linux系統ACL控制
ACL控制
http://blog.csdn.net/xyz846/article/details/8043384
ACL訪問控制列表
對一般許可權的擴充套件,也就是更詳細地控制物件的訪問許可權。
命令: setfacl,getfacl
# ll /tmp/test/bbc.txt
-rw-r--r--. 1 root root 0 8月 5 10:51 /tmp/test/bbc.txt
# setfacl -m user:tom:rwx,user:roy:rw-,user:bean:r--,user:mary:--- /tmp/test/bbc.txt
# setfacl -m user::rwx,group::r-x /path/to/file <--- user::是針對檔案所有者許可權的設定, group::是針對檔案屬組設定的
清空檔案的acl的設定
# setfacl -b /tmp/test/bbc.txt
讓目錄下的子檔案或者子目錄都自動繼承父目錄的acl規則:
# setfacl -d -m user::rwx,user:tom:rw- /path/to/dir
取消預設
# setfacl -k /path/to/dir
-------------------------------------------------------------------------------------------
http://www.cnblogs.com/ZhangShuo/articles/1836971.html
一、 為什麼要使用ACL
先讓我們來簡單地複習一下Linux的檔案許可權。
在 linux下,對一個檔案(或者資源)可以進行操作的物件被分為三類: file owner(檔案的擁有者),group(組,注意不一定是檔案擁有者所在的組), other (其他)而對於每一類別又分別定義了read, write and execute/search 許可權 (這裡不討論SUID, SGID以及Sticky bit的設定)
透過ls -l命令就我們就可以列出一個檔案的許可權
程式碼:
[leonard@localhost ~]$ ls -l
-rw-rw---- 1 leonard admin 0 Jul 3 20:12 test.txt
在這裡說明了對於test.txt這個檔案leonard使用者(由於是file owner)擁有read & write許可權. 所有屬於admin 組的使用者(group)擁有read & write 許可權. 其他任何使用者(other)對於檔案沒有任何的許可權
如果我們現在希望john這個使用者也可以對test.txt檔案進行讀寫操作. 我自己大概會想到以下幾種辦法 (這裡假設john不屬於admin group)
1. 給檔案的other類別增加讀和寫的許可權. 這樣由於john會被歸為other類別,那麼他也將擁有讀寫的許可權。
2. 將john加入到admin group. 那麼john會被歸為group類別,那麼他將擁有讀寫的許可權。
3. 設定sudo, 使john能夠以leonard的身份對test.txt進行操作,從而獲得讀寫許可權。
第一種做法的問題在於所有使用者都將對test.txt擁有讀寫操作,顯然這種做法不可取。
第二種做法的問題在於john被賦予了過多的許可權.所有屬於admin組的檔案,john都可以擁有其等同的許可權了。
第三種做法雖然可以達到只限定john使用者一人擁有對test.txt檔案的讀寫許可權.但是需要對sudoers檔案進行嚴格的格式控制. 而且當檔案數量和使用者很多的時候,這種方法就相當地不靈活了。
看來好像都沒有一個很好的解決方案. 其實問題就出在Linux 檔案許可權裡面,對於other的定義過於廣泛,以至於很難把許可權限定於一個不屬於file owner和group的使用者身上. 那麼Access Control List (ACL)就是用來幫助我們解決這個問題的。
簡單地來說ACL就是可以設定特定使用者或者使用者組對於一個檔案/資料夾的操作許可權. 需要掌握的命令也只有三個: getfacl, setfacl, chacl
在接下去討論之前大家可以先安裝上ACL的RPM包
程式碼:
# rpm -ivh libacl-2.2.39-1.1 acl-2.2.39-1.1.i386.rpm
如果配置好了yum可以直接安裝這兩個包
# yum -y install libacl acl
另外還需要磁碟分割槽的支援
永久啟用acl。我這裡以自己的分割槽/data為例
# vi /etc/fstab
LABEL=/data /data ext3 defaults,acl 1 2
在啟用了acl引數之後重新載入/data分割槽
# mount -o remount /data
# cat /etc/mtab | grep /data
/dev/sda5 /data ext3 rw,acl 0 0
出現上面的資訊代表分割槽的acl功能已經正常載入
二、ACL的名詞定義
先來看看在ACL裡面每一個名詞的定義.這些名詞我大多從man page上摘下來雖然有些枯燥,但是對於理解下面的內容還是很有幫助的
ACL 是由一系列的Access Entry所組成的. 每一條Access Entry定義了特定的類別可以對檔案擁有的操作許可權. Access Entry有三個組成部分: Entry tag type, qualifier (optional), 許可權
我們先來看一下最重要的Entry tag type, 它有以下幾個型別
ACL_USER_OBJ: 相當於Linux裡file_owner的許可權
ACL_USER: 定義了額外的使用者可以對此檔案擁有的許可權
ACL_GROUP_OBJ: 相當於Linux裡group的許可權
ACL_GROUP: 定義了額外的組可以對此檔案擁有的許可權
ACL_MASK: 定義了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大許可權 (這個我下面還會專門討論)
ACL_OTHER: 相當於Linux裡other的許可權
