Linux ACL學習筆記(zt)

1. 為什麼要使用ACL

先讓我們來簡單地複習一下Linux的file permission.

在linux下,對一個檔案(或者資源)可以進行操作的物件被分為三類: file owner(檔案的擁有者), group(組,注意不一定是檔案擁有者所在的組), other (其他)
而對於每一類別又分別定義了read, write and execute/search permission (這裡不討論SUID, SGID以及Sticky bit的設定)

透過ls -l命令就我們就可以列出一個檔案的permission

[@more@]

程式碼:
# ls -l
[leonard@localhost ~]$ ls -l
-rw-rw---- 1 leonard admin 0 Jul 3 20:12 test.txt

在這裡說明了對於test.txt這個檔案leonard使用者(由於是file owner)擁有read & write permission. 所有屬於admin group的使用者(group)擁有read & write permission. 其他任何使用者(other)對於檔案沒有任何的permission

如果我們現在希望john這個使用者也可以對test.txt檔案進行讀寫操作. 我自己大概會想到以下幾種辦法 (這裡假設john不屬於admin group)

1. 給檔案的other類別增加read and write permission. 這樣由於john會被歸為other類別,那麼他也將擁有讀寫的許可權
2. 將john加入到admin group. 那麼john會被歸為group類別,那麼他將擁有讀寫的許可權
3. 設定sudo, 使john能夠以leonard的身份對test.txt進行操作,從而獲得讀寫許可權

第一種做法的問題在於所有使用者都將對test.txt擁有讀寫操作,顯然這種做法不可取
第二種做法的問題在於john被賦予了過多的許可權.所有屬於admin組的檔案,john都可以擁有其等同的許可權了
第三種做法雖然可以達到只限定john使用者一人擁有對test.txt檔案的讀寫許可權.但是需要對sudoers檔案進行嚴格的格式控制. 而且當檔案數量和使用者很多的時候,這種方法就相當地不靈活了

看來好像都沒有一個很好的解決方案. 其實問題就出在Linux file permission裡面,對於other的定義過於廣泛,以至於很難把permission限定於一個不屬於file owner和group的使用者身上. 那麼Access Control List (ACL)就是用來幫助我們解決這個問題的.

簡單地來說ACL就是可以設定特定使用者或者使用者組對於一個檔案的操作許可權. 需要掌握的命令也只有三個: getfacl, setfacl, chacl

在接下去討論之前大家可以先安裝上ACL的RPM包

程式碼:
# rpm -ivh libacl-2.2.39-1.1 acl-2.2.39-1.1.i386.rpm

2. ACL的名詞定義

先來看看在ACL裡面每一個名詞的定義.這些名詞我大多從man page上摘下來雖然有些枯燥,但是對於理解下面的內容還是很有幫助的

ACL是由一系列的Access Entry所組成的. 每一條Access Entry定義了特定的類別可以對檔案擁有的操作許可權. Access Entry有三個組成部分: Entry tag type, qualifier (optional), permission

我們先來看一下最重要的Entry tag type, 它有以下幾個型別

ACL_USER_OBJ: 相當於Linux裡file_owner的permission
ACL_USER: 定義了額外的使用者可以對此檔案擁有的permission
ACL_GROUP_OBJ: 相當於Linux裡group的permission
ACL_GROUP: 定義了額外的組可以對此檔案擁有的permission
ACL_MASK: 定義了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大許可權 (這個我下面還會專門討論)
ACL_OTHER: 相當於Linux裡other的permission

讓我們來據個例子說明一下. 下面我們就用getfacl命令來檢視一個定義好了的ACL檔案

程式碼:
[leonard@localhost ~]$ getfacl ./test.txt
# file: test.txt
# owner: leonard
# group: admin
user::rw-
user:john:rw-
group::rw-
group:dev:r--
mask::rw-
other::r--

前面三個以#開頭的定義了檔名,file owner和group. 這些資訊沒有太大的作用,接下來我們可以用 --omit-header來省略掉
user::rw- 定義了ACL_USER_OBJ, 說明file owner擁有read and write permission
user:john:rw- 定義了ACL_USER,這樣使用者john就擁有了對檔案的讀寫許可權,實現了我們一開始要達到的目的
group::rw- 定義了ACL_GROUP_OBJ,說明檔案的group擁有read and write permission
group:dev:r-- 定義了ACL_GROUP,使得dev組擁有了對檔案的read permission
mask::rw- 定義了ACL_MASK的許可權為read and write
other::r-- 定義了ACL_OTHER的許可權為read

