ACL实现灵活的权限管理

ACL实现灵活的权限管理

除了文件的所有者,所属组和其它人,可以对更多的用户设置权限

CentOS7当中,无论是操作系统安装时还是之后手工创建的文件系统(xfsext4)均会开启ACL功能。

CentOS6及之前的版本,仅操作系统安装时创建的文件系统才会默认开启ACL,手工创建的文件系统,需要手工开启ACL功能。

mount -o acl /dev/sda7  取消的方式,重新挂载时不指定即可

tune2fs -o acl /dev/sda7 取消的方式 tune2fs -o ^acl /dev/sda7

 

ACL权限判断的顺序

先判断是否是文件的OWNER,如果是,则执行OWNER的权限后结束,如果不是OWNER,则判断是否是ACLUSER,如果是则执行USER权限后结束,如果不是ACLUSER, 则判断是否属于GROUPACL GROUP,如果是,则取最大权限。如果不属于任何GROUP,则执行OTHER

所有人->ACLuser>所有组和ACLgroup->其他人

ACL实现灵活的权限管理

将文件f1的所属人权限改为,将文件f1 ACL里的user :liubei权限设为rwx,切换到liubei用户下,此时该用户对f1文件啥都不能做,说明文件的ower权限大于ACLuser权限。

ACL实现灵活的权限管理

将文件f1 acluser:guanyu的权限设为,将acl里的group:guanyu的权限设为rw-,进入guanyu用户下,此时不能查看修改文件f1,所以acluser权限大于group权限。

ACL实现灵活的权限管理

文件f1的组权限为aclgroupguanyu的权限为rwx,切换到guanyu用户下,能查看修改执行文件

ACL实现灵活的权限管理

文件f1组权限为rwx,aclgroup:guanyu权限为rw-,切换到guanyu用户下,此时能执行文件。

所以如果不是ACLUSER, 则判断是否属于GROUPACL GROUP,如果是,则取最大权限。

 

为多用户或者组的文件和目录赋予访问权限rwx:

setfacl -m u:liubei:— f1  设置ACL USER

setfacl -m g:shuguo:rwx f1  设置ACL GROUP

setfacl -M acl.txt f1[dir1](将一个文件的ACL,导入到另一个文件中)

acl.txt 内容来自getfacl f1 > acl.txt,如下

# file: fstab

# owner: root

# group: root

user::rw-

user:zhangfei:rwx

group::r–

mask::rwx

other::r–

ACL实现灵活的权限管理

setfacl -Rm u:zhangfei:rwx acltest/   递归设置

setfacl -m mask:rwx f1 设置mask的权限

chmod g=rwx f1 一旦设置了ACL权限后,原有的文件GROUP不可再更改,使用chmod g=即修改ACL MASK(用ll命令显示的文件组权限变为mask

ACL MASK随着新的ACL设置会被重置,重置的标准是让该文件上的所有ACL及文件原GROUP上的权限都有效。

ACL实现灵活的权限管理

给文件f1的组权限设成rwx,但文件f1 ACL里组权限还是原本的rw-,而mask权限变为rwx,切换到guanyu用户下,执行文件f1,权限被拒绝。

ACL实现灵活的权限管理

原本文件f1 ACLmask权限为rwx,当把文件组权限改为时,可以发现组权限并没有发生变化,而mask权限变为,所以当文件设置了ACL权限后,原有的文件GROUP不可再更改,使用chmod g=即修改ACL MASK

ACL实现灵活的权限管理

mask权限为时,ACL中的user权限和group权限都会受到作用(除了owner,mask权限会约束到ACLusergroup权限,两者(maskACL USERmaskACL group)权限取并集。

最好最后设置mask,是为了保障每一条ACL都能够生效。

 

setfacl -x u:liubei f1  单独去除一条ACL权限

setfacl -X aclrm.txt f1[ f2 f3 *](批量删除ACL:先创建一个文件在里面写入你所要删除的ACL,格式如下图)

aclrm.txt 内容如下

u:liubei

g:shuguo

ACL实现灵活的权限管理

setfacl -b f1 去除该文件上ACL属性(文件中mask也被删掉了)。

setfacl -m d:u:guanyu:rwx dir1  设置ACL默认权限,仅影响新创建的文件及目录,不影响当前。

ACL实现灵活的权限管理

 