讓我們來據個例子說明一下. 下面我們就用getfacl命令來檢視一個定義好了的ACL檔案
程式碼:
[root@zyq-server data]# getfacl test.txt
# file: test.txt
# owner: root
# group: family
user::rw-
user:zyq:rw-
group::rw-
group:jackuser:rw-
mask::rw-
other::---
前面三個以#開頭的定義了檔名,檔案所有者和檔案擁有組. 這些資訊沒有太大的作用,我們可以用 --omit-header來省略掉
user::rw- 定義了ACL_USER_OBJ, 說明file owner擁有讀和寫的許可權
user:zyq:rw- 定義了ACL_USER,這樣使用者zyq就擁有了對檔案的讀寫許可權,實現了我們一開始要達到的目的
group::rw- 定義了ACL_GROUP_OBJ,說明檔案的group擁有read和write 許可權
group: jackuser:rw- 定義了ACL_GROUP,使得jackuser組擁有了對檔案的read 和write許可權
mask::rw- 定義了ACL_MASK的許可權為read and write
other::--- 定義了ACL_OTHER的沒有任何許可權操作此檔案
從這裡我們就可以看出ACL提供了我們可以定義特定使用者和使用者組的功能. 那麼接下來我們就來看一下如何設定一個檔案的ACL
三、 如何設定ACL檔案
首先我們還是要講一下設定ACL檔案的格式. 從上面的例子中我們可以看到每一個Access Entry都是由三個被:號分隔開的欄位所組成. 第一個就是Entry tag type
第二個欄位稱之為qualifier.也就是上面例子中的zyq和jackuser組.它定義了特定使用者和使用者組對於檔案的許可權.這裡我們也可以發現只有user和group才有qualifier,其他的都為空
第三個欄位就是我們熟悉的許可權了. 它和Linux的許可權一樣定義,這裡就不多講了
user 對應了ACL_USER_OBJ和ACL_USER
group 對應了ACL_GROUP_OBJ和ACL_GROUP
mask 對應了ACL_MASK
other 對應了ACL_OTHER
下面我們就來看一下怎麼設定test.txt這個檔案的ACL讓它來達到我們上面的要求
一開始檔案沒有ACL的額外屬性
程式碼:
[root@zyq-server data]# ll test.txt
-rw-r--r-- 1 root root 0 12-27 22:55 test.txt
[root@zyq-server data]# getfacl test.txt
# file: test.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--
[root@zyq-server data]# getfacl -c test.txt
user::rw-
group::r--
other::r--
我們先讓使用者zyq擁有對test.txt檔案的讀寫許可權
程式碼:
[root@zyq-server data]# setfacl -m u:zyq:rw test.txt
[root@zyq-server data]# getfacl -c test.txt
user::rw-
user:zyq:rw-
group::r--
mask::rw-
other::r--
這時我們就可以看到zyq使用者在ACL裡面已經擁有了對檔案的讀寫許可權. 這個時候如果我們檢視一下linux的許可權我們還會發現一個不一樣的地方
程式碼:
[root@zyq-server data]# ll test.txt
-rw-rw-r--+ 1 root root 0 12-27 22:55 test.txt
在檔案許可權的最後多了一個+號. 當任何一個檔案擁有了ACL_USER或者ACL_GROUP的值以後我們就可以稱它為ACL檔案.這個+號就是用來提示的;
我們還可以發現當一個檔案擁有了ACL_USER或者ACL_GROUP的值時ACL_MASK同時也會被定義
接下來我們來設定jackuser組擁有read 許可權
程式碼:
[root@zyq-server data]# ll test.txt
-rw-rw-r--+ 1 root root 0 12-27 22:55 test.txt
[root@zyq-server data]#
[root@zyq-server data]# setfacl -m g:jackuser:r test.txt
[root@zyq-server data]# getfacl -c test.txt
user::rw-
user:zyq:rw-
group::r--
group:jackuser:r--
mask::rw-
other::r--
[root@zyq-server data]# ll test.txt
-rw-rw-r--+ 1 root root 0 12-27 22:55 test.txt
到這裡就完成了我們上面講到的要求.是不是很簡單呢
四、ACL_MASK 和 Effective 許可權
這裡需要重點講一下ACL_MASK, 因為這是掌握ACL的另一個關鍵
在Linux 檔案許可權裡面大家都知道比如對於rw-rw-r--來說, 第二組中的那個rw-是指檔案組的許可權. 但是在ACL裡面這種情況只是在ACL_MASK不存在的情況下成立. 如果檔案有ACL_MASK值,那麼當中那個rw-代表的就是mask值而不再是group 許可權了
讓我們來看下面這個例子
程式碼:
[root@zyq-server data]# ll test.sh
-rwxrw-r-- 1 root family 0 12-27 23:04 test.sh
這裡說明test.sh檔案只有file owner: root擁有read, write, execute/search 許可權. Family組只有讀和寫的許可權。現在我們想讓使用者zyq也對test.sh具有和root一樣的許可權。
