天一点学习Linux之ACL权限
前面的内容中，我们讲到传统的权限仅有三种身份(owner,group,others)搭配三种权限(r,w,x)以及三种特殊的权限（SUID,SGID,SBIT），随着应用的发展，这些权限组合已不能适应现在复杂的文件权限控制要求。
例如，目录data的权限为：drwxr-x&，所有者与所属组均为root，在不改变所有者和所属组的前提下，要求用户yufei对该目录有完全访问权限(rwx)，但又不能让其他有用完全权限（rwx）。这个要求看似不能实现，这就看出来传统的权限管理设置有时候也会力不从心。为了解决这样的问题，开发出了一套新的文件系统权限管理方法，叫文件访问控制列表ACL(Access Control Lists)。这时候，我们就可能通过ACL来实现。
ACL是Access Control List的缩写，主要的目的是在提供传统的owner,group,others的read,write,execute权限之外的局部权限设定。ACL可以针对单个用户，单个文件或目录来进行r,w,x的权限设定，特别适用于需要特殊权限的使用情况。
ACL主要针对用户（user）、用户组（group）、以及掩码（mask）方面来控制权限。
简单地来说，ACL就是可以设置特定用户或用户组对于一个文件/目录的操作权限。
而在系统上，没有这个ACL，ACL是类Unix（Unix-like）操作系统权限的额外支持项目，因此要使用ACL必须要有文件系统的支持才行。主要包括ReiserFS, EXT2/EXT3/ext4, JFS, XFS等文件系统。
查看系统是否支持ACL
要查看你的系统是不是支持ACL，我们可以通过下面的方法来查看。
[root@yufei ~]# df
Filesystem&&&&&&&&&& 1K-blocks&&&&& Used Available Use% Mounted on
/dev/sda1&&&&&&&&&&&& && % /
[root@yufei ~]# dumpe2fs /dev/sda1 |grep acl
dumpe2fs 1.41.12 (17-May-2010)+`-
Default mount options:&&& user_xattr acl
我们看到，默认的挂载选项就已经有了ACL了，如果你的系统挂载时候没有这个选项，你可以通过
mount -o remount,acl /dev/sda1
来重新挂载。你也可以把这个挂载选项加入到开机启动，也就是写入到/etc/fatab文件里面。
ACL权限的查看与设置（getfacl, setfacl）
知道了ACL的意义了，也知道了系统是否支持ACL，那么下面就是如何来设定/使用这个ACL呢？
getfacl：查看文件/目录的ACL设定内容
setfacl：设置文件/目录的ACL内容
相关参数说明
先来看看setfacl这个命令的相关参数说明
语法：setfacl [-bkRd] [{-m|-x} acl参数] 文件名
-m ：设置后续的acl参数
-x ：删除后续的acl参数
-b ：删除所有的ACL设定参数
-R ：递归设置acl参数
-d ：设置预设的acl参数（只对目录有效，在该目录新建的文件也会使用此ACL默认值）
-k ：删除预设的ACL参数
设置格式如下
[d[efault]:] u[ser]:uid [:perms]
[d[efault]:] g[roup]:gid [:perms]
[d[efault]:] m[ask][:] [:perms]
[d[efault]:] o[ther][:] [:perms]
以上的参数和设置格式说明，可以在MAN中查看到
针对其他人的ACL设置
下面我们就用例子来演示一下ACL的设置与查看
我们在/root目录下进行操作
先查看install.log文件的ACL设置值是什么
[root@yufei ~]# getfacl install.log
# file: install.log
# owner: root
# group: yufei
[root@yufei ~]# ls -l install.log
-rwxr&r&. 1 root yufei 31537 Jan 20 05:09 install.log
我想通过上面的对比，大家应该能看明白getfacl所显示出来的内容吧！OK，这里我就不多说了，下面我们来看看给这个文件设置ACL值后的效果。
[root@yufei ~]# setfacl -m o:rwx install.log
[root@yufei ~]# getfacl install.log
# file: install.log
# owner: root
# group: yufei
other::rwx
[root@yufei ~]# ls -l install.log
-rwxr&rwx. 1 root yufei 31537 Jan 20 05:09 install.log
这时候，我对other赋予了rwx权限了，我们切换到其他用户，就可以对此文件进行写操作了。大家可能也发现了，通过setfacl设置的other权限，和通过chmod设置的效果是一样的。没错，是这样的。
针对用户的ACL设置
把install.log拷贝到根目录，
[root@yufei ~]# cp install.log /
[root@yufei ~]# ls -l /install.log
-rwxr-xr& 1 root root 31537 Feb& 9 16:27 /install.log
我们通过ACL给yufei用户赋予rwx权限
[root@yufei ~]# setfacl -m u:yufei:rwx /install.log
[root@yufei ~]# getfacl /install.log
getfacl: Removing leading &/& from absolute path names
