한다.

-> 그러나 POSIX ACL에서의 mask는 umask와 오히려 반대 개념으로 이해할 수 있다!!

POSIX ACL에서의 mask 란 ?

posix acl를 가지고 최대한 부여할 수 있는 권한을 나타내는 의미의 mask값이다.

setfacl 명령어로 POSIX ACL값을 설정하는 명령어는 다음과 같다.

setfacl -m ACL_ENTRY FILE

예시) setfacl -m u:staff01:r userfilea

ls -l 명령어로 확인한 결과 + 가마지막으로 표시된것을 확인할 수 있고 이는 POSIX ACL를 사용한다는 의미이다

rw-rw-r--+ 1 user user 0 1월 4 09:48 userfilea

getfacl 명령어를 통해 userfilea의 POSIX ACL를 확인할 수 있다.

[user@localhost work]$ getfacl userfilea
# file: userfilea
# owner: user
# group: user
user::rw- user:staff01:r--
group::rw-
mask::rw-
other::r--

여기서 mask라는 항목이 추가된 것을 볼수 있는데, 이것이 바로 POSIX ACL mask값이다.

이어서 staff02에게 userfilea에 대한 권한을 rwx로 부여했다.

[user@localhost work]$ setfacl -m u:staff02:rwx userfilea [user@localhost work]$ getfacl userfilea
#file: userfilea
#owner: user
#group: user
user::rw- user:staff01:r--
user:staff02:rwx
group::rw-
mask::rwx
other::r--

mask값이 자동으로 계산이 되어서 모자란 권한이 추가되었다. 원래는 mask값이 rw였는데, staff02에게 권한을 rwx를 부여함으로써, 최대로 부여할 수 있는 권한이 rwx라는 의미이다.

POSIX ACL mask 값 설정하기

setfacl -m m::권한 FILE_NAME
예시) setfacl -m m::rw userfilea

userfilea의 mask값을 rw로 주었다.

우선, mask;:rw- 라고 mask값이 rwx에서 rw-로 바뀐것을 확인가능하다.
mask는 최대 접근권한이라는 의미이며, mask값을 rw라고 줬다. 이미 staff02에게 rwx를 부여했더라도 mask값에 의하여 최대로 적용가능한 권한은 rw 이다. user:staff02 옆에 effective:rw- 값을 보면 알 수 있다.

#effective:rw- 에서, effective 값은 permission 값과 mask값에 대한 & 연산의 결과이다.
위의 예시에 staff02에게 부여된 권한은 rwx, mask값은 rw이므로 & (논리 곱 연산자) 연산을 하면 다음과 같다.

perm rwx
& mask rw-
결과 rw-

쉽게 생각하면 - 는 값이 없다는 의미이므로 False 값이라고 생각하면 되고, r, w, x라는것은 값이 있다는 의미이므로 True라고 생각하면 된다.

setfacl 옵션

setfacl -n

-n 옵션을 주면 mask값을 다시 계산하지 않도록 할 수 있다.

예시) setfacl -n -m g:adm:rwx userfilea

mask값이 원래 rw-였고, adm이라는 그룹사용자에게 userfilea에 대해 rwx권한을 부여했지만, -n옵션에 의해서 mask값이 변경되지 않았다.

setfacl -R

어떤 디렉토리 안에 있는 파일들에게 일괄적으로 권한을 부여

POSIX ACL Permission

r - Read 읽기 권한
w - Write 쓰기 권한
x - Execute 실행 권한
X - 실행 권한을 선택적으로 부여 ( 파일에 실행권한이 없다면 부여하지 않는다. )

예시) setfacl -R -m u:staff01:rwX dir2

728x90