POSIX ACL和NFSv4 ACL的概念及其相关注意事项_文件存储NAS(NAS)-阿里云帮助中心

NAS NFS ACL（包括NFSv4 ACL和POSIX ACL）是阿里云NAS推出的针对NFS协议文件系统的ACL。您可以通过NFS ACL实现给不同的用户和群组设置不同目录或文件的权限。本文简要介绍POSIX ACL和NFSv4 ACL的概念、注意事项及通过控制台开启NFS ACL。

背景信息

企业级用户通过共享文件系统在多个用户和群组之间共享文件时，权限的控制和管理成为了不可缺少的功能。针对不同目录或文件，文件系统管理员需要给不同的用户和群组设置相应的权限，实现访问隔离。针对这个需求，阿里云NAS支持NFS ACL功能（包括NFSv4 ACL和POSIX ACL），ACL是与文件或目录关联的权限列表，由一个或多个访问控制项（ACE）组成。

您可以使用NFSv3协议挂载含有NFSv4 ACL的文件系统，挂载后NFSv4 ACL会被转化为POSIX ACL。同样，您也可以使用NFSv4协议挂载含有POSIX ACL的文件系统，挂载后POSIX ACL会被转化为NFSv4 ACL。然而，由于NFSv4 ACL和POSIX ACL并不完全兼容，并且mode和ACL之间的互操作也存在一定的不完美性。此外，NAS NFSv3挂载不支持锁，因此建议您在使用NFSv4 ACL功能时尽量只使用NFSv4协议挂载，并设置NFSv4 ACL，而不使用mode和POSIX ACL。更多关于NAS NFS ACL的特性，请参见特性。

关于如何为NFS协议文件系统开启NFS ACL功能的操作，请参见配置NFS ACL功能。

POSIX ACL

POSIX ACL是NFSv3协议能够扩展支持的权限控制协议。POSIX ACL对mode权限控制进行了扩展，能够对owner、group、other以外的特定用户和群组设置权限，也支持权限继承。

POSIX ACL由一组ACE组成。ACE将单个用户或一组用户对关联对象的访问权限指定为读取、写入、执行权限的组合。

ACE包含一个ACE标记类型、一个可选的ACE标记限定符和一组权限。每组ACE分别由2个半角冒号（:）分隔，格式为default:type:permissions。

default：目录继承ACE
标识目录的继承ACE，仅目录支持该类型的ACE。

type：ACE标记类型

POSIX ACL的ACE有6种类型，每种类型都由一个字符表示，且必须只有一种类型。

标记类型	标识	说明

标记类型	标识	说明
ACL_USER_OBJ	`user:`	文件所有者owner。
ACL_USER	`user:uid`	自定义用户。例如，`owner: admini`。
ACL_GROUP_OBJ	`group:`	文件所有者组owner。
ACL_GROUP	`group:uid`	自定义用户组。例如，`group:players`。
ACL_MASK	`mask:`	自定义用户、用户组、自定义用户组的ACE最大权限。
ACL_OTHER	`other:`	其他用户。

permissions：权限
权限位
说明
权限位
说明
r
读权限。
w
写权限。
x
执行文件或进入目录权限。
-
没有权限。
更多有关POSIX ACL的信息，请参见acl - Linux man page。

NFSv4 ACL

NFSv4 ACL是NFSv4协议扩展支持的权限控制协议，提供比POSIX ACL更细粒度的权限控制。

NFSv4 ACL的ACE格式为：type:flags:principal:permissions。

type：ACE类型

NFSv4 ACL的ACE有四种类型，每种类型都由一个字符表示，且必须只有一种类型。

类型名	标识	说明

类型名	标识	说明
Allow	A	允许。允许的ACL权限。
Deny	D	禁止。禁止的ACL权限。
Audit	U	审计。将所有需要权限的访问记录写入日志文件，需要1个或2个成功访问和失败访问标识。仅部分系统支持。
Alarm	L	告警。对所有需要权限的访问操作生成一个系统告警，需要1个或2个成功访问和失败访问标识。仅部分系统支持。