# file: install.log
# owner: root
# group: root
user:yufei:rwx
group::r-x
[root@yufei ~]# ls -l /install.log
-rwxrwxr&+ 1 root root 31537 Feb& 9 16:27 /install.log
这时候，通过ls -l查看的文件权限后面多了一个&+&号，这就表示了文件存在ACL权限。我们切换到yufei用户，来对此文件进行一下编辑操作是完全没有问题，这里面就不演示了，自己动手吧。
1、上面的用户可以换成用户列表，中间用英文的&,&分隔就OK了。
2、针对用户组的ACL设置与用户的设置差不多，这里就不演示了。
删除ACL的设置
要是删除我们设置的ACL权限的话，要怎么做呢？有两种方法
1、用-x删除后面接着的ACL权限
[root@yufei ~]# setfacl -x u:yufei /install.log
[root@yufei ~]# getfacl /install.log
getfacl: Removing leading &/& from absolute path names
# file: install.log
# owner: root
# group: root
group::r-x
这时候发现还有个mask的权限没有去掉，
[root@yufei ~]# setfacl -x m:: /install.log
[root@yufei ~]# getfacl /install.log
getfacl: Removing leading &/& from absolute path names
# file: install.log
# owner: root
# group: root
group::r-x
经过了上面的操作才算把权限还原了，实在有点不方便，而且在使用-x的时候，不能单独删除某个权限。否则会出现错误提示。如setfacl -x u:yufei:rwx /install.log，这们的命令是不可以的，不知道是我哪里用错了，还是这个命令就是这样。还是用下面这种方法来提直接。
2、用-b删除所有的ACL权限
[root@yufei ~]# setfacl -m u:yufei:rwx /install.log
[root@yufei ~]# getfacl /install.log
getfacl: Removing leading &/& from absolute path names
# file: install.log
# owner: root
# group: root
user:yufei:rwx
group::r-x
[root@yufei ~]# setfacl -b /install.log
[root@yufei ~]# getfacl /install.log
getfacl: Removing leading &/& from absolute path names
# file: install.log
# owner: root
# group: root
group::r-x
这个-b参数，一次性把所有的ACL权限全部清空，还原成文件的原来权限。我推荐大家用这个参数。
ACL的mask设置
关于group的设置与user的设置类似，这里也就不做演示了，下面我们来看看mask，他的作用就是让用户/组对某个文件只有某些权限。mask只对其他用户和组的权限有影响，而对owner和other的权限是没有任何影响的。我们还是以/install.log为例来实验。
[root@yufei ~]# ls -l /install.log
-rwxr-xr& 1 root root 31537 Feb& 9 17:03 /install.log
[root@yufei ~]# setfacl -m u:yufei:rwx /install.log
[root@yufei ~]# getfacl /install.log
getfacl: Removing leading &/& from absolute path names
# file: install.log
# owner: root
# group: root
user:yufei:rwx
group::r-x
这时候我们看到mask::rwx是全部的权限，所以，切换到yufei这个帐户的时候，可能对/install.log文件进行写操作的。下面我们让yufei用户对其只有读取的权限。
[root@yufei ~]# setfacl -m m::r /install.log
[root@yufei ~]# getfacl /install.log
getfacl: Removing leading &/& from absolute path names
# file: install.log
# owner: root
# group: root
user:yufei:rwx&&&&&&&&&&& #effective:r&
group::r-x&&&&&&&&&&& #effective:r&
我们可以看到，user:yufei:rwx的后面多了一个提示#effective:r&，也就是说，现在yufei用户只拥有r权限了。切换到yufei用户对/install.log文件进行一下写操作，会有&&INSERT &W10: Warning: Changing a readonly file &这样的提示。
关于-d参数的作用我这里就不赘述了，用法是一样的，只是他是针对目录而已，同时也会对里面后加的文件起作用而已，而-R是我们一直在用的参数，一个递归处理的效果，很多地方都会用到些参数
摘自 羽飞博客Linux下的权限控制工具setfacl和getfacl详解
setfacl [-bkndRLPvh][{-m|-x} acl_spec][{-M|-X} acl_file] file ...
