Linux ACL 体验

时间 2021-02-13

标签 java node 安全 bash ide 工具 oop this spa rest 栏目 Linux 繁體版

原文原文链接

在安全管理日益重要的今天，传统的 Unix 文件系统的 UGO 权限管理方式已经没法知足平常系统管理工做的须要。而 ACL 机制逐渐成为主流的权限管理方式。本文主要介绍了在基于 Linux2.6 内核的发行版 Fedora Core 上进行的一些 ACL 基本功能的实验。

ACL 简介java

用户权限管理始终是 Unix 系统管理中最重要的环节。你们对 Linux/Unix 的 UGO 权限管理方式必定不陌生，还有最经常使用的 chmod 命令。为了实现一些比较复杂的权限管理，每每不得不建立不少的组，并加以详细的记录和区分（不少时候就是管理员的噩梦）。能够针对某一个用户对某一文件指定一个权限，恐怕管理员都期待的功能。好比对某一个特定的文件，用户A能够读取，用户B所在的组能够修改，唯独用户B不能够……。因而就有了IEEE POSIX 1003.1e这个ACL的标准。所谓ACL，就是Access Control List，一个文件/目录的访问控制列表，能够针对任意指定的用户/组分配RWX权限。如今主流的商业Unix系统都支持ACL。FreeBSD也提供了对ACL的支持。Linux在这个方面也不会落后，从2.6版内核开始支持ACL。node

准备工做安全

支持ACL须要内核和文件系统的支持。如今2.6内核配合EXT2/EXT3, JFS, XFS, ReiserFS等文件系统都是能够支持ACL的。用本身工做用的物理分区体验ACL，老是不明智的行为。万一误操做致使分区的损坏，形成数据的丢失，损失就大了。做一个loop设备是个安全的替代方法。这样不须要一个单独的分区，也不须要很大的硬盘空间，大约有个几百KB就足够进行咱们的体验了。OK，下面我使用Fedora Core 5和Ext3文件开始对Linux的ACL的体验。bash

首先建立一个512KB的空白文件：ide

[root@FC3-vm opt]#  dd if=/dev/zero of=/opt/testptn count=512
512+0 records in
512+0 records out

和一个loop设备联系在一块儿：工具

[root@FC3-vm opt]#  losetup /dev/loop0 /opt/testptn

建立一个EXT2的文件系统：oop

[root@FC3-vm opt]#  mke2fs /dev/loop0
mke2fs 1.35 (28-Feb-2004)
max_blocks 262144, rsv_groups = 32, rsv_gdb = 0
Filesystem label=
OS type: Linux
Block size=1024 (log=0)
Fragment size=1024 (log=0)
32 inodes, 256 blocks
12 blocks (4.69%) reserved for the super user
First data block=1
1 block group
8192 blocks per group, 8192 fragments per group
32 inodes per group

Writing inode tables: done
Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 30 mounts or
180 days, whichever comes first. Use tune2fs -c or -i to override.

挂载新建的文件系统（注意mount选项里的acl标志，咱们靠它来通知内核咱们须要在这个文件系统中使用ACL）：this

[root@FC3-vm opt]#  mount -o rw,acl /dev/loop0 /mnt
[root@FC3-vm opt]#  cd /mnt
[root@FC3-vm mnt]#  ls
lost+found

如今我已经获得了一个小型的文件系统。并且是支持ACL的。而且即便完全损坏也不会影响硬盘上其余有价值的数据。能够开始咱们的ACL体验之旅了。spa

回页首

体验1 － ACL的基本操做：添加和修改rest

我首先新建一个文件做为实施ACL的对象：

[root@FC3-vm mnt]#  touch file1
[root@FC3-vm mnt]#  ls -l file1
-rw-r--r-- 1 root root     7 Dec 11 00:28 file1

而后看一下这个文件缺省的ACL，这时这个文件除了一般的UGO的权限以外，并无ACL：

[root@FC3-vm mnt]#  getfacl file1
# file: file1
# owner: root
# group: root
user::rw-
group::r--
other::r-

*注意：即便是不支持ACL的状况下，getfacl仍然能返回一个这样的结果。不过setfacl是不能工做的。

下面添加几个用户和组，一会我将使用ACL赋予他们不一样的权限：

[root@FC3-vm mnt]#  groupadd testg1
[root@FC3-vm mnt]#  useradd testu1
[root@FC3-vm mnt]#  useradd testu2
[root@FC3-vm mnt]#  usermod -G testg1 testu1