flags：标识

ACE有三种标识，分别为组、继承和管理。

标识名	标识	说明

标识名	标识	说明
group	g	指定用户组。
directory-inherit	d	目录继承ACE。新创建的子目录将继承ACE。
file-inherit	f	文件继承ACE。新创建的文件将继承该目录的ACE，同时继承的文件会去掉其继承标志。新创建的子目录将继承父目录的ACE。如果在父ACE中未同时指定directory-inherit，则inherit-only将添加到继承的ACE中。
inherit-only	i	在权限检查中不考虑ACE，但它是可继承的；但是，从继承的ACE中剥离了“仅继承”标志。
no-propagate-inherit	n	新创建的子目录将继承ACE，同时继承的文件会去掉其继承标志。
successful-access	S	当主体被允许执行权限所涵盖的操作时，触发警报。必须包含一个成功访问和失败访问标识。
failed-access	F	当主体被阻止执行权限所涵盖的操作时，触发审核。必须包含一个成功访问和失败访问标识。

principal：操作对象
对某个文件可以进行操作的对象，包括：OWNER@、GROUP@、EVERYONE@及指定对象。

permissions：权限

说明

默认OWNER最小权限为：tTnNcCy，不允许少于这个权限。
默认GROUP和EVERYONE最小权限为：tncy，不允许少于这个权限。

文件的NFSv4 ACL权限表

权限位	功能介绍	注意事项
r	读文件	无
w	写文件/创建文件	需要wa同时存在才起效，单独w无效。
a	追加写文件	需要wa同时存在才起效，单独a无效。
x	执行文件	需要rx同时存在才起效，单独x无效。
d	删除文件	d权限无效。用户如果有父目录的wx权限，就可以删除当前文件，不受文件上的d权限影响。
D	-	文件不能设置D权限，nfs4_setfacl D会被客户端过滤掉。
t	读文件属性信息	默认最小权限tncy之一，不允许去除。
T	修改文件属性信息	无
n	读文件的named attributes属性信息	默认最小权限tncy之一，不允许去除。
N	修改文件的named attributes属性信息	NAS NFS不支持设置named attributes。N权限无效。
c	读文件的ACL	默认最小权限tncy之一，不允许去除。
C	修改文件的ACL	无
o	修改文件的拥有者（owner）信息	有o权限的当前用户可以把文件拥有者（owner）改为自己，但是不允许改成其他用户，除非当前用户是root。
y	允许同步访问	默认最小权限tncy之一，不允许去除。

目录的NFSv4 ACL权限表

权限位	功能介绍	注意事项
r	查询目录	无
w	创建文件、目录	w权限无效。w权限功能包含在D权限中，需要Dx同时存在才起效。
a	创建子目录	a权限无效。a权限功能包含在D权限中，需要Dx同时存在才起效。
x	进入目录	无
d	删除目录	d权限无效。用户如果有父目录的wx权限，就可以删除当前目录，不受目录上的d权限影响。
D	目录删除子文件、子目录	需要Dx同时存在才起效，单独D无效。
t	读目录属性信息	默认最小权限tncy之一，不允许去除。
T	修改目录属性信息	无
n	读目录的named attributes属性信息	默认最小权限tncy之一，不允许去除。
N	修改目录的named attributes属性信息	NAS NFS不支持设置named attributes。N权限无效。
c	读目录的ACL	默认最小权限tncy之一，不允许去除。
C	修改目录的ACL	无
o	修改文件的拥有者（owner）信息	有o权限的当前用户可以把文件拥有者（owner）改为自己，但是不允许改成其他用户，除非当前用户是root。
y	允许同步访问	默认最小权限tncy之一，不允许去除。