setfacl --restore=file
setfacl用来在命令行里设置ACL。在命令行里，一系列的命令跟随以一系列的文件名。
选项-m和-x后边跟以acl规则。多条acl规则以逗号(,)隔开。选项-M和-X用来从文件或标准输入读取acl规则。
选项--set和--set-file用来设置文件或目录的acl规则，先前的设定将被覆盖。
选项-m(--modify)和-M(--modify-file)选项修改文件或目录的acl规则。
选项-x(--remove)和-X(--remove-file)选项删除acl规则。
当使用-M，-X选项从文件中读取规则时，setfacl接受getfacl命令输出的格式。每行至少一条规则，以#开始的行将被视为注释。
当在不支持ACLs的文件系统上使用setfacl命令时，setfacl将修改文件权限位。如果acl规则并不完全匹配文件权限位，setfacl将会修改文件权限位使其尽可能的反应acl规则，并会向standarderror发送错误消息，以大于0的状态返回。
文件的所有者以及有CAP_FOWNER的用户进程可以设置一个文件的acl。（在目前的linux系统上，root用户是唯一有CAP_FOWNER能力的用户）
-b,--remove-all
删除所有扩展的acl规则，基本的acl规则(所有者，群组，其他）将被保留。
-k,--remove-default
删除缺省的acl规则。如果没有缺省规则，将不提示。
-n，--no-mask
不要重新计算有效权限。setfacl默认会重新计算ACLmask，除非mask被明确的制定。
重新计算有效权限，即使ACL mask被明确指定。
-d，--default
设定默认的acl规则。
--restore=file
从文件恢复备份的acl规则（这些文件可由getfacl-R产生）。通过这种机制可以恢复整个目录树的acl规则。此参数不能和除--test以外的任何参数一同执行。
测试模式，不会改变任何文件的acl规则，操作后的acl规格将被列出。
-R，--recursive
递归的对所有文件及目录进行操作。
-L，--logical
跟踪符号链接，默认情况下只跟踪符号链接文件，跳过符号链接目录。
-P，--physical
跳过所有符号链接，包括符号链接文件。
输出setfacl的版本号并退出。
输出帮助信息。
标识命令行参数结束，其后的所有参数都将被认为是文件名
如果文件名是-，则setfacl将从标准输入读取文件名。
setfacl命令可以识别以下的规则格式。
[d[efault]:] [u[ser]:]uid[:perms]
指定用户的权限，文件所有者的权限（如果uid没有指定）。
[d[efault]:] g[roup]:gid[:perms]
指定群组的权限，文件所有群组的权限（如果gid未指定）
[d[efault]:] m[ask][:][:perms]
有效权限掩码
[d[efault]:] o[ther] [:perms]
其他的权限
恰当的acl规则被用在修改和设定的操作中。
对于uid和gid，可以指定一个数字，也可指定一个名字。
perms域是一个代表各种权限的字母的组合：读-r 写-w执行-x，执行只适合目录和一些可执行的文件。pers域也可设置为八进制格式。
自动创建的规则
最初的，文件目录仅包含3个基本的acl规则。为了使规则能正常执行，需要满足以下规则。
*3个基本规则不能被删除。
*任何一条包含指定的用户名或群组名的规则必须包含有效的权限组合。
*任何一条包含缺省规则的规则在使用时，缺省规则必须存在。
_____________________________________________________________
1. 为什么要使用ACL
先让我们来简单地复习一下Linux的filepermission.