從這裡我們就可以看出ACL提供了我們可以定義特定使用者和使用者組的功能. 那麼接下來我們就來看一下如何設定一個檔案的ACL

3. 如何設定ACL檔案

首先我們還是要講一下設定ACL檔案的格式. 從上面的例子中我們可以看到每一個Access Entry都是由三個被:號分隔開的欄位所組成. 第一個就是Entry tag type

user 對應了ACL_USER_OBJ和ACL_USER
group 對應了ACL_GROUP_OBJ和ACL_GROUP
mask 對應了ACL_MASK
other 對應了ACL_OTHER

第二個欄位稱之為qualifier.也就是上面例子中的john和dev組.它定義了特定使用者和擁護組對於檔案的許可權.這裡我們也可以發現只有user和group才有qualifier,其他的都為空

第三個欄位就是我們熟悉的permission了. 它和Linux的permission一樣定義,這裡就不多講了

下面我們就來看一下怎麼設定test.txt這個檔案的ACL讓它來達到我們上面的要求

一開始檔案沒有ACL的額外屬性

程式碼:
[leonard@localhost ~]$ ls -l
-rw-rw-r-- 1 leonard admin 0 Jul 3 22:06 test.txt
[leonard@localhost ~]$ getfacl --omit-header ./test.txt
user::rw-
group::rw-
other::r--

我們先讓使用者john擁有對test.txt檔案的讀寫許可權

程式碼:
[leonard@localhost ~]$ setfacl -m user:john:rw- ./test.txt
[leonard@localhost ~]$ getfacl --omit-header ./test.txt
user::rw-
user:john:rw-
group::rw-
mask::rw-
other::r--

這時我們就可以看到john使用者在ACL裡面已經擁有了對檔案的讀寫許可權. 這個時候如果我們檢視一下linux的permission我們還會發現一個不一樣的地方

程式碼:
[leonard@localhost ~]$ ls -l ./test.txt
-rw-rw-r--+ 1 leonard admin 0 Jul 3 22:06 ./test.txt

在檔案permission的最後多了一個+號. 當任何一個檔案擁有了ACL_USER或者ACL_GROUP的值以後我們就可以稱它為ACL檔案.這個+號就是用來提示我們的
我們還可以發現當一個檔案擁有了ACL_USER或者ACL_GROUP的值時ACL_MASK同時也會被定義

接下來我們來設定dev組擁有read permission

程式碼:
[leonard@localhost ~]$ setfacl -m group:dev:r-- ./test.txt
[leonard@localhost ~]$ getfacl --omit-header ./test.txt
user::rw-
user:john:rw-
group::rw-
group:dev:r--
mask::rw-
other::r--

到這裡就完成了我們上面講到的要求.是不是很簡單呢

4. ACL_MASK 和 Effective permission

這裡需要重點講一下ACL_MASK, 因為這是掌握ACL的另一個關鍵

在Linux file permission裡面大家都知道比如對於rw-rw-r--來說, 當中的那個rw-是指檔案組的permission. 但是在ACL裡面這種情況只是在ACL_MASK不存在的情況下成立. 如果檔案有ACL_MASK值,那麼當中那個rw-代表的就是mask值而不再是group permission了

讓我們來看下面這個例子

程式碼:
[leonard@localhost ~]$ ls -l
-rwxrw-r-- 1 leonard admin 0 Jul 3 23:10 test.sh

這裡說明test.sh檔案只有file owner: leonard擁有read, write, execute/search permission. admin組只有read and write permission
現在我們想讓使用者john也對test.sh具有和leonard一樣的permission

程式碼:
[leonard@localhost ~]$ setfacl -m user:john:rwx ./test.sh
[leonard@localhost ~]$ getfacl --omit-header ./test.sh
user::rwx
user:john:rwx
group::rw-
mask::rwx
other::r--

這裡我們看到john已經擁有了rwx的permission. mask值也被設定為rwx.那是因為它規定了ACL_USER, ACL_GROUP和ACL_GROUP_OBJ的最大值
現在我們再來看test.sh的Linux permission, 它已經變成了

程式碼:
[leonard@localhost ~]$ ls -l
-rwxrwxr--+ 1 leonard admin 0 Jul 3 23:10 test.sh

那麼如果現在admin組的使用者想要執行test.sh的程式會發生什麼情況呢? 它會被permission deny.原因在於實際上admin組的使用者只有read and write permission.這裡當中顯示的rwx是ACL_MASK的值而不是group的permission

所以從這裡我們就可以知道,如果一個檔案後面有+標記,我們都需要用getfacl來確認它的permission,以免發生混淆

下面我們再來繼續看一個例子
假如現在我們設定test.sh的mask為read only,那麼admin組的使用者還會有write permission嗎?