程式碼:
[root@zyq-server data]# setfacl -m u:zyq:rwx test.sh
[root@zyq-server data]# getfacl -c test.sh
user::rwx
user:zyq:rwx
group::rw-
mask::rwx
other::r--
這裡我們看到zyq已經擁有了rwx的許可權. mask值也被設定為rwx.那是因為它規定了ACL_USER, ACL_GROUP和ACL_GROUP_OBJ的最大值;
現在我們再來看test.sh的Linux 許可權, 它已經變成了
程式碼:
[root@zyq-server data]# ll test.sh
-rwxrwxr--+ 1 root family 0 12-27 23:04 test.sh
那麼如果現在family組的使用者想要執行test.sh的程式會發生什麼情況呢? 它會被許可權 deny.原因在於實際上family組的使用者只有讀和寫的許可權.這裡當中顯示的rwx是ACL_MASK的值而不是group的許可權
所以從這裡我們就可以知道,如果一個檔案後面有+標記,我們都需要用getfacl來確認它的許可權,以免發生混淆
下面我們再來繼續看一個例子
假如現在我們設定test.sh的mask為read only,那麼family組的使用者還會有write 許可權嗎?
程式碼:
[root@zyq-server data]# setfacl -m mask::r test.sh
[root@zyq-server data]# getfacl -c test.sh
user::rwx
user:zyq:rwx #effective:r--
group::rw- #effective:r--
mask::r--
other::r--
這時候我們可以看到ACL_USER和ACL_GROUP_OBJ旁邊多了個#effective:r--, 這是什麼意思呢?
讓我們再來回顧一下ACL_MASK的定義. 它規定了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大許可權.那麼在我們這個例子中他們的最大許可權也就是read only.雖然我們這裡給ACL_USER和ACL_GROUP_OBJ設定了其他許可權,但是他們真正有效果的只有read許可權.
這時我們再來檢視test.sh的Linux 檔案許可權時它的group 許可權也會顯示其mask的值(i.e. r--)
程式碼:
[root@zyq-server data]# ll test.sh
-rwxr--r--+ 1 root family 0 12-27 23:04 test.sh
五、 Default ACL
上面我們所有講的都是Access ACL, 也就是對檔案而言. 下面我簡單講一下Default ACL. Default ACL是指對於一個目錄進行Default ACL設定,並且在此目錄下建立的檔案都將繼承此目錄的ACL
同樣我們來做一個試驗說明
比如現在leonard使用者建立了一個dir目錄
程式碼:
[root@zyq-server data]$ mkdir mydir
我希望所有在此目錄下建立的檔案都可以被smbuser使用者所訪問. 那麼我們就應該對mydir目錄設定Default ACL
我先利用root使用者在/data/建立一個mydir的資料夾,然後將這個資料夾的default user許可權設定為smbuser可以rw- 以root身份在mydir目錄下建立一個test.txt的檔案。其他的不做限制,然後切換到smbuser。發現smbuser使用者可以修改test.txt檔案中的內容但是無法在mydir目錄中建立和刪除檔案/資料夾
程式碼:
[root@zyq-server data]# id
uid=0(root) gid=0(root) groups=0(root)
[root@zyq-server data]# ll mydir/
總計 0
[root@zyq-server data]# getfacl mydir/
# file: mydir/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
[root@zyq-server data]# setfacl -m d:smbuser:rw mydir/
[root@zyq-server data]# getfacl mydir/
# file: mydir/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:smbuser:rw-
default:group::r-x
default:mask::rwx
default:other::r-x
[root@zyq-server data]# cd mydir/
[root@zyq-server mydir]# touch test.txt
[root@zyq-server mydir]# su - smbuser
[smbuser@zyq-server ~]$ cd /data/mydir/
[smbuser@zyq-server mydir]$ touch a
touch: 無法建立 “a”: 許可權不夠
[smbuser@zyq-server mydir]$ rm test.txt
rm: 無法刪除 “test.txt”: 許可權不夠
[smbuser@zyq-server mydir]$ echo hello world>>test.txt
[smbuser@zyq-server mydir]$ cat test.txt
hello world
這 裡我們可以看到ACL定義了default選項, smbuser使用者擁有了default的read, write, excute/search許可權.但是卻無法刪除和建立檔案。經過試驗,發現還必須將mydir目錄的ACL_USER修改為smbuser後,切換到smbuser使用者才能夠在 mydir目錄中建立和刪除檔案/資料夾
[root@zyq-server data]# setfacl -m u:smbuser:rwx mydir/