在linux下,对一个文件(或者资源)可以进行操作的对象被分为三类:file owner(文件的拥有者), group(组,注意不一定是文件拥有者所在的组), other (其他)
而对于每一类别又分别定义了read, write and execute/search permission (这里不讨论SUID,SGID以及Sticky bit的设置)
通过ls -l命令就我们就可以列出一个文件的permission
# ls -l [leonard@localhost ~]$ ls -l -rw-rw---- 1 leonard admin0 Jul 3 20:12 test.txt
在 这里说明了对于test.txt这个文件leonard用户(由于是file owner)拥有read& write permission. 所有属于admin group的用户(group)拥有read& write permission.其他任何用户(other)对于文件没有任何的permission
如果我们现在希望john这个用户也可以对test.txt文件进行读写操作. 我自己大概会想到以下几种办法(这里假设john不属于admin group)
1. 给文件的other类别增加read and write permission.这样由于john会被归为other类别,那么他也将拥有读写的权限
2. 将john加入到admin group. 那么john会被归为group类别,那么他将拥有读写的权限
3. 设置sudo, 使john能够以leonard的身份对test.txt进行操作,从而获得读写权限
第一种做法的问题在于所有用户都将对test.txt拥有读写操作,显然这种做法不可取
第二种做法的问题在于john被赋予了过多的权限.所有属于admin组的文件,john都可以拥有其等同的权限了
第三种做法虽然可以达到只限定john用户一人拥有对test.txt文件的读写权限.但是需要对sudoers文件进行严格的格式控制.而且当文件数量和用户很多的时候,这种方法就相当地不灵活了
看 来好像都没有一个很好的解决方案. 其实问题就出在Linux filepermission里面,对于other的定义过于广泛,以至于很难把permission限定于一个不属于fileowner和group的用户身上. 那么Access Control List (ACL)就是用来帮助我们解决这个问题的.
简单地来说ACL就是可以设置特定用户或者用户组对于一个文件的操作权限.需要掌握的命令也只有三个: getfacl, setfacl, chacl
在接下去讨论之前大家可以先安装上ACL的RPM包
# rpm -ivh libacl-2.2.39-1.1 acl-2.2.39-1.1.i386.rpm
2. ACL的名词定义
先来看看在ACL里面每一个名词的定义.这些名词我大多从manpage上摘下来虽然有些枯燥,但是对于理解下面的内容还是很有帮助的
ACL 是由一系列的Access Entry所组成的. 每一条Access Entry定义了特定的类别可以对文件拥有的操作权限.Access Entry有三个组成部分: Entry tag type, qualifier(optional), permission
我们先来看一下最重要的Entry tag type, 它有以下几个类型
ACL_USER_OBJ:相当于Linux里file_owner的permission
ACL_USER: 定义了额外的用户可以对此文件拥有的permission
ACL_GROUP_OBJ: 相当于Linux里group的permission
ACL_GROUP: 定义了额外的组可以对此文件拥有的permission
ACL_MASK: 定义了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大权限(这个我下面还会专门讨论)
ACL_OTHER: 相当于Linux里other的permission
让我们来据个例子说明一下. 下面我们就用getfacl命令来查看一个定义好了的ACL文件
[leonard@localhost ~]$ getfacl ./test.txt
# file: test.txt
# owner: leonard
# group: admin
user:john:rw-
group::rw-
group:dev:r--
mask::rw-other::r--
前面三个以#开头的定义了文件名,file owner和group. 这些信息没有太大的作用,接下来我们可以用--omit-header来省略掉
user::rw- 定义了ACL_USER_OBJ, 说明fileowner拥有read and write permission
