linux系统 基本权限ACL读书笔记

ACL（Access Control Lists）是一种在Linux系统中用于管理文件和目录权限的高级权限控制方式。ACL可以为特定用户或用户组提供更细粒度的权限控制，而不仅仅依赖于经典的Unix文件权限模型。当探索文件权限和ACL（Access Control Lists）时，了解getfacl和setfacl命令将帮助使用者更好地管理文件和目录的权限。以下是一些关于这两个命令的读书笔记：

getfacl命令

getfacl命令用于获取文件或目录的ACL信息。ACL允许你在标准UNIX权限之外更精细地控制访问。以下是一些关于getfacl命令的要点：

1. 基本语法：

    

   getfacl [选项] 文件或目录

2. 用途：

   • getfacl用于查看特定文件或目录的ACL信息，包括用户、组和其他实体的访问权限。
   • 运行getfacl命令，将会返回一个包含ACL信息的文本。

3. 常用选项：

   • -R：递归地获取目录及其子目录的ACL信息。
   • -p：打印默认ACL而不是访问控制列表。
   • -m：将ACL信息以可编辑的格式输出，用于稍后的修改。

4. 示例：

   • 获取文件或目录的ACL信息：
      

     getfacl /path/to/file_or_directory
   • 递归获取目录及其子目录的ACL信息：
      

     getfacl -R /path/to/directory

setfacl命令

setfacl命令用于设置文件或目录的ACL。这允许你分配更精细的权限控制，包括特定用户或组的访问权限。以下是一些关于setfacl命令的要点：

1. 基本语法：

   setfacl [选项] ACL规则 文件或目录

2. 用途：

   • setfacl用于设置文件或目录的ACL规则，以控制不同实体的访问权限。
   • 可以添加、修改或删除ACL规则。

3. 常用选项：

   • -m：修改现有的ACL规则。
   • -x：删除ACL规则。
   • -R：递归地设置目录及其子目录的ACL规则。
   • -d：设置默认ACL规则，以便新创建的文件或目录继承这些规则。

4. 示例：

   • 设置一个新的ACL规则，授予用户特定的读和写权限：
      

     setfacl -m u:username:rw /path/to/file_or_directory
   • 递归地设置目录及其子目录的ACL规则：
      

     setfacl -R -m u:username:rw /path/to/directory

总的来说，getfacl和setfacl命令是管理文件和目录权限的强大工具，特别是在需要更精细的访问控制时。通过熟练掌握这两个命令，你可以更好地保护和管理你的系统中的文件和目录。

Mask权限：

Mask权限是ACL中的一个重要概念，它用于限制特定用户或用户组所拥有的权限。通常，mask权限会取用户或用户组的权限中的最小权限，以确保不赋予他们过多的权限。假设我们有一个目录/data，并且要设置ACL，只允许user1有读取权限，但不允许写入权限。首先，我们可以使用setfacl命令为目录设置ACL：

setfacl -m u:user1:rx /data

在这个例子中，我们将user1的权限设置为读取（r）和执行（x）。现在，我们需要设置mask权限来限制这些权限：

setfacl -m m::r-x /data

这个命令将mask权限设置为只读（r-x），这意味着即使我们为user1分配了读取和执行权限，但mask权限将限制他们的最终权限为只读。

Default权限：

Default权限用于设置在新创建的子文件或子目录上的默认ACL权限。如果我们希望在/data目录下的每个新创建的子目录都具有相同的ACL权限，可以使用default权限。假设我们想要设置默认权限，以便新创建的子目录将继承/data目录的ACL权限。我们可以这样做：

setfacl -m d:u::rwx,d:g::r-x,d:o::--- /data

这个命令将设置默认权限，以确保新创建的子目录将继承相同的ACL权限设置。

通过mask权限和default权限，我们可以更细粒度地管理文件和目录的访问控制，确保系统安全性和数据保护。当然，实际的ACL设置和权限需要根据具体的需求进行调整和配置。

 

 课堂代码内容展示：