[root@zyq-server data]# getfacl -c mydir/
user::rwx
user:smbuser:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:smbuser:rw-
default:group::r-x
default:mask::rwx
default:other::r-x
[root@zyq-server data]# su - smbuser
[smbuser@zyq-server ~]$ cd /data/mydir/
[smbuser@zyq-server mydir]$ touch a
[smbuser@zyq-server mydir]$ ll
總計 4
-rw-rw-r--+ 1 smbuser family 0 12-27 23:43 a
-rw-rw-r--+ 1 root root 19 12-27 23:33 test.txt
[smbuser@zyq-server mydir]$ rm * -rf
下面的試驗我們看到在mydir下建立的檔案或資料夾都自動的加上了default的許可權
[root@zyq-server mydir]# su - smbuser
[smbuser@zyq-server ~]$ cd /data/mydir/
[smbuser@zyq-server mydir]$ ll
總計 0
-rw-rw-r--+ 1 root root 0 12-27 23:48 a
-rw-rw-r--+ 1 root root 0 12-27 23:48 test.tt
[smbuser@zyq-server mydir]$ rm * -rf
[smbuser@zyq-server mydir]$ touch test.txt
[smbuser@zyq-server mydir]$ ll
總計 0
-rw-rw-r--+ 1 smbuser family 0 12-27 23:48 test.txt
[smbuser@zyq-server mydir]$ getfacl -c test.txt
user::rw-
user:smbuser:rw-
group::r-x #effective:r--
mask::rw-
other::r--
[smbuser@zyq-server mydir]$ mkdir smbuserdir
[smbuser@zyq-server mydir]$ getfacl -c smbuserdir/
user::rwx
user:smbuser:rw-
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:smbuser:rw-
default:group::r-x
default:mask::rwx
default:other::r-x
[smbuser@zyq-server mydir]$ ll
總計 4
drwxrwxr-x+ 2 smbuser family 4096 12-27 23:49 smbuserdir
-rw-rw-r--+ 1 smbuser family 0 12-27 23:48 test.txt
六、 ACL 相關命令
前面的例子中我們都注意到了getfacl命令是用來讀取檔案的ACL, setfacl是用來設定檔案的Acess ACL. 這裡還有一個chacl是用來改變檔案和目錄的Access ACL and Default ACL. 它的具體引數大家可以去看man page. 我只想提及一下chacl -B. 它可以徹底刪除檔案或者目錄的ACL屬性(包括Default ACL). 比如你即使用了setfacl -x刪除了所有檔案的ACL屬性,那個+號還是會出現在檔案的末尾.所以正確的刪除方法應該是用chacl -B
用cp來複制檔案的時候我們現在可以加上-p選項.這樣在複製檔案的時候也將複製檔案的ACL屬性.對於不能複製的ACL屬性將給出警告
mv命令將會預設地移動檔案的ACL屬性. 同樣如果操作不允許的情況下會給出警告
七. 需要注意的幾點
如果你的檔案系統不支援ACL的話,你也許需要重新mount你的file system
mount -o remount, acl [mount point]
如果用chmod命令改變Linux 檔案許可權的時候相應的ACL值也會改變.反之改變ACL的值,相應的檔案許可權也會改變
八. 參考資料
1. man acl 個人感覺man page已經講的比較詳細,只是上面名詞比較多看起來會比較繁瑣
2. ~agruen/acl/linux-acls/online/ 如果你英語不錯的話可以看一下這篇關於POSIX ACL的介紹,上面有許多不錯的例子
http://blog.csdn.net/xyz846/article/details/8043384
ACL訪問控制列表
對一般許可權的擴充套件,也就是更詳細地控制物件的訪問許可權。
命令: setfacl,getfacl
# ll /tmp/test/bbc.txt
-rw-r--r--. 1 root root 0 8月 5 10:51 /tmp/test/bbc.txt
# setfacl -m user:tom:rwx,user:roy:rw-,user:bean:r--,user:mary:--- /tmp/test/bbc.txt
# setfacl -m user::rwx,group::r-x /path/to/file <--- user::是針對檔案所有者許可權的設定, group::是針對檔案屬組設定的
清空檔案的acl的設定
# setfacl -b /tmp/test/bbc.txt
讓目錄下的子檔案或者子目錄都自動繼承父目錄的acl規則:
# setfacl -d -m user::rwx,user:tom:rw- /path/to/dir
取消預設
# setfacl -k /path/to/dir
-------------------------------------------------------------------------------------------
