誰可以更改 ACL 權限？

我正在使用 ACL 來控制對不同 Apache 實例和不同管理員組的 Web 根目錄的訪問。我有一個 Unix 組admins-web22，用於特定網站的管理員和apache-web22特定 apache 實例的使用者。這些是在網路根目錄上設置的權限：

# file: web22
# owner: root
# group: root
user::rwx
user:apache-web22:r-x
group::rwx
group:webmaster:rwx
group:admins-web22:rwx
mask::rwx
other::---
default:user::rwx
default:user:apache-web22:r-x
default:group::rwx
default:group:admins-web22:rwx
default:mask::rwx
default:other::r-x

有一個使用者fred是 的成員admins-web22。該使用者對目錄具有完全的讀寫權限（如上所述）。這可以正常工作。但是，該使用者無法授予使用者apache-web22對某些文件和目錄的寫入權限，這很重要（例如，Web 管理員想要為 Drupal 設置上傳目錄）。該setfacl命令給出“不允許操作。”。

我的問題是，誰可以使用 授予權限setfacl，我如何讓組使用者自己admins-web22更改權限（for apache-web22）？

我正在執行 Debian Wheezy，如果它很重要，它就是一個 ext4 分區。

手冊頁解釋了setfacl誰可以授予權限：

文件所有者和程序能夠CAP_FOWNER被授予修改文件 ACL 的權利。這類似於訪問文件模式所需的權限。（在目前的 Linux 系統上，root 是唯一具有該CAP_FOWNER功能的使用者。）

所以fred只能setfacl在他擁有的文件上使用。根據您的確切安全要求，您可以允許成員以（使用）admins-web22身份執行，這將允許他們更改…擁有的文件上的 ACL 。setfacl``apache-web22``sudo``apache-web22

引用自：https://unix.stackexchange.com/questions/193986