程式碼:
[leonard@localhost ~]$ setfacl -m mask::r-- ./test.sh
[leonard@localhost ~]$ getfacl --omit-header ./test.sh
user::rwx
user:john:rwx #effective:r--
group::rw- #effective:r--
mask::r--
other::r--

這時候我們可以看到ACL_USER和ACL_GROUP_OBJ旁邊多了個#effective:r--, 這是什麼意思呢?
讓我們再來回顧一下ACL_MASK的定義. 它規定了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大許可權.那麼在我們這個例子中他們的最大許可權也就是read only.雖然我們這裡給ACL_USER和ACL_GROUP_OBJ設定了其他許可權,但是他們真正有效果的只有read許可權.

這時我們再來檢視test.sh的Linux file permission時它的group permission也會顯示其mask的值(i.e. r--)

程式碼:
[leonard@localhost ~]$ ls -l
-rwxr--r--+ 1 leonard admin 0 Jul 3 23:10 test.sh

5. Default ACL

上面我們所有講的都是Access ACL, 也就是對檔案而言. 下面我簡單講一下Default ACL. Default ACL是指對於一個目錄進行Default ACL設定,並且在此目錄下建立的檔案都將繼承此目錄的ACL

同樣我們來做一個試驗說明
比如現在leonard使用者建立了一個dir目錄

程式碼:
[leonard@localhost ~]$ mkdir dir

他希望所有在此目錄下建立的檔案都可以被john使用者所訪問. 那麼我們就應該對dir目錄設定Default ACL

程式碼:
[leonard@localhost ~]$ setfacl -d -m user:john:rw ./dir
[leonard@localhost ~]$ getfacl --omit-header ./dir
user::rwx
group::rwx
other::r-x
default:user::rwx
default:user:john:rwx
default:group::rwx
default:mask::rwx
default: other::r-x

這裡我們可以看到ACL定義了default選項, john使用者擁有了default的read, write, excute/search permission.所有沒有定義的default都將從file permission裡copy過來

現在leonard使用者在dir下建立一個test.txt檔案

程式碼:
[leonard@localhost ~]$ touch ./dir/test.txt
[leonard@localhost ~]$ ls -l ./dir/test.txt
-rw-rw-r--+ 1 leonard leonard 0 Jul 3 23:46 ./dir/test.txt
[leonard@localhost ~]$ getfacl --omit-header ./dir/test.txt
user::rw-
user:john:rw-
group::rwx #effective:rw-
mask::rw-
other::r--

這裡我們看到在dir下建立的檔案john使用者自動就有了read and write permission

6. ACL 相關命令

前面的例子中我們都注意到了getfacl命令是用來讀取檔案的ACL, setfacl是用來設定檔案的Acess ACL. 這裡還有一個chacl是用來改變檔案和目錄的Access ACL and Default ACL. 它的具體引數大家可以去看man page. 我只想提及一下chacl -B. 它可以徹底刪除檔案或者目錄的ACL屬性(包括Default ACL). 比如你即使用了setfacl -x刪除了所有檔案的ACL屬性,那個+號還是會出現在檔案的末尾.所以正確的刪除方法應該是用chacl -B

用cp來複制檔案的時候我們現在可以加上-p選項.這樣在複製檔案的時候也將複製檔案的ACL屬性.對於不能複製的ACL屬性將給出警告

mv命令將會預設地移動檔案的ACL屬性. 同樣如果操作不允許的情況下會給出警告

7. 需要注意的幾點

如果你的檔案系統不支援ACL的話,你也許需要重新mount你的file system
mount -o remount, acl [mount point]

如果用chmod命令改變Linux file permission的時候相應的ACL值也會改變.反之改變ACL的值,相應的file permission也會改變

8. 參考資料

1. man acl 個人感覺man page已經講的比較詳細,只是上面名詞比較多看起來會比較繁瑣
2. 如果你英語不錯的話可以看一下這篇關於POSIX ACL的介紹,上面有許多不錯的例子