Linux学习记录--ACL权限控制

ACL权限控制

设置ACL权限：setfacl

查看ACL权限：getfacl

ACL权限控制主要目的是提供传统的owner,group,other的read,wirte,execute权限以外的具体权限设置，能够针对单一用户或组来设置特定的权限

好比：某一目录权限为

drwx------ 2 root root 4096 03-10 13:51./acldir

用户user对此目录无任何权限所以没法进入此目录，ACL可单独为用户user设置这个目录的权限，使其能够操做这个目录

 

ACL启动

要使用ACL必需要有文件系统支持才行，目前绝大多数的文件系统都会支持，EXT3文件系统默认启动ACL的

 

查看文件系统是否支持ACL

 

[root@localhost tmp]# dumpe2fs -h /dev/sda2
dumpe2fs 1.39 (29-May-2006)
……
sparse_super large_file
Default mount options:    user_xattr acl

 

加载ACL功能

 

若是UNIX LIKE支持ACL可是文件系统并非默认加载此功能，可本身进行添加

[root@localhost tmp]# mount -o remount,acl /
[root@localhost tmp]# mount
/dev/sda2 on / type ext3 (rw,acl)

一样也能够修改磁盘挂在配置文件设置默认开机加载

[root@localhost tmp]# vi /etc/fstab
LABEL=/                 /                       ext3    defaults,acl        1 1

查看ACL权限

 

语法：getfacl filename

设置ACL权限

语法：setfacl [-bkRd]  [-m|-x acl 参数]  目标文件名

选项与参数：

-m:设置后续的acl参数，不可与-x一块儿使用

-x: 删除后续的acl参数，不可与-m一块儿使用

-b:删除全部的acl参数

-k:删除默认的acl参数

-R:递归设置acl参数

-d:设置默认acl参数，只对目录有效

 

针对特殊用户

设置格式：u:用户帐号列表：权限

权限：rwx的组合形式

如用户列表为空，表明设置当前文件全部者权限

 

举例：

[root@localhost tmp]# mkdir -m 700 ./acldir; ll -d ./acldir 
drwx------ 2 root root 4096 03-10 13:51 ./acldir
[root@localhost tmp]# su tkf
[tkf@localhost tmp]$ cd ./acldir/
bash: cd: ./acldir/: 权限不够  =>用户无X权限
[tkf@localhost tmp]$ exit
exit
[root@localhost tmp]# setfacl -m u:tkf:x ./acldir/ 
=>针对用户tkf设置acldir目录的权限为x
[root@localhost tmp]# ll -d ./acldir/
drwx--x---+ 2 root root 4096 03-10 13:51 ./acldir/ 
=>经过ACL添加权限在权限末尾会增长多个一个“+”同时文件本来权限也发生变化。
=>可经过getfacl查看原始目录权限
[root@localhost tmp]# getfacl ./acldir/
# file: acldir
# owner: root
# group: root
user::rwx
user:tkf:--x  =>记录tkf用户针对此目录有acl权限
group::---
mask::--x
other::---
=>这里须要特殊说明，只是tkf这个用户具备X权限，其余用户仍是无权限的
[root@localhost tmp]# su tkf
[tkf@localhost tmp]$ cd ./acldir/
[tkf@localhost acldir]$ 
=>用户tkf能够具备x权限能够进入目录

针对特定用户组

设置格式：g:用户组列表：权限

权限：rwx的组合形式

如用户组列表为空，表明设置当前文件所属用户组权限

举例：

[root@localhost tmp]# setfa
setfacl   setfattr  
[root@localhost tmp]# setfacl -m g:users:rx ./acldir/
[root@localhost tmp]# getfacl ./acldir/
# file: acldir
# owner: root
# group: root
user::rwx
user:tkf:--x
group::--- => 其余用户组(非acl设置)的权限
group:users:r-x => 记录users用户组针对此目录有acl权限
mask::r-x
other::---

针对有效权限设置

有效权限（mask）就是acl权限设置的极限值，也就是你所设置的acl权限必定是mask的一个子集，若是超出mask范围会将超出的权限去掉

设置格式：m:权限

权限：rwx的组合形式

举例：

[root@localhost tmp]# setfacl -m m:x ./acldir/
[root@localhost tmp]# getfacl ./acldir/
# file: acldir
# owner: root
# group: root
user::rwx
user:tkf:--x
group::r-x                      #effective:--x
group:users:r-x                 #effective:--x
mask::--x
other::---

针对默认权限设置

咱们前面都是针对一个目录为一个用户（组）设置特定权限，可是若是这个目录下在新建立的文件是不具备这些针对这个用户的特定权限的。为了解决这个问题，就须要设置默认acl权限，使这个目录下新建立的文件有和目录相同的ACL特定权限

 

设置格式：d:[u|g]:用户(组)列表：权限

 

举例

[root@localhost tmp]# mkdir -m 711 ./defdir
[root@localhost tmp]# setfacl -m u:tkf:rxw ./defdir
[root@localhost tmp]# ll -d ./defdir/
drwxrwx--x+ 2 root root 4096 03-10 15:23 ./defdir/
=>目录权限具备acl特定权限（后面+）
[root@localhost tmp]# touch ./defdir/a.file;ll ./defdir/
-rw-r--r--  1 root root 0 03-10 15:25 a.file
=>新建立的文件不具备acl特定权限（后面无+）
[root@localhost tmp]# setfacl -m d:u:tkf:rxw ./defdir
=>设置默认权限
[root@localhost tmp]# getfacl ./defdir/
# file: defdir
# owner: root
# group: root
user::rwx
user:tkf:rwx
group::--x
mask::rwx
other::--x
default:user::rwx
default:user:tkf:rwx
default:group::--x
default:mask::rwx
default:other::--x

[root@localhost tmp]# touch ./defdir/b.file;ll ./defdir/
-rw-r--r--  1 root root 0 03-10 15:25 a.file
-rw-rw----+ 1 root root 0 03-10 15:26 b.file
=>新建立文件默认带有acl特定权限
[root@localhost tmp]# getfacl ./defdir/b.file 
# file: defdir/b.file
# owner: root
# group: root
user::rw-
user:tkf:rwx                    #effective:rw-
group::--x                      #effective:---
mask::rw-
other::---
=>这快我有个疑问，为何mask值是rw，我猜想和文件最大权限有关，
=>对于文件来时默认最大权限是666即UMASK为0000.那个对于可执行文件来讲
=>没有X,难道还须要使用chmod设置？ 疑问！！