|
|
ACL ,是 Access Control List (访问控制列表)的缩写。一般来说,它是为了弥补系统默认的权限机制在某些情况下不能面面俱到而设一种补充手段。比如在 Samba 服务器上,往往需要使用 ACL ,它允许为用户及用户组而设置具体的权限。
在应用 ACL 时有两个标准命令,getfacl 和 setfacl ,详细的命令说明请参考 man 手册。下面将以一些实例来说明 ACL 权限设置的应用情况。
如果一个文件被应用了 ACL ,那么我们可以通过 ls 命令观察得到,看下面:[beyes@groad.net tmp]$ ls -ld corp_dir/
drwxrwx---+ 2 sky corp 4096 Mar 8 23:45 corp_dir/
为了能够在 ext2/ext3/ext4 等文件系统上应用 ACL ,我们首先要使能它,方法是在 mount 一个设备时,要有 acl 选项(默认情况下 no_acl ,即不启用 ACL。但在 CentOS/RHEL6 中,已经默认启用)。比如你想将一个设备挂载到 /home 目录下,并在其上可以应用 ACL ,那么你可以添加 acl 选项到 /etc/fstab 文件的相应行上,比如: LABEL=/home /home ext4 defaults,acl 1 2 # mount -v -o remount /home
/dev/sda3 on /home type ext4 (rw,acl)
先查看一个文件系统传统属性:查看它的 ACL 权限,可以用 getfacl :[sky@groad.net tmp]$ getfacl sky.txt
# file: sky.txt
# owner: sky
# group: corp
user::rw-
group::r--
other::r-- [sky@groad.net tmp]$ getfacl --omit-header sky.txt
user::rw-
group::r--
other::r-- setfacl ––modify ugo:name:permissions file-list
下面就要用 setfacl 命令为 sky.txt 这个文件为 beyes 这个用户单独添加写权限,如下执行命令:setfacl -m u:beyes:rw- sky.txt setfacl -m u:beyes:6- sky.txt
现在用 beyes 这个用户往 sky.txt 里面写点东西看看:说明权限设置是成功的。还可以用 getfacl 来查看一下 ACL 规则:[beyes@groad.net tmp]$ getfacl sky.txt
# file: sky.txt
# owner: sky
# group: corp
user::rw-
user:beyes:rw-group::r--
mask::rw-
other::r--[table=100%,#ff9632][/table]
上面这个简单的例子就是 ACL 规则的基本应用。
在上面的 getfacl sky.txt 输出中,看到了一个掩码:mask::rw- 。这个 mask 称为"Effective Rights Mask"(有效权限掩码)。该掩码用来限制分配给用户或组的 ACL 规则的有效权限。它不能影响文件属主或组的权限。换句话来说,它不会影响 Linux 的传统权限设置。但是,由于 setfacl 一般都只是对分配到文件上的 ACL 权限做最小限制,因此这个掩码不会达到限制权限的目的,除非你明确进行设置。设置掩码使用 mask 选项,设置时原来的 ugo 不要写,而是使用 mask ,同时也不要去指定 name 部分。比如下面命令为 sky.txt 设置一个只允许读的掩码:$ setfacl -m mask::r-- sky.txt [sky@groad.net tmp]$ getfacl sky.txt
# file: sky.txt
# owner: sky
# group: corp
user::rw-
user:beyes:rw- #effective:r--
group::r--
mask::r--
other::r-- [beyes@groad.net tmp]$ echo "hello linux" >> sky.txt
-bash: sky.txt: Permission denied
当然了,ACL 规则可以在一行上一次写多条,每条规则使用逗号分隔,比如:$ setfacl -m u:beyes:r--,u:Anono:rw- sky.txt
设置了权限,就应该有取消权限的选项,setfacl 中的 -x 选项可以移除一个用户或组的 ACL 规则,同样它不会影响文件数组及其组的权限。下面将 sky.txt 上的 ACL 规则取消:[sky@groad.net tmp]$ setfacl -x u:beyes sky.txt
[sky@groad.net tmp]$ getfacl sky.txt
# file: sky.txt
# owner: sky
# group: corp
user::rw-
group::r--
mask::r--
other::r-- [sky@groad.net tmp]$ setfacl -b sky.txt
[sky@groad.net tmp]$ getfacl sky.txt
# file: sky.txt
# owner: sky
# group: corp
user::rw-
group::r--
other::r--
上面的规则是为普通文件而设置的,对于目录权限的设置,我们使用“默认规则”(Default Rules) 。setfacl 中的 -d (default)选项可以为目录添加默认规则。一个目录添加了默认规则后,那么此后在其中添加的文件及子目录都将继承这一规则,因此称为“默认规则”。
默认情况下,一个目录是没有 ACL 默认规则的:[sky@groad.net tmp]$ mkdir -m 700 skydir
[sky@groad.net tmp]$ ls -ld skydir
drwx------. 2 sky corp 4096 Mar 9 14:59 skydir
[sky@groad.net tmp]$ getfacl skydir
# file: skydir
# owner: sky
# group: corp
user::rwx
group::---
other::--- [sky@groad.net tmp]$ getfacl skydir
# file: skydir
# owner: sky
# group: corp
user::rwx
group::---
other::---
default:user::rwx
default:group::---
default:group:corp:rwx
default:group:sup:r-x
default:mask::rwx
default:other::---
第 3,第4 条规则为 corp 和 sup 这两个组指定了权限。第 5 条是默认的掩码。
到了这一步,不能认为 corp 和 sup 组的用户已经具有这个目录下的权限(corp:rwx, sup:r-x)。可以分别用这两个组的用户试一下:
因此还需要手动做这个添加:
再次用上面两个用户进入 skydir 目录:
可见,此时权限现在才生效。因此,一般的,可以在设置默认规则时顺并将权限添加进来。
下面在 skydir 这个目录下建立文件,看看是什么情况:[sky@groad.net skydir]$ ll groad.txt
-rw-rw----+ 1 sky corp 0 Mar 9 17:05 groad.txt
[sky@groad.net skydir]$ getfacl groad.txt
# file: groad.txt
# owner: sky
# group: corp
user::rw-
group::---
group:corp:rwx #effective:rw-
group:sup:r-x #effective:r--
mask::rw-
other::--- [sky@groad.net skydir]$ chmod g-w groad.txt
[sky@groad.net skydir]$ ll
total 4
-rw-r-----+ 1 sky corp 0 Mar 9 17:05 groad.txt
[sky@groad.net skydir]$ getfacl groad.txt
# file: groad.txt
# owner: sky
# group: corp
user::rw-
group::---
group:corp:rwx #effective:r--
group:sup:r-x #effective:r--
mask::r--
other::---
有时我们可能需要将一个文件上的 ACL 设置拷贝到另外一个文件,那么我们可以使用下面的命令来进行 ACL 的拷贝:getfacl basefile | setfacl -b -M - targetfile
此外,我们还可以进行权限的递归设置。如果要使某个目录下的所有文件及子目录都具有相同的权限,那么可以使用 setfacl 的 -R 选项。 |
|
窥视卡
雷达卡
发表于 2013-5-5 17:09:24
收藏
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