user:john:rw-定义了ACL_USER,这样用户john就拥有了对文件的读写权限,实现了我们一开始要达到的目的
group::rw-定义了ACL_GROUP_OBJ,说明文件的group拥有read and write permission
group:dev:r--定义了ACL_GROUP,使得dev组拥有了对文件的read permission
mask::rw- 定义了ACL_MASK的权限为read andwrite
other::r-- 定义了ACL_OTHER的权限为read
从这里我们就可以看出ACL提供了我们可以定义特定用户和用户组的功能. 那么接下来我们就来看一下如何设置一个文件的ACL
3. 如何设置ACL文件
首先我们还是要讲一下设置ACL文件的格式. 从上面的例子中我们可以看到每一个AccessEntry都是由三个被:号分隔开的字段所组成. 第一个就是Entry tag type
user 对应了ACL_USER_OBJ和ACL_USER
group 对应了ACL_GROUP_OBJ和ACL_GROUP
mask 对应了ACL_MASK
other 对应了ACL_OTHER
第二个字段称之为qualifier.也就是上面例子中的john和dev组.它定义了特定用户和拥护组对于文件的权限.这里我们也可以发现只有user和group才有qualifier,其他的都为空
第三个字段就是我们熟悉的permission了. 它和Linux的permission一样定义,这里就不多讲了
下面我们就来看一下怎么设置test.txt这个文件的ACL让它来达到我们上面的要求
一开始文件没有ACL的额外属性
[leonard@localhost ~]$ ls -l
-rw-rw-r-- 1 leonard admin 0 Jul 3 22:06test.txt
[leonard@localhost ~]$ getfacl --omit-header ./test.txt
user::rw-group::rw-other::r--
我们先让用户john拥有对test.txt文件的读写权限
[leonard@localhost ~]$ setfacl -muser:john:rw- ./test.txt
[leonard@localhost ~]$ getfacl --omit-header ./test.txt
user:john:rw-
group::rw-
other::r--
这时我们就可以看到john用户在ACL里面已经拥有了对文件的读写权限.这个时候如果我们查看一下linux的permission我们还会发现一个不一样的地方
[leonard@localhost ~]$ ls -l ./test.txt
-rw-rw-r--+ 1 leonard admin 0 Jul 3 22:06./test.txt
在文件permission的最后多了一个+号.当任何一个文件拥有了ACL_USER或者ACL_GROUP的值以后我们就可以称它为ACL文件.这个+号就是用来提示我们的
我们还可以发现当一个文件拥有了ACL_USER或者ACL_GROUP的值时ACL_MASK同时也会被定义
接下来我们来设置dev组拥有read permission
[leonard@localhost ~]$ setfacl -mgroup:dev:r-- ./test.txt
[leonard@localhost ~]$ getfacl --omit-header ./test.txt
user:john:rw-
group::rw-
group:dev:r--
other::r--
到这里就完成了我们上面讲到的要求.是不是很简单呢
4. ACL_MASK 和 Effective permission
这里需要重点讲一下ACL_MASK, 因为这是掌握ACL的另一个关键
在Linux file permission里面大家都知道比如对于rw-rw-r--来说,当中的那个rw-是指文件组的permission. 但是在ACL里面这种情况只是在ACL_MASK不存在的情况下成立.如果文件有ACL_MASK值,那么当中那个rw-代表的就是mask值而不再是group permission了
让我们来看下面这个例子
[leonard@localhost ~]$ ls -l
-rwxrw-r-- 1 leonard admin 0 Jul 3 23:10test.sh
这里说明test.sh文件只有file owner: leonard拥有read, write,execute/search permission. admin组只有read and write permission
现在我们想让用户john也对test.sh具有和leonard一样的permission
