访问控制列表ACL使用说明

一、什么是ACL

ACL(Access Control List)可灵活地,更细粒度地定义访问文件或目录的权限。

二、为什么使用ACL

Linux上文件系统的文件系统权限管理的对象分为三类:owner,group,other。这种分类非常简单,如果我希望有一个用户拥有不同于这三类对象的权限,或者再定义一个用户组的权限,传统的权限管理就不能实现,而ACL可以很好的解决这个问题。

三、ACL条目

 一系列ACL条目构成了ACL。条目应包含标签类型(tag type),可选择的标签修饰定语,以及权限设定。

其中标签类型分为:

 1.acl_user_obj:  文件的属主

 2.acl_user:     自定义用户

 3.acl_group_obj:  文件的所属组

 4.acl_group:    自定义用户组

 5.acl_mask:    规定了acl_user,acl_group_obj,acl_group可被授予的最大权限

 6.acl_other:    不在acl里定义的其他用户

[root@centos7 data]# getfacl f1
# file: f1
# owner: root
# group: mysql
user::rwx                #acl_user_obj
user:cutemsyu:rw-        #acl_user               
group::r-x               #acl_group_obj          #effective:r--
group:cutemsyu:rw-       #acl_group
group:fly:r--            #acl_group
mask::rw-                #acl_mask
other::---               #acl_other

 tag type 可简写,如u表示user,g表示group。

四、ACL设置和查看方法

 setfacl :设置    getfacl :查看

 格式:setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] file …

     getfacl [-aceEsRLPtpndvh] file …

 1、直接设置模式:

 -m :修改权限

 -x :移除权限

 –set:设置权限,取代原来的acl权限设置,必需包含u,g,o的tag type

 例如,修改权限并查看

[root@centos7 testdir]# setfacl -m u:cutemsyu:r,g:cutemsyu:r example
[root@centos7 testdir]# getfacl example
# file: example
# owner: root
# group: root
user::rw-
user:cutemsyu:r--
group::r--
group:cutemsyu:r--
mask::r--
other::r--

 移除权限并查看

[root@centos7 testdir]# setfacl -x g:cutemsyu example
[root@centos7 testdir]# getfacl example 
# file: example
# owner: root
# group: root
user::rw-
user:cutemsyu:r--
group::r--
mask::r--
other::r--

 2、通过文件设置

 ACL支持读取文件来设置权限

 -M:修改权限

 -X:移除权限

 这里我给出一个文本acl_file,

[root@centos7 testdir]# cat acl_file 
u:cutemsyu:rw         #一行只能写一个条目
u:fly:rw
g:cutemsyu:r

 修改权限并查看

[root@centos7 testdir]# touch example2
[root@centos7 testdir]# setfacl -M acl_file example2
[root@centos7 testdir]# getfacl example2
# file: example2
# owner: root
# group: root
user::rw-
user:cutemsyu:rw-
user:fly:rw-
group::r--
group:cutemsyu:r--
mask::rw-
other::r--

 再创建一个文本用来移除权限

[root@centos7 testdir]# cat acl_file_remove 
u:cutemsyu
u:fly
g:cutemsyu

 移除权限并查看

[root@centos7 testdir]# setfacl -X acl_file_remove example2
[root@centos7 testdir]# getfacl example2
# file: example2
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r--

 3、为目录设置ACL

 为目录设置ACL,设置方法相同,可用-R进行递归

 另外目录的ACL可加默认权限,不作用于目录本身,表示再此目录下新建的文件或目录继承默认权限

 例如:

[root@centos7 testdir]# setfacl -m o::-,u:fly:rwx,d:u:fly:rwx test/   #d:表示默认权限
[root@centos7 testdir]# getfacl test/
# file: test/
# owner: root
# group: root
user::rwx
user:fly:rwx
group::r-x
mask::rwx
other::---
default:user::rwx                   #未定义的默认tag type会跟随目录相应权限
default:user:fly:rwx
default:group::r-x
default:mask::rwx
default:other::---

 在此目录下新建目录和文件,查看ACL

[root@centos7 test]# mkdir dir1;touch file1;
[root@centos7 test]# getfacl dir1 file1 
# file: dir1
# owner: root
# group: root
user::rwx
user:fly:rwx
group::r-x
mask::rwx
other::---
default:user::rwx
default:user:fly:rwx
default:group::r-x
default:mask::rwx
default:other::---