如今咱们看看testu1能作什么：

[root@FC3-vm mnt]# su testu1
[testu1@FC3-vm mnt]$ echo "testu1" >> file1
bash: file1: Permission denied

失败了。由于file1并不容许除了root之外的用户写。咱们如今就经过修改file1的ACL赋予testu1足够的权限：

[root@FC3-vm mnt]# setfacl -m u:testu1:rw file1
[root@FC3-vm mnt]# su testu1
[testu1@FC3-vm mnt]$ echo "testu1" >> file1
[testu1@FC3-vm mnt]$ cat file1
testu1

修改为功了，用户testu1能够对file1作读写操做了。咱们来看一下file1的ACL：

[testu1@FC3-vm mnt]$ getfacl file1
# file: file1
# owner: root
# group: root
user::rw-
user:testu1:rw-
group::r--
mask::rw-
other::r-

咱们ls看一下：

[root@FC3-vm mnt]# ls -l file1
-rw-rw-r--+ 1 root root     7 Dec 11 00:28 file1

能够看到那个"+"了么？就在一般咱们看到的权限位的旁边。这个说明file1设置了ACL，接下来咱们修改一下testu1的权限，同时给testg1这个组以读的权限：

[root@FC3-vm mnt]# setfacl -m u:testu1:rwx,g:testg1:r file1
[root@FC3-vm mnt]# getfacl file1
# file: file1
# owner: root
# group: root
user::rw-
user:testu1:rwx
group::r--
group:testg1:r--
mask::rwx
other::r-

能够看到设置后的权限，testu1已经有了执行的权限，而testg1这个组也得到了读取文件内容的权限。也许有人已经注意到了两个问题：首先，file1的组权限从r--变成了rw-。其次，mask是什么？为何也变化了呢？咱们先从mask提及。若是说acl的优先级高于UGO，那么mask就是一个名副其实的最后一道防线。它决定了一个用户/组可以获得的最大的权限。这样咱们在不破坏已有ACL的定义的基础上，能够临时提升或是下降安全级别：

[root@FC3-vm mnt]# setfacl -m mask::r file1
[root@FC3-vm mnt]# getfacl file1
# file: file1
# owner: root
# group: root
user::rw-
user:testu1:rwx                 #effective:r--
group::r--
group:testg1:r--
mask::r--
other::r--

[root@FC3-vm mnt]# ls -l file1
-rw-r--r--+ 1 root root 7 Dec 11 00:28 file1

在testu1对应的ACL项的后边出现了effective的字样，这是实际testu1获得的权限。Mask只对其余用户和组的权限有影响，对owner和other的权限是没有任何影响的。执行ls的结果也显示UGO的设置也有了对应的变化。由于在使用了ACL的状况下，group的权限显示的就是当前的mask。一般咱们把mask设置成rwx，以不阻止任何的单个ACL项。

*须要注意的是，每次修改或添加某个用户或组的ACL项的时候，mask都会随之修改以使最新的修改可以真正生效。因此若是须要一个比较严格的mask的话，可能须要每次都从新设置一下mask。

回页首

体验2 － ACL的其余功能：删除和覆盖

咱们来看一下其余的ACL操做。首先如何删除已有的ACL项呢？

[root@FC3-vm mnt]# setfacl -x g:testg1 file1
[root@FC3-vm mnt]# getfacl file1
# file: file1
# owner: root
# group: root
user::rw-
user:testu1:rwx
group::r--
mask::rwx
other::r--

咱们看到testg1的权限已经被去掉了。若是须要去掉全部的ACL能够用-b选项。全部的ACL项都会被去掉。

[root@FC3-vm mnt]# setfacl -b file1
[root@FC3-vm mnt]# getfacl file1
# file: file1
# owner: root
# group: root
user::rw-
group::r--
other::r--

咱们能够用--set 设置一些新的ACL项，并把原有的ACL项所有都覆盖掉。和-m不一样，-m选项只是修改已有的配置或是新增长一些。--set选项会把原有的ACL项都删除，用新的替代，须要注意的是必定要包含UGO的设置，不能象-m同样只是添加ACL就能够了。好比下边这一段：