http://www.cnblogs.com/ZhangShuo/articles/1836971.html
一、 為什麼要使用ACL
先讓我們來簡單地複習一下Linux的檔案許可權。
在 linux下,對一個檔案(或者資源)可以進行操作的物件被分為三類: file owner(檔案的擁有者),group(組,注意不一定是檔案擁有者所在的組), other (其他)而對於每一類別又分別定義了read, write and execute/search 許可權 (這裡不討論SUID, SGID以及Sticky bit的設定)
透過ls -l命令就我們就可以列出一個檔案的許可權
程式碼:
[leonard@localhost ~]$ ls -l
-rw-rw---- 1 leonard admin 0 Jul 3 20:12 test.txt
在這裡說明了對於test.txt這個檔案leonard使用者(由於是file owner)擁有read & write許可權. 所有屬於admin 組的使用者(group)擁有read & write 許可權. 其他任何使用者(other)對於檔案沒有任何的許可權
如果我們現在希望john這個使用者也可以對test.txt檔案進行讀寫操作. 我自己大概會想到以下幾種辦法 (這裡假設john不屬於admin group)
1. 給檔案的other類別增加讀和寫的許可權. 這樣由於john會被歸為other類別,那麼他也將擁有讀寫的許可權。
2. 將john加入到admin group. 那麼john會被歸為group類別,那麼他將擁有讀寫的許可權。
3. 設定sudo, 使john能夠以leonard的身份對test.txt進行操作,從而獲得讀寫許可權。
第一種做法的問題在於所有使用者都將對test.txt擁有讀寫操作,顯然這種做法不可取。
第二種做法的問題在於john被賦予了過多的許可權.所有屬於admin組的檔案,john都可以擁有其等同的許可權了。
第三種做法雖然可以達到只限定john使用者一人擁有對test.txt檔案的讀寫許可權.但是需要對sudoers檔案進行嚴格的格式控制. 而且當檔案數量和使用者很多的時候,這種方法就相當地不靈活了。
看來好像都沒有一個很好的解決方案. 其實問題就出在Linux 檔案許可權裡面,對於other的定義過於廣泛,以至於很難把許可權限定於一個不屬於file owner和group的使用者身上. 那麼Access Control List (ACL)就是用來幫助我們解決這個問題的。
簡單地來說ACL就是可以設定特定使用者或者使用者組對於一個檔案/資料夾的操作許可權. 需要掌握的命令也只有三個: getfacl, setfacl, chacl
在接下去討論之前大家可以先安裝上ACL的RPM包
程式碼:
# rpm -ivh libacl-2.2.39-1.1 acl-2.2.39-1.1.i386.rpm
如果配置好了yum可以直接安裝這兩個包
# yum -y install libacl acl
另外還需要磁碟分割槽的支援
永久啟用acl。我這裡以自己的分割槽/data為例
# vi /etc/fstab
LABEL=/data /data ext3 defaults,acl 1 2
在啟用了acl引數之後重新載入/data分割槽
# mount -o remount /data
# cat /etc/mtab | grep /data
/dev/sda5 /data ext3 rw,acl 0 0
出現上面的資訊代表分割槽的acl功能已經正常載入
二、ACL的名詞定義
先來看看在ACL裡面每一個名詞的定義.這些名詞我大多從man page上摘下來雖然有些枯燥,但是對於理解下面的內容還是很有幫助的
ACL 是由一系列的Access Entry所組成的. 每一條Access Entry定義了特定的類別可以對檔案擁有的操作許可權. Access Entry有三個組成部分: Entry tag type, qualifier (optional), 許可權
我們先來看一下最重要的Entry tag type, 它有以下幾個型別
ACL_USER_OBJ: 相當於Linux裡file_owner的許可權
ACL_USER: 定義了額外的使用者可以對此檔案擁有的許可權
ACL_GROUP_OBJ: 相當於Linux裡group的許可權
ACL_GROUP: 定義了額外的組可以對此檔案擁有的許可權
ACL_MASK: 定義了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大許可權 (這個我下面還會專門討論)
ACL_OTHER: 相當於Linux裡other的許可權
讓我們來據個例子說明一下. 下面我們就用getfacl命令來檢視一個定義好了的ACL檔案
程式碼:
[root@zyq-server data]# getfacl test.txt
# file: test.txt
# owner: root
# group: family
user::rw-
user:zyq:rw-
group::rw-
group:jackuser:rw-
mask::rw-
other::---
前面三個以#開頭的定義了檔名,檔案所有者和檔案擁有組. 這些資訊沒有太大的作用,我們可以用 --omit-header來省略掉
user::rw- 定義了ACL_USER_OBJ, 說明file owner擁有讀和寫的許可權
user:zyq:rw- 定義了ACL_USER,這樣使用者zyq就擁有了對檔案的讀寫許可權,實現了我們一開始要達到的目的
group::rw- 定義了ACL_GROUP_OBJ,說明檔案的group擁有read和write 許可權
group: jackuser:rw- 定義了ACL_GROUP,使得jackuser組擁有了對檔案的read 和write許可權
mask::rw- 定義了ACL_MASK的許可權為read and write
other::--- 定義了ACL_OTHER的沒有任何許可權操作此檔案