更多有关NFSv4 ACL的信息，请参见nfs4_acl - Linux man page。

POSIX ACL注意事项

ACL的设置
- 使用继承（default）方式让子目录树获得相同的ACL，避免每次创建文件/目录都需要设置ACL。
- 请谨慎使用递归方式（setfacl -R）设置ACL。针对大的目录树进行递归操作时，可能产生较大的元数据压力影响业务运行。
- 请在设置ACL前，先规划好用户组及其权限，每个用户可属于一个或多个用户组。如果您要增加、删除、修改用户权限，只需调整用户所在的用户组，只要用户组结构不变就无需修改用户组的ACL。在设置ACL时，尽量使用用户组而非单个用户，通过用户组设置ACL，简单省时，权限清晰易于管理。
- 如果跨客户端使用POSIX ACL，需要给相同的用户名或群组名设置相同的UID或GID，因为NAS后端存储的是UID或GID。
ACL的使用
- 因为每次系统进行权限检查时，都需要扫描所有ACE，所以尽量减少ACE数量。滥用ACL会造成文件系统性能下降。
other的权限设置
- 建议将other的权限设置到最低，因为other允许的权限对任何用户都适用。如果某个ACE的权限低于other，则可能是个安全漏洞。
- 建议将other的权限设置到最低，所以在执行相应的代码前先执行umask 777，这样创建文件和目录时传入的mode会变成000，使默认的权限最小化，详情请参见umask与默认mode。
- 启动POSIX ACL后other会变为everyone，mode的other也会变为everyone。在权限判断时other的权限会作为everyone的权限进行判断。

NFSv4 ACL注意事项

ACL的设置
- 使用UID或GID（例如：UID 1001）设置ACL。
- 使用继承的方式让子目录树获得相同的ACL，避免每次创建文件或目录都需要设置ACL。
- 请谨慎使用递归方式（nfs4_setfacl -R）设置ACL。针对大的目录树进行递归操作时，可能产生较大的元数据压力影响业务运行。
ACL的使用
- 因为每次系统进行权限检查时，都需要扫描所有ACE，所以尽量减少ACE数量。滥用ACL会造成文件系统性能下降。
ACL权限设置
- 强烈建议使用NFSv4 ACL之后请勿使用mode。
- nfs4_setfacl提供了-a、-x、-m等命令行选项去增加、删除、修改ACE的参数，但建议使用nfs4_setfacl -e <file>可以更直观地进行交互式编辑。
- NFSv4 ACL对权限划分很细，尤其是写权限细分在绝大多数场景下是不必要的。例如：当一个文件有写权限（w）但没有追加写的权限（a）时，执行写文件操作可能返回错误，在目录下做修改也有类似情况。为了避免意想不到的权限错误，建议使用nfs4_setfacl操作写权限时使用大写W，nfs4_setfacl会将大写W转化为完整的写权限（对文件为wadT，对目录为wadTD）。
- 请在设置ACL前，先规划好用户组及其权限。每个用户可属于一个或多个用户组，如果您要增加、删除、修改用户权限，只需调整用户所在的用户组，只要用户组结构不变就无需修改用户组的ACL。在设置ACL时，尽量使用用户组而非单个用户，通过用户组设置ACL，简单省时，权限清晰易于管理。
- NAS NFSv4 ACL只支持Allow不支持Deny，所以建议将everyone的权限设置到最低，因为被everyone允许的权限对任何用户都适用。如果某个ACE的权限低于everyone，则很可能是个安全漏洞。

配置NFS ACL功能

使用控制台

开启NFS ACL

登录阿里云NAS控制台。
在左侧导航栏，选择文件系统 > 文件系统列表
在顶部菜单栏，选择地域。
在文件系统列表页面，找到目标文件系统，单击文件系统ID或者管理。
选择访问控制页签，单击开启，打开NFS ACL功能。

关闭NFS ACL

在访问控制页签，单击关闭（默认状态），停止NFS ACL功能。

使用API

通过调用EnableNfsAcl接口开启NFS ACL功能。
通过调用DisableNfsAcl接口关闭NFS ACL功能。

开启NFS ACL功能后，您就可以使用POSIX ACL或NFSv4 ACL来进行文件或目录权限管理。

如果您是使用的NFS v3协议挂载的文件系统，请参见使用POSIX ACL进行权限管理。
如果您是使用的NFSv4协议挂载的文件系统，请参见使用NFSv4 ACL进行权限管理。

权限位	说明
r	读权限。
w	写权限。
x	执行文件或进入目录权限。
-	没有权限。