[root@FC3-vm mnt]# setfacl --set u::rw,u:testu1:rw,g::r,o::- file1
[root@FC3-vm mnt]# getfacl file1
# file: file1
# owner: root
# group: root
user::rw-
user:testu1:rw-
group::r--
mask::rw-
other::---

o::-是另外一个须要注意的地方。其实完整的写法是other::---，正如u::rw的完整写法是user::rw-。一般咱们能够把"-"省略，可是当权限位只包含"-"时，必须至少保留一个。若是写成了o::，就会出现错误。

若是但愿对目录下的全部子目录都设置一样的ACL，可使用-R参数：

[root@FC3-vm mnt]# setfacl --set u::rw,u:testu1:rw,g::r,o::- dir1

若是但愿能从一个文件来读入ACL，并修改当前的文件的ACL，能够用-M参数：

[root@FC3-vm mnt]# cat test.acl
user:testu1:rw-
user:testu2:rw-
group:testg1:r--
group:testg2:r--
mask::rw-
other::---

回页首

体验3 －目录的默认ACL

若是咱们但愿在一个目录中新建的文件和目录都使用同一个预约的ACL，那么咱们可使用默认(Default) ACL。在对一个目录设置了默认的ACL之后，每一个在目录中建立的文件都会自动继承目录的默认ACL做为本身的ACL。用setfacl的-d选项就能够作到这一点：

[root@FC3-vm mnt]# setfacl -d --set g:testg1:rwx dir1
[root@FC3-vm mnt]# getfacl dir1
# file: dir1
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x
default:group:testg1:rwx
default:mask::rwx
default:other::r-x

能够看到默认ACL已经被设置了。创建一个文件试试：

[root@FC3-vm mnt]# touch dir1/file1
[root@FC3-vm mnt]# getfacl dir1/file1
# file: dir1/file1
# owner: root
# group: root
user::rw-
group::r-x                      #effective:r--
group:testg1:rwx                #effective:rw-
mask::rw-
other::r--

file1自动继承了dir1对testg1设置的ACL。只是因为mask的存在使得testg1只能得到rw-权限。

回页首

体验4 －备份和恢复ACL

主要的文件操做命令cp和mv都支持ACL，只是cp命令须要加上-p 参数。可是tar等常见的备份工具是不会保留目录和文件的ACL信息的。若是但愿备份和恢复带有ACL的文件和目录，那么能够先把ACL备份到一个文件里。之后用--restore选项来回复这个文件中保存的ACL信息：

[root@FC3-vm mnt]# getfacl -R dir1 > dir1.acl
[root@FC3-vm mnt]# ls -l dir1.acl
total 16
-rw-r--r--  1 root root   310 Dec 12 21:10 dir1.acl

咱们用-b选项删除全部的ACL数据，来模拟从备份中回复的文件和目录：

[root@FC3-vm mnt]# setfacl -R -b dir1
[root@FC3-vm mnt]# getfacl -R dir1
# file: dir1
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

# file: dir1/file1
# owner: root
# group: root
user::rw-
group::r--
other::r--

如今咱们从dir1.acl中恢复被删除的ACL信息：

[root@FC3-vm mnt]# setfacl --restore dir1.acl
[root@FC3-vm mnt]# getfacl -R dir1
# file: dir1
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x
default:group:testg1:rwx
default:mask::rwx
default:other::r-x

# file: dir1/file1
# owner: root
# group: root
user::rw-
group::r-x                      #effective:r--
group:testg1:rwx                #effective:rw-
mask::rw-
other::r--

回页首

结语

ACL 的引入使得大规模的复杂权限管理能够很容易的在 Linux 上实现。对于 /home 这样存放大量用户文件的分区，能够作到更有效的管理。可是咱们也看到在备份工具等方面的欠缺，好在 FC2 中已经开始包含了 star 这样的支持 ACL 的备份工具，虽然仍是 alpha 版。

在单个文件的 ACL 条目的数量上，不一样的文件系统有不一样的限制。Ext2 和 Ext3 只能支持每一个文件 25 个 ACL 条目。ReiserFS 和 JFS 能够支持超过 8,000 个条目。这个方面 Ext* 文件系统还须要增强。

不管多么复杂的系统中，文件系统的权限管理都是最基础的内容。而 Linux 对 ACL的支持，无疑是一把管理海量用户系统的利器，对 Linux 在大规模的企业级应用中更方便的发挥更大的做用添了一把火。