從這裡我們就可以看出ACL提供了我們可以定義特定使用者和使用者組的功能. 那麼接下來我們就來看一下如何設定一個檔案的ACL
三、 如何設定ACL檔案
首先我們還是要講一下設定ACL檔案的格式. 從上面的例子中我們可以看到每一個Access Entry都是由三個被:號分隔開的欄位所組成. 第一個就是Entry tag type
第二個欄位稱之為qualifier.也就是上面例子中的zyq和jackuser組.它定義了特定使用者和使用者組對於檔案的許可權.這裡我們也可以發現只有user和group才有qualifier,其他的都為空
第三個欄位就是我們熟悉的許可權了. 它和Linux的許可權一樣定義,這裡就不多講了
user 對應了ACL_USER_OBJ和ACL_USER
group 對應了ACL_GROUP_OBJ和ACL_GROUP
mask 對應了ACL_MASK
other 對應了ACL_OTHER
下面我們就來看一下怎麼設定test.txt這個檔案的ACL讓它來達到我們上面的要求
一開始檔案沒有ACL的額外屬性
程式碼:
[root@zyq-server data]# ll test.txt
-rw-r--r-- 1 root root 0 12-27 22:55 test.txt
[root@zyq-server data]# getfacl test.txt
# file: test.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--
[root@zyq-server data]# getfacl -c test.txt
user::rw-
group::r--
other::r--
我們先讓使用者zyq擁有對test.txt檔案的讀寫許可權
程式碼:
[root@zyq-server data]# setfacl -m u:zyq:rw test.txt
[root@zyq-server data]# getfacl -c test.txt
user::rw-
user:zyq:rw-
group::r--
mask::rw-
other::r--
這時我們就可以看到zyq使用者在ACL裡面已經擁有了對檔案的讀寫許可權. 這個時候如果我們檢視一下linux的許可權我們還會發現一個不一樣的地方
程式碼:
[root@zyq-server data]# ll test.txt
-rw-rw-r--+ 1 root root 0 12-27 22:55 test.txt
在檔案許可權的最後多了一個+號. 當任何一個檔案擁有了ACL_USER或者ACL_GROUP的值以後我們就可以稱它為ACL檔案.這個+號就是用來提示的;
我們還可以發現當一個檔案擁有了ACL_USER或者ACL_GROUP的值時ACL_MASK同時也會被定義
接下來我們來設定jackuser組擁有read 許可權
程式碼:
[root@zyq-server data]# ll test.txt
-rw-rw-r--+ 1 root root 0 12-27 22:55 test.txt
[root@zyq-server data]#
[root@zyq-server data]# setfacl -m g:jackuser:r test.txt
[root@zyq-server data]# getfacl -c test.txt
user::rw-
user:zyq:rw-
group::r--
group:jackuser:r--
mask::rw-
other::r--
[root@zyq-server data]# ll test.txt
-rw-rw-r--+ 1 root root 0 12-27 22:55 test.txt
到這裡就完成了我們上面講到的要求.是不是很簡單呢
四、ACL_MASK 和 Effective 許可權
這裡需要重點講一下ACL_MASK, 因為這是掌握ACL的另一個關鍵
在Linux 檔案許可權裡面大家都知道比如對於rw-rw-r--來說, 第二組中的那個rw-是指檔案組的許可權. 但是在ACL裡面這種情況只是在ACL_MASK不存在的情況下成立. 如果檔案有ACL_MASK值,那麼當中那個rw-代表的就是mask值而不再是group 許可權了
讓我們來看下面這個例子
程式碼:
[root@zyq-server data]# ll test.sh
-rwxrw-r-- 1 root family 0 12-27 23:04 test.sh
這裡說明test.sh檔案只有file owner: root擁有read, write, execute/search 許可權. Family組只有讀和寫的許可權。現在我們想讓使用者zyq也對test.sh具有和root一樣的許可權。
程式碼:
[root@zyq-server data]# setfacl -m u:zyq:rwx test.sh
[root@zyq-server data]# getfacl -c test.sh
user::rwx
user:zyq:rwx
group::rw-
mask::rwx
other::r--
這裡我們看到zyq已經擁有了rwx的許可權. mask值也被設定為rwx.那是因為它規定了ACL_USER, ACL_GROUP和ACL_GROUP_OBJ的最大值;
現在我們再來看test.sh的Linux 許可權, 它已經變成了
程式碼:
[root@zyq-server data]# ll test.sh
-rwxrwxr--+ 1 root family 0 12-27 23:04 test.sh
那麼如果現在family組的使用者想要執行test.sh的程式會發生什麼情況呢? 它會被許可權 deny.原因在於實際上family組的使用者只有讀和寫的許可權.這裡當中顯示的rwx是ACL_MASK的值而不是group的許可權
所以從這裡我們就可以知道,如果一個檔案後面有+標記,我們都需要用getfacl來確認它的許可權,以免發生混淆
下面我們再來繼續看一個例子
假如現在我們設定test.sh的mask為read only,那麼family組的使用者還會有write 許可權嗎?