# file: file1
# owner: root
# group: root
user::rw-
user:fly:rwx			#effective:rw-
group::r-x			#effective:r--
mask::rw-           #文件mask不继承x权限
other::---

 4、复制一个文件的ACL

 setfacl 支持管道输入 –set-file=-

getfacl file1|setfacl --set-file=- example      #复制file1权限到example

 5、备份和恢复ACL

 mv和cp备份文件时都会保留ACL信息,cp指令需加-p选项

 但是tar等工具工具备份文件时不会保留ACL信息,这时需要我们备份ACL信息

getfacl -R /testdir/data  >acl.bak         #递归备份ACL信息
setfacl -R --set-file=acl.bak /testdir/data        #递归恢复ACL信息

 6、清除ACL

setfacl -k dir       #清除默认acl设置
setfacl -b file      #清除所有acl设置

五、ACL和文件权限位的关系

 设置ACL的文件或目录,ls -l 查看权限位最后的 "."会变成"+"

drwxrwx---+ 2 root root 6 Aug  6 10:32 dir1

 owner位与ACL中acl_user_obj 对应

 group位与ACL中acl_mask对应

 other位与ACL中acl_other对应

六、ACL权限允许访问逻辑

 当一个线程访问一个被ACL保护的文件时,其获权逻辑如下:

 1.当线程的有效用户ID与文件owner相匹配时,如果owner拥有相应权限,则允许访问,否则拒绝。

 2.当线程的有效用户ID与acl_user相匹配时,如果mask和acl_user都具有相应权限则允许访问,否则拒绝。

 3.当线程的有效组ID或者补充组ID与文件所属组或任意acl_group相匹配时,

  (1)当ACL含有mask条目时

     如果mask和任何匹配的组拥有相应权限,则允许访问,否则拒绝

  (2)当ACL不含有mask条目时

     如果文件所属组拥有相应权限,则允许访问,否则拒绝

 4.如果acl_other拥有相应权限,则允许访问

 5.其他则拒绝

原创文章,作者:cutemsyu,如若转载,请注明出处:http://www.178linux.com/29774

(0)
cutemsyucutemsyu
上一篇 2016-08-08
下一篇 2016-08-08

相关推荐

  • Tomcat 性能优化-1

    <Connector  port="8080" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75&…

    Linux干货 2016-09-19
  • Linux 第十天: Linux文件查找和压缩

      Linux 第十天: Linux文件查找和压缩                     使用Linux的时候, 经常需要查找文件, 在Linux中, 有很多方法可以做到这一点.…

    Linux干货 2016-08-18
  • Python函数式编程指南(二):函数

    这是此系列的第二篇,试图说明在Python中如何更好地使用函数并引导诸位使用函数式的思维进行思考。掌握并应用这些内容,就已经是至少形似的函数式风格的代码了,至于思维么,这个真靠自己。 作者水平有限,如有错漏之处还请指出;转载请注明原作者和原地址:) 2. 从函数开始 2.1. 定义一个函数 如下定义了一个求和函数: def add(x, y): return…

    Linux干货 2015-03-11
  • CentOS系统安装

    centos系统安装        安装程序:anaconda,Anaconda是RedHat、CentOS、Fedora等Linux的安装管理程序。它可以提供文本、图形等安装管理方式,并支持Kickstart等脚本提供自动安装的功能。此外,其还支持许多启动参数,熟悉这些参数可为安装带来很多方便。该程序的功能是把位于光…

    Linux干货 2016-09-23
  • linux 启动文件 /etc/fstab 文件删除 无法开机 修复的方法

    /etc/fstab文件删除系统自检无法挂载 无法启动 按照提示进入命令行  手动写/etc/fstab,如无内核文件  无grub  就缺啥补啥 fdisk    -l 查看当前分区  blkid    查看分区文件系统的卷标 手动挂载 …

    Linux干货 2016-09-13
  • N23 9月底的

    1.linux下文件管理命令 cat 读取文件 或者连接显示touch 建立文件 改变时间 cp 复制文件 -f 强制复制 不论覆盖-r 连同子目录递归处理-l 建立硬链接-s 建立符号连接 rm 删除文件 -r 递归删除 连同子目录也一起干掉-f 强制 删除文件或者目录-d 直接删除目录 file 辨识文件类型 find 查找文件 whereis 查找文件…

    Linux干货 2016-09-25