linux:ACL权限
2016-07-20 10:56 ZengGW 阅读(10930) 评论(0) 编辑 收藏 举报ACL权限是为了防止权限不够用的情况,一般的权限有所有者、所属组、其他人这三种,当这三种满足不了我们的需求的时候就可以使用ACL权限;
比如:一个网络老师,给一个班的学员上课,他在linux的根目录下面建立了一个文件,只允许本班级的 学员对该目录进行上传下载,其他人都不行,这是该目录的权限一般是770(一般我们设置权限都是所有者的权限大于所属组的权限,所属组的权限大于其他人的权限,依次往下),此时有个同学想试听我们的课程,该怎么给他分配权限呢?此时的话所属组、所有者、其他人都不满足,这是就用到ACL权限;
ACL权限的原理类似windows给一个文件添加用户(这个用户对该文件具有的权限):
linux的ACL权限也是给一个文件或者目录添加指定的用户或者组,然后给对应的权限;
一、ACL权限的开启
1.查看acl权限是否支持(文件系统是否支持ACL权限):
a.ext4文件系统:使用 dumpe2fs -h /dev/sda3 来查看超级块中的信息,里面有 Default mount options: user_xattr acl 或者使用 mount 查询
b.xfs文件系统 :xfs系统貌似已经强制开启了ACL权限了
2.开启acl权限
a.临时开启:mount -o remount,acl / (remount:重新挂载;[,acl]添加acl权限;[/]分区)
b.永久开启:编辑我们开机挂载文件/etc/fstab
然后需要让修改生效,因为是开机自动挂载的文件,所以要让修改生效有两种方式:
1.重启系统
2.重新挂载:mount -o remount /
二、查看和设置ACL权限
1.查看ACL权限:getfacl 文件名 下面是我做的试验之后的数据,我添加了一个st用户和一个tgroup2组,这两个就是alc权限做到的在
2.设定ALC权限:setfacl 命令设置(下面是我做的试验)
[root@study tmp]# mkdir project [root@study tmp]# ls -l total 0 srwxrwxrwx 1 mysql mysql 0 Jul 20 09:56 mysql.sock srw-rw---- 1 root root 0 Jul 20 09:56 php-fcgi.sock drwxr-xr-x 2 root root 6 Jul 20 10:37 project [root@study tmp]# chmod 770 project/ [root@study tmp]# groupadd zhy [root@study tmp]# chown root:zhy project/ [root@study tmp]# ls -ld project/ drwxrwx--- 2 root zhy 6 Jul 20 10:37 project/ [root@study tmp]# useradd zgw1 useradd: user 'zgw1' already exists [root@study tmp]# useradd zgw2 [root@study tmp]# useradd zgw3 [root@study tmp]# gpasswd -a zgw2 zhy Adding user zgw2 to group zhy [root@study tmp]# gpasswd -a zgw3 zhy Adding user zgw3 to group zhy [root@study tmp]# ls -ld zhy ls: cannot access zhy: No such file or directory [root@study tmp]# ls -ld project/ drwxrwx--- 2 root zhy 6 Jul 20 10:37 project/ [root@study tmp]# su zgw3 Attempting to create directory /home/zgw3/perl5 [zgw3@study tmp]$ cd project/ [zgw3@study project]$ ls -l total 0 [zgw3@study project]$ vi a [zgw3@study project]$ ls -l total 4 -rw-rw-r-- 1 zgw3 zgw3 8 Jul 20 10:44 a [zgw3@study project]$ exit exit [root@study tmp]# su st [st@study tmp]$ cd project/ bash: cd: project/: Permission denied [st@study tmp]$ exit exit [root@study tmp]# setfacl -m u:st:rx project/ [root@study tmp]# getfacl project/ # file: project/ # owner: root # group: zhy user::rwx user:st:r-x group::rwx mask::rwx other::--- [root@study tmp]# su st [st@study tmp]$ cd project/ [st@study project]$ ls -l total 4 -rw-rw-r-- 1 zgw3 zgw3 8 Jul 20 10:44 a [st@study project]$ touch a touch: cannot touch ‘a’: Permission denied [st@study project]$
设置用户:setfacl -m u:st:rx project [u指定用户]
设置组:setfacl -m g:tgroup:rx project [g指定组]