程式碼:
[root@zyq-server data]# setfacl -m mask::r test.sh
[root@zyq-server data]# getfacl -c test.sh
user::rwx
user:zyq:rwx #effective:r--
group::rw- #effective:r--
mask::r--
other::r--
這時候我們可以看到ACL_USER和ACL_GROUP_OBJ旁邊多了個#effective:r--, 這是什麼意思呢?
讓我們再來回顧一下ACL_MASK的定義. 它規定了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大許可權.那麼在我們這個例子中他們的最大許可權也就是read only.雖然我們這裡給ACL_USER和ACL_GROUP_OBJ設定了其他許可權,但是他們真正有效果的只有read許可權.
這時我們再來檢視test.sh的Linux 檔案許可權時它的group 許可權也會顯示其mask的值(i.e. r--)
程式碼:
[root@zyq-server data]# ll test.sh
-rwxr--r--+ 1 root family 0 12-27 23:04 test.sh
五、 Default ACL
上面我們所有講的都是Access ACL, 也就是對檔案而言. 下面我簡單講一下Default ACL. Default ACL是指對於一個目錄進行Default ACL設定,並且在此目錄下建立的檔案都將繼承此目錄的ACL
同樣我們來做一個試驗說明
比如現在leonard使用者建立了一個dir目錄
程式碼:
[root@zyq-server data]$ mkdir mydir
我希望所有在此目錄下建立的檔案都可以被smbuser使用者所訪問. 那麼我們就應該對mydir目錄設定Default ACL
我先利用root使用者在/data/建立一個mydir的資料夾,然後將這個資料夾的default user許可權設定為smbuser可以rw- 以root身份在mydir目錄下建立一個test.txt的檔案。其他的不做限制,然後切換到smbuser。發現smbuser使用者可以修改test.txt檔案中的內容但是無法在mydir目錄中建立和刪除檔案/資料夾
程式碼:
[root@zyq-server data]# id
uid=0(root) gid=0(root) groups=0(root)
[root@zyq-server data]# ll mydir/
總計 0
[root@zyq-server data]# getfacl mydir/
# file: mydir/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
[root@zyq-server data]# setfacl -m d:smbuser:rw mydir/
[root@zyq-server data]# getfacl mydir/
# file: mydir/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:smbuser:rw-
default:group::r-x
default:mask::rwx
default:other::r-x
[root@zyq-server data]# cd mydir/
[root@zyq-server mydir]# touch test.txt
[root@zyq-server mydir]# su - smbuser
[smbuser@zyq-server ~]$ cd /data/mydir/
[smbuser@zyq-server mydir]$ touch a
touch: 無法建立 “a”: 許可權不夠
[smbuser@zyq-server mydir]$ rm test.txt
rm: 無法刪除 “test.txt”: 許可權不夠
[smbuser@zyq-server mydir]$ echo hello world>>test.txt
[smbuser@zyq-server mydir]$ cat test.txt
hello world
這 裡我們可以看到ACL定義了default選項, smbuser使用者擁有了default的read, write, excute/search許可權.但是卻無法刪除和建立檔案。經過試驗,發現還必須將mydir目錄的ACL_USER修改為smbuser後,切換到smbuser使用者才能夠在 mydir目錄中建立和刪除檔案/資料夾
[root@zyq-server data]# setfacl -m u:smbuser:rwx mydir/
[root@zyq-server data]# getfacl -c mydir/
user::rwx
user:smbuser:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:smbuser:rw-
default:group::r-x
default:mask::rwx
default:other::r-x
[root@zyq-server data]# su - smbuser
[smbuser@zyq-server ~]$ cd /data/mydir/
[smbuser@zyq-server mydir]$ touch a
[smbuser@zyq-server mydir]$ ll
總計 4
-rw-rw-r--+ 1 smbuser family 0 12-27 23:43 a
-rw-rw-r--+ 1 root root 19 12-27 23:33 test.txt
[smbuser@zyq-server mydir]$ rm * -rf
下面的試驗我們看到在mydir下建立的檔案或資料夾都自動的加上了default的許可權
[root@zyq-server mydir]# su - smbuser
