Linux學習記錄--ACL權限控制

ACL權限控制

設置ACL權限：setfacl

查看ACL權限：getfacl

ACL權限控制主要目的是提供傳統的owner,group,other的read,wirte,execute權限以外的具體權限設置，能夠針對單一用戶或組來設置特定的權限

好比：某一目錄權限爲

drwx------ 2 root root 4096 03-10 13:51./acldir

用戶user對此目錄無任何權限所以沒法進入此目錄，ACL可單獨爲用戶user設置這個目錄的權限，使其能夠操做這個目錄

 

ACL啓動

要使用ACL必需要有文件系統支持才行，目前絕大多數的文件系統都會支持，EXT3文件系統默認啓動ACL的

 

查看文件系統是否支持ACL

 

[root@localhost tmp]# dumpe2fs -h /dev/sda2
dumpe2fs 1.39 (29-May-2006)
……
sparse_super large_file
Default mount options:    user_xattr acl

 

加載ACL功能

 

若是UNIX LIKE支持ACL可是文件系統並非默認加載此功能，可本身進行添加

[root@localhost tmp]# mount -o remount,acl /
[root@localhost tmp]# mount
/dev/sda2 on / type ext3 (rw,acl)

一樣也能夠修改磁盤掛在配置文件設置默認開機加載

[root@localhost tmp]# vi /etc/fstab
LABEL=/                 /                       ext3    defaults,acl        1 1

查看ACL權限

 

語法：getfacl filename

設置ACL權限

語法：setfacl [-bkRd]  [-m|-x acl 參數]  目標文件名

選項與參數：

-m:設置後續的acl參數，不可與-x一塊兒使用

-x: 刪除後續的acl參數，不可與-m一塊兒使用

-b:刪除全部的acl參數

-k:刪除默認的acl參數

-R:遞歸設置acl參數

-d:設置默認acl參數，只對目錄有效

 

針對特殊用戶

設置格式：u:用戶帳號列表：權限

權限：rwx的組合形式

如用戶列表爲空，表明設置當前文件全部者權限

 

舉例：

[root@localhost tmp]# mkdir -m 700 ./acldir; ll -d ./acldir 
drwx------ 2 root root 4096 03-10 13:51 ./acldir
[root@localhost tmp]# su tkf
[tkf@localhost tmp]$ cd ./acldir/
bash: cd: ./acldir/: 權限不夠  =>用戶無X權限
[tkf@localhost tmp]$ exit
exit
[root@localhost tmp]# setfacl -m u:tkf:x ./acldir/ 
=>針對用戶tkf設置acldir目錄的權限爲x
[root@localhost tmp]# ll -d ./acldir/
drwx--x---+ 2 root root 4096 03-10 13:51 ./acldir/ 
=>經過ACL添加權限在權限末尾會增長多個一個「+」同時文件本來權限也發生變化。
=>可經過getfacl查看原始目錄權限
[root@localhost tmp]# getfacl ./acldir/
# file: acldir
# owner: root
# group: root
user::rwx
user:tkf:--x  =>記錄tkf用戶針對此目錄有acl權限
group::---
mask::--x
other::---
=>這裏須要特殊說明，只是tkf這個用戶具備X權限，其餘用戶仍是無權限的
[root@localhost tmp]# su tkf
[tkf@localhost tmp]$ cd ./acldir/
[tkf@localhost acldir]$ 
=>用戶tkf能夠具備x權限能夠進入目錄

針對特定用戶組

設置格式：g:用戶組列表：權限

權限：rwx的組合形式

如用戶組列表爲空，表明設置當前文件所屬用戶組權限

舉例：

[root@localhost tmp]# setfa
setfacl   setfattr  
[root@localhost tmp]# setfacl -m g:users:rx ./acldir/
[root@localhost tmp]# getfacl ./acldir/
# file: acldir
# owner: root
# group: root
user::rwx
user:tkf:--x
group::--- => 其餘用戶組(非acl設置)的權限
group:users:r-x => 記錄users用戶組針對此目錄有acl權限
mask::r-x
other::---

針對有效權限設置

有效權限（mask）就是acl權限設置的極限值，也就是你所設置的acl權限必定是mask的一個子集，若是超出mask範圍會將超出的權限去掉

設置格式：m:權限

權限：rwx的組合形式

舉例：

[root@localhost tmp]# setfacl -m m:x ./acldir/
[root@localhost tmp]# getfacl ./acldir/
# file: acldir
# owner: root
# group: root
user::rwx
user:tkf:--x
group::r-x                      #effective:--x
group:users:r-x                 #effective:--x
mask::--x
other::---

針對默認權限設置

咱們前面都是針對一個目錄爲一個用戶（組）設置特定權限，可是若是這個目錄下在新建立的文件是不具備這些針對這個用戶的特定權限的。爲了解決這個問題，就須要設置默認acl權限，使這個目錄下新建立的文件有和目錄相同的ACL特定權限

 

設置格式：d:[u|g]:用戶(組)列表：權限

 

舉例

[root@localhost tmp]# mkdir -m 711 ./defdir
[root@localhost tmp]# setfacl -m u:tkf:rxw ./defdir
[root@localhost tmp]# ll -d ./defdir/
drwxrwx--x+ 2 root root 4096 03-10 15:23 ./defdir/
=>目錄權限具備acl特定權限（後面+）
[root@localhost tmp]# touch ./defdir/a.file;ll ./defdir/
-rw-r--r--  1 root root 0 03-10 15:25 a.file
=>新建立的文件不具備acl特定權限（後面無+）
[root@localhost tmp]# setfacl -m d:u:tkf:rxw ./defdir
=>設置默認權限
[root@localhost tmp]# getfacl ./defdir/
# file: defdir
# owner: root
# group: root
user::rwx
user:tkf:rwx
group::--x
mask::rwx
other::--x
default:user::rwx
default:user:tkf:rwx
default:group::--x
default:mask::rwx
default:other::--x

[root@localhost tmp]# touch ./defdir/b.file;ll ./defdir/
-rw-r--r--  1 root root 0 03-10 15:25 a.file
-rw-rw----+ 1 root root 0 03-10 15:26 b.file
=>新建立文件默認帶有acl特定權限
[root@localhost tmp]# getfacl ./defdir/b.file 
# file: defdir/b.file
# owner: root
# group: root
user::rw-
user:tkf:rwx                    #effective:rw-
group::--x                      #effective:---
mask::rw-
other::---
=>這快我有個疑問，爲何mask值是rw，我猜想和文件最大權限有關，
=>對於文件來時默認最大權限是666即UMASK爲0000.那個對於可執行文件來講
=>沒有X,難道還須要使用chmod設置？ 疑問！！