[root@study tmp]# getfacl project/ # file: project/ # owner: root # group: zhy user::rwx user:st:r-x group::rwx mask::rwx other::--- [root@study tmp]# groupadd zhy2 [root@study tmp]# setfacl -m g:zhy2:rx project/ [root@study tmp]# getfacl project/ # file: project/ # owner: root # group: zhy user::rwx user:st:r-x group::rwx group:zhy2:r-x mask::rwx other::---
三、ACL权限的最大有效权限,和删除acl权限
[root@study tmp]# getfacl project/ # file: project/ # owner: root # group: zhy user::rwx user:st:r-x group::rwx group:zhy2:r-x mask::rwx other::---
大家看上面的acl权限中有个"mask"的选项,它就是ACL权限的最大权限,现在是rwx,当你设置某个用户或组的ACL权限时,要跟mask的权限“相与”之后产生的权限才是该用户的最终权限,也就是加入mask的最大权限是rx,但是你给st用户设置的是rwx权限,此时st用户它的权限只有rx的权限,因为与最大权限“相与”得出的结果就是rx
命令:setfacl -m m:rx project
2.删除ACL权限
删除ACL用户权限:setfacl -x u:st 文件名
删除ACL组权限:setfacl -x g:tgroup 文件名
删除整个ACL权限:setfacl -b 文件名
[root@study tmp]# getfacl project/ # file: project/ # owner: root # group: zhy user::rwx user:st:r-x group::rwx #effective:r-x group:zhy2:r-x mask::r-x other::--- [root@study tmp]# setfacl -x u:st project/ [root@study tmp]# getfacl project/ # file: project/ # owner: root # group: zhy user::rwx group::rwx group:zhy2:r-x mask::rwx other::--- [root@study tmp]# setfacl -x g:zhy2 project/ [root@study tmp]# getfacl project/ # file: project/ # owner: root # group: zhy user::rwx group::rwx mask::rwx other::--- [root@study tmp]# ls -ld project/ drwxrwx---+ 2 root zhy 14 Jul 20 10:44 project/ [root@study tmp]# setfacl -b project/ [root@study tmp]# ls -ld project/ drwxrwx--- 2 root zhy 14 Jul 20 10:44 project/
四、设置默认ACL权限和递归ACL权限
1.命令:setfacl -m u:st:rx -R project 递归只对该目录下面现有的子文件或目录有用,对于该目录下面新添加的子文件或目录没用
[root@study tmp]# cd project/ [root@study project]# ls -l total 4 -rw-rw-r-- 1 zgw3 zgw3 8 Jul 20 10:44 a [root@study project]# cd .. [root@study tmp]# setfacl -m u:st:rx -R project/ [root@study tmp]# ls -l project/ total 4 -rw-rwxr--+ 1 zgw3 zgw3 8 Jul 20 10:44 a
[root@study tmp]# cd project/
[root@study project]# ls -l
total 4
-rw-rwxr--+ 1 zgw3 zgw3 8 Jul 20 10:44 a
[root@study project]# touch b
[root@study project]# ls -l
total 4
-rw-rwxr--+ 1 zgw3 zgw3 8 Jul 20 10:44 a
-rw-r--r-- 1 root root 0 Jul 20 11:34 b
[root@study project]#
2.默认权限:使用d ,格式:setfacl -m d:u:st:rx project 默认权限只对该目录下面新建的文件或目录有效,对已经存在的子文件无效
[root@study tmp]# setfacl -m d:u:st:rx project/ [root@study tmp]# ls -l project/ total 4 -rw-rwxr--+ 1 zgw3 zgw3 8 Jul 20 10:44 a -rw-r--r-- 1 root root 0 Jul 20 11:34 b [root@study tmp]# touch project/c [root@study tmp]# ls -l project/ total 4 -rw-rwxr--+ 1 zgw3 zgw3 8 Jul 20 10:44 a -rw-r--r-- 1 root root 0 Jul 20 11:34 b -rw-rw----+ 1 root root 0 Jul 20 11:38 c