[leonard@localhost ~]$ setfacl -muser:john:rwx ./test.sh
[leonard@localhost ~]$ getfacl --omit-header ./test.sh
user::rwxuser:john:rwx
group::rw-
other::r--
这里我们看到john已经拥有了rwx的permission. mask值也被设定为rwx.那是因为它规定了ACL_USER,ACL_GROUP和ACL_GROUP_OBJ的最大值
现在我们再来看test.sh的Linux permission, 它已经变成了
[leonard@localhost ~]$ ls -l
-rwxrwxr--+ 1 leonard admin 0 Jul 3 23:10test.sh
那 么如果现在admin组的用户想要执行test.sh的程序会发生什么情况呢? 它会被permissiondeny.原因在于实际上admin组的用户只有read and writepermission.这里当中显示的rwx是ACL_MASK的值而不是group的permission
所以从这里我们就可以知道,如果一个文件后面有+标记,我们都需要用getfacl来确认它的permission,以免发生混淆
下面我们再来继续看一个例子
假如现在我们设置test.sh的mask为read only,那么admin组的用户还会有write permission吗?
[leonard@localhost ~]$ setfacl -mmask::r-- ./test.sh
[leonard@localhost ~]$ getfacl --omit-header ./test.sh
user:john:rwx& #effective:r--
group::rw-&&&& #effective:r--
other::r--
这时候我们可以看到ACL_USER和ACL_GROUP_OBJ旁边多了个#effective:r--,这是什么意思呢?
让 我们再来回顾一下ACL_MASK的定义. 它规定了ACL_USER,ACL_GROUP_OBJ和ACL_GROUP的最大权限.那么在我们这个例子中他们的最大权限也就是readonly.虽然我们这里给ACL_USER和ACL_GROUP_OBJ设置了其他权限,但是他们真正有效果的只有read权限.
这时我们再来查看test.sh的Linux file permission时它的grouppermission也会显示其mask的值(i.e. r--)
[leonard@localhost ~]$ ls -l
-rwxr--r--+ 1 leonard admin 0 Jul 3 23:10test.sh
5. Default ACL
上面我们所有讲的都是Access ACL, 也就是对文件而言. 下面我简单讲一下Default ACL. DefaultACL是指对于一个目录进行Default ACL设置,并且在此目录下建立的文件都将继承此目录的ACL
同样我们来做一个试验说明
比如现在leonard用户建立了一个dir目录
[leonard@localhost ~]$ mkdir dir
他希望所有在此目录下建立的文件都可以被john用户所访问. 那么我们就应该对dir目录设置Default ACL
[leonard@localhost ~]$ setfacl -d -muser:john:rw ./dir
[leonard@localhost ~]$ getfacl --omit-header ./dir
group::rwx
other::r-x
default:user::rwx
default:user:john:rwx
default:group::rwx
default:mask::rwx
default:other::r-x
这里我们可以看到ACL定义了default选项, john用户拥有了default的read, write,excute/search permission.所有没有定义的default都将从filepermission里copy过来
现在leonard用户在dir下建立一个test.txt文件
[leonard@localhost ~]$ touch ./dir/test.txt
[leonard@localhost ~]$ ls -l ./dir/test.txt
-rw-rw-r--+ 1 leonard leonard 0 Jul 3 23:46./dir/test.txt
[leonard@localhost ~]$ getfacl --omit-header ./dir/test.txt
user:john:rw-
group::rwx#effective:rw-
other::r--