[smbuser@zyq-server ~]$ cd /data/mydir/
[smbuser@zyq-server mydir]$ ll
總計 0
-rw-rw-r--+ 1 root root 0 12-27 23:48 a
-rw-rw-r--+ 1 root root 0 12-27 23:48 test.tt
[smbuser@zyq-server mydir]$ rm * -rf
[smbuser@zyq-server mydir]$ touch test.txt
[smbuser@zyq-server mydir]$ ll
總計 0
-rw-rw-r--+ 1 smbuser family 0 12-27 23:48 test.txt
[smbuser@zyq-server mydir]$ getfacl -c test.txt
user::rw-
user:smbuser:rw-
group::r-x #effective:r--
mask::rw-
other::r--
[smbuser@zyq-server mydir]$ mkdir smbuserdir
[smbuser@zyq-server mydir]$ getfacl -c smbuserdir/
user::rwx
user:smbuser:rw-
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:smbuser:rw-
default:group::r-x
default:mask::rwx
default:other::r-x
[smbuser@zyq-server mydir]$ ll
總計 4
drwxrwxr-x+ 2 smbuser family 4096 12-27 23:49 smbuserdir
-rw-rw-r--+ 1 smbuser family 0 12-27 23:48 test.txt
六、 ACL 相關命令
前面的例子中我們都注意到了getfacl命令是用來讀取檔案的ACL, setfacl是用來設定檔案的Acess ACL. 這裡還有一個chacl是用來改變檔案和目錄的Access ACL and Default ACL. 它的具體引數大家可以去看man page. 我只想提及一下chacl -B. 它可以徹底刪除檔案或者目錄的ACL屬性(包括Default ACL). 比如你即使用了setfacl -x刪除了所有檔案的ACL屬性,那個+號還是會出現在檔案的末尾.所以正確的刪除方法應該是用chacl -B
用cp來複制檔案的時候我們現在可以加上-p選項.這樣在複製檔案的時候也將複製檔案的ACL屬性.對於不能複製的ACL屬性將給出警告
mv命令將會預設地移動檔案的ACL屬性. 同樣如果操作不允許的情況下會給出警告
七. 需要注意的幾點
如果你的檔案系統不支援ACL的話,你也許需要重新mount你的file system
mount -o remount, acl [mount point]
如果用chmod命令改變Linux 檔案許可權的時候相應的ACL值也會改變.反之改變ACL的值,相應的檔案許可權也會改變
八. 參考資料
1. man acl 個人感覺man page已經講的比較詳細,只是上面名詞比較多看起來會比較繁瑣
2. ~agruen/acl/linux-acls/online/ 如果你英語不錯的話可以看一下這篇關於POSIX ACL的介紹,上面有許多不錯的例子
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/29519108/viewspace-1820056/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 配置 Linux 的訪問控制列表(ACL)Linux
- Linux Kernel ACL訪問控制漏洞(轉)Linux
- Linux系統中檔案許可權ACL功能(上)。薦Linux
- IOS - ACL (訪問控制列表)iOS
- Linux系統ACL許可權設定之setfacl和getfaclLinux
- Apache Ranger——Hadoop ACL控制工具ApacheRangerHadoop
- Linux ACL 許可權Linux
- LINUX系統中程式如何管理控制(一)Linux
- Redis 6.0 訪問控制列表ACL說明Redis
- Linux系統下安全控制策略SELinux解析Linux
- Linux系統程式設計(27)——執行緒控制Linux程式設計執行緒
- Linux ACL學習筆記(zt)Linux筆記
- 配置ACL在網路服務中訪問控制
- 演示:動態訪問控制列表(帶鎖的ACL)
- 智慧照明系統, 智慧照明控制系統
- Linux 系統中的超級許可權的控制Linux
- HCNA Routing&Switching之訪問控制列表ACL
- ACL
- 線控制動系統(EWBS)
- 版本控制系統之gitGit
- Linux ACL 許可權之進階篇Linux
- Linux 筆記分享九:ACL 許可權Linux筆記
- 使用 /proc 檔案系統來控制系統(轉)
- 使用 /proc 檔案系統來控制系統 (zt)
- 支援 ACL 訪問控制、引入 HOCON 全新配置檔案格式
- 如何選擇版本控制系統——為什麼選擇Git版本控制系統Git
- 【Linux】類Unix 作業系統程式監控控制工具 SupervisorLinux作業系統
- Linux系統程式設計(8)—— 程式之程式控制函式forkLinux程式設計函式
- 讓Linux懂得為你開門—LINUX系統的自動作業控制(轉)Linux
- 能迪科技:DDC空調控制系統還是PLC空調控制系統好用?
- JAVA控制檯下:控制檯商城購物系統Java
- 改善輸送系統的控制
- 01關於版本控制系統
- Git版本控制系統安裝Git
- ECS控制檯診斷系統
- linux使用者使用者組與ACLLinux
- Linux-許可權管理(ACL許可權)Linux
- Linux系統配置(系統優化)Linux優化