getfacl權限記錄應用

一、環境準備：

[root@zabbix-server ~]# mkdir -p /share/wanlong
[root@zabbix-server ~]# groupadd IT-SUPPORT
[root@zabbix-server ~]# adduser wanlong1 -G IT-SUPPORT
[root@zabbix-server ~]# adduser wanlong2 -G IT-SUPPORT
[root@zabbix-server ~]# adduser wanlong3 -G IT-SUPPORT
[root@zabbix-server ~]# chown root:IT-SUPPORT /share/wanlong/
[root@zabbix-server ~]# cp /etc/passwd /share/wanlong/
[root@zabbix-server ~]# tail -5 /share/wanlong/passwd 
wang5:x:1005:1007::/home/wang5:/bin/bash
zhao6:x:1006:1008::/home/zhao6:/bin/bash
wanlong1:x:1007:1010::/home/wanlong1:/bin/bash
wanlong2:x:1008:1011::/home/wanlong2:/bin/bash
wanlong3:x:1009:1012::/home/wanlong3:/bin/bash

二、測試過程：

[root@zabbix-server ~]# ls -ld /share/wanlong/
drwxr-xr-x 2 root IT-SUPPORT 6 Apr 26 20:12 /share/wanlong/
切換用戶，測試下權限
[root@zabbix-server ~]# su - wanlong1
[wanlong1@zabbix-server ~]$ cd /share/wanlong/
可以進入目錄，說明具有X權限
[wanlong1@zabbix-server wanlong]$ ls
passwd
[wanlong1@zabbix-server wanlong]$ tail -5 passwd 
wang5:x:1005:1007::/home/wang5:/bin/bash
zhao6:x:1006:1008::/home/zhao6:/bin/bash
wanlong1:x:1007:1010::/home/wanlong1:/bin/bash
wanlong2:x:1008:1011::/home/wanlong2:/bin/bash
wanlong3:x:1009:1012::/home/wanlong3:/bin/bash
可以查看文件，說明有R的權限
[wanlong1@zabbix-server wanlong]$ touch a.txt
touch: cannot touch ‘a.txt’: Permission denied
不能新建文件，說明不具有W的權限

使用getfacl查看文件夾的權限：

[root@zabbix-server ~]# getfacl /share/wanlong/
getfacl: Removing leading '/' from absolute path names
# file: share/wanlong/
# owner: root
# group: IT-SUPPORT
user::rwx
group::r-x
other::r-x
[root@zabbix-server ~]# ls -ld /share/wanlong/
drwxr-xr-x 2 root IT-SUPPORT 20 Apr 26 20:16 /share/wanlong/
說明：root有可讀取執行的權限，IT-SUPPORT組的成員具備讀和執行的權限

三、需求：給予wanlong1對/share/wanlong讀、寫、可執行權限

[root@zabbix-server ~]# vim /etc/fstab 
#
# /etc/fstab
# Created by anaconda on Thu Feb 23 22:23:27 2017
#
# Accessible filesystems, by reference, are maintained under '/dev/disk'
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/cl-root     /                       xfs     defaults,acl        0 0
UUID=df70cb42-4274-491a-8ae7-cbb0dcd3a60b /boot                   xfs     defaults        0 0
/dev/mapper/cl-home     /home                   xfs     defaults        0 0
/dev/mapper/cl-swap     swap                    swap    defaults        0 0
備註：在「/」目錄默認的參數default後，添加「,acl」使acl規則生效
[root@zabbix-server ~]# mount -a
從新加載掛載選項
[root@zabbix-server ~]# setfacl -m u:wanlong1:rwx /share/wanlong/
[root@zabbix-server ~]# getfacl /share/wanlong/
getfacl: Removing leading '/' from absolute path names
# file: share/wanlong/
# owner: root
# group: IT-SUPPORT
user::rwx
user:wanlong1:rwx
group::r-x
mask::rwx
other::r-x
[wanlong1@zabbix-server wanlong]$ touch james.doc
[wanlong1@zabbix-server wanlong]$ ls
james.doc  passwd
[wanlong1@zabbix-server wanlong]$ rm james.doc -rf
[wanlong1@zabbix-server wanlong]$ ls
passwd
測試成功!

四、補充內容：

若是發現acl規則特別亂，想清理下，該如何操做
操做前：
[root@zabbix-server ~]# getfacl /share/wanlong/
getfacl: Removing leading '/' from absolute path names
# file: share/wanlong/
# owner: root
# group: IT-SUPPORT
user::rwx
user:wanlong1:rwx
group::r-x
mask::rwx
other::r-x
[root@zabbix-server ~]# setfacl -b /share/wanlong/
[root@zabbix-server ~]# getfacl /share/wanlong/
getfacl: Removing leading '/' from absolute path names
# file: share/wanlong/
# owner: root
# group: IT-SUPPORT
user::rwx
group::r-x
other::r-x