未加星标

Linux ACL基本概念及典型用法

字体大小 | |
[系统(linux) 所属分类 系统(linux) | 发布者 店小二04 | 时间 | 作者 红领巾 ] 0人收藏点击收藏

ACL 是什么

ACL的全称是 Access Control List (访问控制列表) ,一个针对文件/目录的访问控制列表。它在UGO权限管理的基础上为文件系统提供一个额外的、更灵活的权限管理机制。它被设计为UNIX文件权限管理的一个补充。

ACL允许你给任何的用户或用户组设置任何文件/目录的访问权限。

ACL有什么用

既然是作为UGO权限管理的补充,ACL自然要有UGO办不到或者很难办到的本事,例如:

1.可以针对用户来设置权限

2.可以针对用户组来设置权限

3.子文件/目录继承父目录的权限

检查是否支持ACL

ACL需要linux内核和文件系统的配合才能工作,当前我们能见到的大多数Linux发行版本默认都是支持的。但最好还是能够先检查一下:

sudo tune2fs -l /dev/sda1 |grep “Default mount options:”
Default mount options: user_xattr acl

我们能够看到默认情况下(Default mount options:)已经加入 acl 支持了。

如何设置ACL

我们可以使用setfacl和getfacl命令来设置或观察文件/目录的acl权限。

setfacl

参数不多,直接列出来了:

setfacl [-bkRd] [{-m|-x} acl参数] 文件/目录名
-m :配置后面的 acl 参数给文件/目录使用,不可与 -x 合用;
-x :删除后续的 acl 参数,不可与 -m 合用;
-b :移除所有的 ACL 配置参数;
-k :移除默认的 ACL 参数;
-R :递归配置 acl;
-d :配置“默认 acl 参数”,只对目录有效,在该目录新建的数据会引用此默认值;

getfacl

getfacl 文件/目录名

实例

针对用户来设置权限

先创建一个测试文件test,然后查看其默认的权限:

touch test
ll test
-rw-r--r-- 1 root root 0 May 28 09:04 test
getfacl test
# file: test
# owner: root
# group: root
user::rw-
group::r--
other::r—

给apache用户设置读写执行test文件的权限:

setfacl –m u:apache:rwx test

查看test文件属性的变化:

ll test
-rw-rwxr--+ 1 root root 0 May 28 09:04 test

权限部分多个了 “+”, 并且与原来(644)也不一样了。

查看ACL权限的变化:

getfacl test
...
user:apache:rwx
...
mask::rwx
...

和设置前相比多了user:apache:rwx和 mask::rwx,此时用户apache已经拥有了读写执行test文件的权限。

针对用户组来设置权限

和针对用户的设置几乎一样,只是把小写的u换成小写的g就行了。

子文件/目录继承父目录的权限

这是一个很棒的例子,它能让我们创建的子文件或者子文件夹继承父文件夹的权限设置!

mkdir mydir
ll -d mydir
drwxr-xr-x 2 root root 4096 May 28 09:35 mydir
setfacl –m d:u:apache:rwx mydir

注意参数 d 在这里起到了决定性的作用。

查看下属性的变化:

getfacl mydir
...
default:user::rwx
default:user:apache:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

多了些 default开头的项,在mydir下创建一个新文件试试:

touch mydir/abc
getfacl mydir/abc
...
user:apache:rwx #effective:rw-
group::r-x #effective:r--
mask::rw-
...

OK, 看上去还不赖,默认情况下apache用户是可以对这个文件进行读写执行操作的。

这里只是简介的介绍了ACL的概念和一些典型的用法,更多的使用方式请参考帮助文档。

本文系统(linux)相关术语:linux系统 鸟哥的linux私房菜 linux命令大全 linux操作系统

主题: LinuxLinux内核数据删除
分页:12
转载请注明
本文标题:Linux ACL基本概念及典型用法
本站链接:http://www.codesec.net/view/521016.html
分享请点击:


1.凡CodeSecTeam转载的文章,均出自其它媒体或其他官网介绍,目的在于传递更多的信息,并不代表本站赞同其观点和其真实性负责;
2.转载的文章仅代表原创作者观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,本站对该文以及其中全部或者部分内容、文字的真实性、完整性、及时性,不作出任何保证或承若;
3.如本站转载稿涉及版权等问题,请作者及时联系本站,我们会及时处理。
登录后可拥有收藏文章、关注作者等权限...
技术大类 技术大类 | 系统(linux) | 评论(0) | 阅读(26)