这里我们看到在dir下建立的文件john用户自动就有了read and write permission
6. ACL 相关命令
前 面的例子中我们都注意到了getfacl命令是用来读取文件的ACL, setfacl是用来设定文件的Acess ACL.这里还有一个chacl是用来改变文件和目录的Access ACL and Default ACL. 它的具体参数大家可以去看manpage. 我只想提及一下chacl -B. 它可以彻底删除文件或者目录的ACL属性(包括Default ACL).比如你即使用了setfacl -x删除了所有文件的ACL属性,那个+号还是会出现在文件的末尾.所以正确的删除方法应该是用chacl-B
用cp来复制文件的时候我们现在可以加上-p选项.这样在拷贝文件的时候也将拷贝文件的ACL属性.对于不能拷贝的ACL属性将给出警告
mv命令将会默认地移动文件的ACL属性. 同样如果操作不允许的情况下会给出警告
7. 需要注意的几点
如果你的文件系统不支持ACL的话,你也许需要重新mount你的filesystem
mount -o remount, acl [mount point]
如果用chmod命令改变Linux filepermission的时候相应的ACL值也会改变.反之改变ACL的值,相应的file permission也会改变
8. 参考资料
1. man acl 个人感觉man page已经讲的比较详细,只是上面名词比较多看起来会比较繁琐
2.http://www.suse.de/~agruen/acl/linux-acls/online/如果你英语不错的话可以看一下这篇关于POSIX ACL的介绍,上面有许多不错的例子。
扶凯注:用这种方法管理权限很不错,但要记的,对文件管理只能有rwx三种权限，所能直实权限中的所有都才能改变文件本身的权限。用acl只能控制
文章评论 以下网友留言只代表其个人观点，不代表本网站的观点和立场。当前访客身份：游客 [
：引用来自“GreyQ”的评论安全性呢？就是在ssh上面...
：安全性呢？
：引用来自“阿泉”的评论我运行 btsync后，系统也...
：我运行 btsync后，系统也提示8888端口 但是为什么...
：关于Redis哨兵的官网介绍，挺不错的 http://red...
：想实现对某个服务器全局的上传下载的流量限制，但...
：学习了～～
：引用来自“浩”的评论string too long 用 pyodbc...
：string too long 用 pyodbc 提示这个错误 楼主遇...
：引用来自“kay_80”的评论 请问，当要反转maste...
今日访问：891
昨日访问：333
本周访问：891
本月访问：6362
所有访问：437898
发表于4年前( 11:52)&&
阅读（1693）&|&评论（）
0人收藏此文章,
& & & &某些系统账号希望对某一些文件有管理权限，有三种方法：
& & & & & & &1 加入属主所在的同一个组中，这等于扩大了访问其他文件的权限了。
& & & & & & &2 加入other中，这样权限放开的更大了。
& & & & & & &3 给文件的sudo权限。
& & & & & & &4 采用acl策略。
& & & &前三种方法都有自己的缺点，最终考虑使用acl。
& & & &所谓ACL，就是Access Control List，一个文件/目录的访问控制列表，可以针对任意指定的用户/组分配RWX权限。此功能
&需要内核的支持，在linux 2.6以后默认加入内核中。
& & & & & & &acl由一系列的访问控制权限组成，主要的有如下：
& & & & & & &ACL_USER_OBJ: 相当于Linux里file_owner的权限
& & & & & & &ACL_USER: 定义了额外的用户可以对此文件拥有的权限
& & & & & & &ACL_GROUP_OBJ: 相当于Linux里group的权限
& & & & & & &ACL_GROUP: 定义了额外的组可以对此文件拥有的权限
& & & & & & &ACL_MASK: 定义了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大权限
& & & & & & &ACL_OTHER: 相当于Linux里other的权限
& & &&安装acl
& & & & & & apt-get install acl
& & &重新挂载分区
& & & & & &mount -o remount,rw,acl /dev/sda3&
& & & & & &分区在不支持acl的情况下getfacl可以工作，但是setfacl不能够工作的。
& & & 下图所示默认的acl规则
& & & & & &&
& & & & & &&#注释表明了文件的默认用户和所属组