ACL实现灵活的权限管理

此时进入guanyu用户下,进入/app/acltest/dir1,但是不能创建文件,说明guanyu用户是以其他身份来访问dir1目录的。

ACL实现灵活的权限管理

回到root用户下,发现之后在dir1中创建的文件和目录都默认有ACL属性。

ACL实现灵活的权限管理

再切到guanyu用户下,进入dir1123目录中,发现能够创建文件了,而且文件也有默认ACL属性。说明guanyu用户此时拥有 setfacl -m d u:guanyu:rwx dir1 命令新增加acl user的权限,也说明该命令对当前目录不会生效,对子目录以下的有效。

setfacl -m u:guanyu:rwx dir1(setfacl -m d u:guanyu:rwx dir1 后面再敲setfacl -m u:guanyu:rwx dir1(两者顺序可以颠倒)就可以在当前目录也生效)

setfacl -x d:sunquan d11 删除一条默认权限

setfacl -k d1 删除全部默认权限

setfacl -b d1 删除ACL属性

 

备份和恢复ACL

getfacl -R /tmp/dir1 > acl.txt  将目录下的所有文件的ACL属性备份到文件

setfacl -R -b /tmp/dir1 清除目录下所有文件的ACL属性

setfacl -R –set-file=acl.txt /tmp/dir1   通过文件还原ACL属性的方法1

setfacl –restore acl.txt    通过文件还原ACL属性的方法2

 

 

原创文章,作者:fuming,如若转载,请注明出处:http://www.178linux.com/82811

(0)
fumingfuming
上一篇 2017-07-27
下一篇 2017-07-27

相关推荐

  • 一个不想被打断腿的人的学习宣言

    听说不晒学习宣言的会被某人打断腿,忍了好几天,思考了好几天,想了想,还是腿比较重要。废话就不多说了。上图~~!  生命中总要去经历一些,好让自己在老的时候回忆起来,不至于说:“哎,怎么就没有去拼一下呢!”

    Linux干货 2016-10-27
  • 文件、目录权限

    批量创建新用户: newusers passwd格式文件 批量创建用户,必须和/etc/passwd下的文件格式一样   下面开始批量创建:   首先准备好一个文件:用vi命令建一个user.txt 如图: 然后用cat user.txt 然后newusers批量创建,cat /etc/passwd查看下: 创建成功 批量修改用…

    Linux干货 2016-08-04
  • CentOS 7 部署LAMP架构(独立服务模式)

    细节要求:(1) 三者分离于三台主机,Httpd与PHP以FastCGI模式通讯; (2) 一个虚拟主机用于提供phpMyAdmin;另一个虚拟主机用于提供wordpress; (3) 部署PHP加速器:xcache; 一、准备CentOS 7主机环境以及Repo仓库提供基于rpm安装包方式的程序包安装源 安装主机程序包规划: 主机1:web-server(…

    Linux干货 2017-02-17
  • 马哥教育21期网络班—第11周课程+练习—-成长进行时–不退步–上

    1、详细描述一次加密通讯的过程,结合图示最佳。 对称加密: 加密和解密使用同一个密钥; 缺点:如何通信方多的话,需要保存多组密钥 公钥加密:密钥是成对儿出现 公钥:公开给所有人;pubkey 私钥:自己留存,必须保证其私密性;secret key 特点:用公钥加密的数据,只能使用与之配对儿的私钥解密;反之亦然; 数字签名:主要在于让接收方确认发送方…

    Linux干货 2016-09-19
  • 文件系统挂载

    文件系统挂载 文件系统管理: 将额外文件系统与根文件系统某现存的目录建立起关联关系,进而使得此目录做为其它文件访问入口的行为称之为挂载;  解除此关联关系的过程称之为卸载;  把设备关联挂载点:Mount Point mount  卸载时:可使用设备,也可以使用挂载点 umount  注意:挂载点下原有文件在挂载完成后…

    Linux干货 2015-12-16
  • GOPS 2016全球运维大会 上海站

    GOPS 2016全球运维大会 • 上海站已经圆满落幕,最新GOPS大会推荐:GOPS2017全球运维大会 • 深圳站 基本信息: GOPS2017全球运维大会 • 深圳站 时间:2017-04-21 08:00:00 至 2017-04-22 18:00:00结束 地点:深圳    会议规模:5000人 会议详情:http://www.…

    系统运维 2016-09-07