Linux之acl庫的安裝與使用（限制Linux某用戶的訪問權限）

acl庫

做用：限制Linux某用戶的訪問權限

acl庫的安裝

1. 首先github中下載acl代碼：

git clone https://github.com/acl-dev/acl

1. 進入acl， 執行make

cd acl 
make

注意: [由於acl是由c/c++編寫的，須要提早安裝好gcc, g++]

1. 安裝到用戶根目錄：

make packinstall

通常到這兒就能編譯安裝成功了，在/user/include/ 目錄下會有acl-lib目錄。

1. 若是是centos系統，可直接安裝

yum install zlib-devel

setfacl命令的基本用法

一、setfacl的用途

setfacl命令能夠用來細分linux下的文件權限。
chmod命令能夠把文件權限分爲u,g,o三個組，而setfacl能夠對每個文件或目錄設置更精確的文件權限。
換句話說，setfacl能夠更精確的控制權限的分配。
好比：讓某一個用戶對某一個文件具備某種權限。

這種獨立於傳統的u,g,o的rwx權限以外的具體權限設置叫ACL（Access Control List）
ACL能夠針對單一用戶、單一文件或目錄來進行r,w,x的權限控制，對於須要特殊權限的使用情況有必定幫助。
如，某一個文件，不讓單一的某個用戶訪問。

二、setfacl的用法

用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m,       --modify-acl 更改文件的訪問控制列表
-M,       --modify-file=file 從文件讀取訪問控制列表條目更改
-x,       --remove=acl 根據文件中訪問控制列表移除條目
-X,       --remove-file=file 從文件讀取訪問控制列表條目並刪除
-b,       --remove-all 刪除全部擴展訪問控制列表條目
-k,       --remove-default 移除默認訪問控制列表
          --set=acl 設定替換當前的文件訪問控制列表
          --set-file=file 從文件中讀取訪問控制列表條目設定
          --mask 從新計算有效權限掩碼
-n,       --no-mask 不從新計算有效權限掩碼
-d,       --default 應用到默認訪問控制列表的操做
-R,       --recursive 遞歸操做子目錄
-L,       --logical 依照系統邏輯，跟隨符號連接
-P,       --physical 依照天然邏輯，不跟隨符號連接
          --restore=file 恢復訪問控制列表，和「getfacl -R」做用相反
          --test 測試模式，並不真正修改訪問控制列表屬性
-v,       --version           顯示版本並退出
-h,       --help              顯示本幫助信息

三、幾個例子

查看mysql-5.5.32安裝目錄的acl

查看

[root@localhost software]# getfacl mysql-5.5.32
# file: mysql-5.5.32
# owner: mysql
# group: mysql
user::rwx
user:mysql:r-x
group::r-x
group:mysql:r-x
mask::r-x
other::r-x

修改

• 設置默認用戶，讀，寫，可執行

[root@localhost ~]# setfacl -m u::rwx test

• 修改文件的acl權限，添加一個用戶權限

[root@localhost ~]# setfacl -m u:mmzs:rw- test

• 添加一個組

[root@localhost ~]# setfacl -m g:mmzsit:r-w test

• 給mmzs用戶向test文件增長讀和執行的acl規則

[root@localhost ~]# setfacl -m u:mmzs:rx test

• 給mmzsit用戶向test文件增長讀和執行的acl規則

[root@localhost ~]# setfacl -m u:mmzsit:rx test

移除

• 移除mysql-5.5.32目錄的root組和root用戶的acl規則

[root@localhost software]# setfacl -R -x g:root /software/mysql-5.5.32/
[root@localhost software]# setfacl -R -x u:root /software/mysql-5.5.32/

• 清除tank用戶，對test文件acl規則

[root@localhost ~]# setfacl -x u:mmzs test

• 清除全部acl

[root@localhost ~]# setfacl -b test

說明事項：

• 設置組的話只須要把setfacl -m u::rwx 中的u改成g便可，大體差很少。

• 設置mask的話，setfacl -m u::rwx 中的u改成m，而且這個可不針對用戶和組哦，其餘的大體差很少。

• 在使用-R時，記得放在-m前面，不然不能夠地

• 使用-d的話，就會把默認的都加上去，針對目錄哦。