& & & & & & user::rw- 定义了ACL_USER_OBJ, 说明root拥有读和写的权限
& & & & & & group::--- 定义了ACL_GROUP_OBJ,说明任何人都没有权限
& & & & & & other::--- 定义了ACL_OTHER，说明任何人都没有权限
& & & &在设置acl规则前我们先了解一下设置acl常用的选项：
& & & & & &-b,--remove-all
& & & & & &删除所有扩展的acl规则，基本的acl规则(所有者，群组，其他）将被保留。
& & & & & &-k,--remove-default
& & & & & &删除缺省的acl规则。如果没有缺省规则，将不提示。
& & & & & &-n，--no-mask
& & & & & 不要重新计算有效权限。setfacl默认会重新计算ACL mask，除非mask被明确的制定。
& & & & & --mask
& & & & & 重新计算有效权限，即使ACL mask被明确指定。
& & & & & -d，--default
& & & & & 设定默认的acl规则。
& & & & & --restore=file
& & & & & 从文件恢复备份的acl规则（这些文件可由getfacl -R产生）。通过这种机制可以恢复整个目录树的acl规则。此参数不能 & & & 和除--test以外的任何参数一同执行。
& & & & & --test
& & & & &测试模式，不会改变任何文件的acl规则，操作后的acl规格将被列出。
& & & & &-R，--recursive
& & & & &递归的对所有文件及目录进行操作。
& & & & &-P，--physical
& & & & 跳过所有符号链接，包括符号链接文件。
& & & & &-m -x -M -X&
& & & & &-m -x 是在设置acl所需要定义的选项，-m 表示设置acl ，-x 表示删除acl规则
& & & & &-M -X 则可以在文件中读入acl规则，使相应的规则生效
& & & & &用cp来复制文件的时候我们现在可以加上-p选项.这样在拷贝文件的时候也将拷贝文件的ACL属性.对于不能拷贝的ACL属
& &性将给出警告
& & & & &mv命令将会默认地移动文件的ACL属性. 同样如果操作不允许的情况下会给出警告
& & & & 开始设置规则：
& & & & 用test用户访问perl.pl文件，显示如下：
& & & & 设置acl规则
& & & & & &&这时候我们会看到在权限位后面多了一个+号，这个符号提示我们此文件使用了acl，而且你还会看到在ls -l 的输出中
& & &perl.pl的组权限变成read了，在acl的mask不存在的情况下，权限位的第二组才表示组的权限，如果acl中存在mask，则第二
& & &组权限位代表mask值，mask规定了ACL_USER, ACL_GROUP和ACL_GROUP_OBJ的最大值，在设置的权限相冲突的情况下以
& & 设置的mask为主。
& & & & & &
& & & & & &可以看到test用户可以访问perl.pl文件了。
& & & & & &删除设置的acl
& & & & & &
& & & & & &可以看到acl规则已经删除，怎么在权限位的后面还有一个加号呢，要完全删除需要使用-b参数
& & & & & &
& & & & & &还可以设置默认的acl规则，如希望在某个目录下的新建文件都使用同一个acl规则，则可以对某个目录设置默认acl规则
使其新建文件都采用默认acl规则
& & & & & &
& & & & & &
& & & & & &在目录中建好文件后发现出现了#effective，ACL_MASK的定义. 它规定了ACL_USER(其他用户), ACL_GROUP_OBJ(组权限)和ACL_GROUP(其他组的权限)的最大权限，所以test组真正的权限是rw，怎么改变mask值呢？
& & & & & &
& & & & & 也可以从文件中恢复文件原有的acl规则，如下：先保存规则到一个文件中
& & & & &&
& & & & & 开始删除规则
& & & & &&
& & & & & 开始恢复规则
& & & & &&
& & & 以上只是简单的一些用法，更多用法参考man
更多开发者职位上
1)">1)">1" ng-class="{current:{{currentPage==page}}}" ng-repeat="page in pages"><li class='page' ng-if="(endIndex<li class='page next' ng-if="(currentPage
相关文章阅读