mask:

1.用于临时降低用户或组(除属主和其他人)的权限
2.建议:为了方便管理文件权限,其他人的权限置为空
[root@dong ~]# setfacl -m o:- /home/test.txt

[root@dong ~]# getfacl /home/test.txt 查看权限情况:
getfacl: Removing leading '/' from absolute path names
file: home/test.txt
owner: root
#group: root
user::rw-
user:dong1:rwx
user:hr01:rw-
group::r--
group:hr01:r--
group:hr:rw-
mask::rwx
other::---

[root@dong ~]# ll /home/test.txt rwx就是mask
-rw-rwx---+ 1 root root 5 11月 6 07:25 /home/test.txt

[root@dong ~]# setfacl -m mask:- /home/test.txt 设置mask权限
[root@dong ~]# getfacl /home/test.txt
getfacl: Removing leading '/' from absolute path names
#file: home/test.txt
#owner: root
#group: root
user::rw-
user:dong1:rwx #effective:---
user:hr01:rw- #effective:---
group::r-- #effective:---
group:hr01:r-- #effective:---
group:hr:rw- #effective:---
mask::---
other::---
3.查看结果:(除了所有者和other不受影响,其他都会受到mask的影响,mask决定了他们的最高权限)
[dong1@dong ~]$ cat /home/test.txt
cat: /home/test.txt: 权限不够

4.适用场景:打个比方,好比是一条马路,平时大家都可以通行,但出于安全考虑,此马路暂时戒严,一段时间之后,大家还可以继续通行。

5.mask权限失效
[root@dong ~]# setfacl -m u:dong1:r /home/test.txt 当给用户重新赋予权限后,mask权限失效。mask默认是权限最高那人的权限。

[root@dong ~]# getfacl /home/test.txt
getfacl: Removing leading '/' from absolute path names
#file: home/test.txt
#owner: root
#group: root
user::rw-
user:dong1:r--
user:hr01:rw-
group::r--
group:hr01:r--
group:hr:rw-
mask::rw-
other::---