ACL 是什么
ACL的全称是 Access Control List (访问控制列表) ,一个针对文件/目录的访问控制列表。它在UGO权限管理的基础上为文件系统提供一个额外的、更灵活的权限管理机制。它被设计为UNIX文件权限管理的一个补充。ACL权限控制主要目的是提供传统的 owner ,group ,other 的 read ,wirte ,execute 权限之外的具体权限设置,可以针对单一用户或组来设置特定的权限。
也就是说,你除了使用 chmod 或者 chown 外,它允许你给任何的用户或用户组设置任何文件/目录的访问权限。
ACL有什么用
既然是作为UGO权限管理的补充,ACL自然要有UGO办不到或者很难办到的本事,例如:
- 可以针对用户来设置权限
- 可以针对用户组来设置权限
- 子文件/目录继承父目录的权限
一个详细的例子比如:
某一目录权限为
drwx------ 2 root root 4096 03-10 13:51./acldir
用户 user 对此目录无任何权限因此无法进入此目录,ACL 可单独为用户 user 设置这个目录的权限,使其可以操作这个文件。
检查是否支持ACL
在root权限下输入
dumpe2fs -h /dev/sda2 | grep "Default mount options: "
返回如下图所示,则表示支持。
加载 ACL 功能
如果 UNIX LIKE 支持 ACL 但是文件系统并不是默认加载此功能,可自己进行添加
[root@localhost tmp]# mount -o remount,acl /
[root@localhost tmp]# mount /dev/sda2 on / type ext3 (rw,acl)
同样也可以修改磁盘挂在配置文件设置默认开机加载
[root@localhost tmp]# vim /etc/fstab
设置:
LABEL=/ / ext3 defaults,acl 1 1
实操ACL权限设置
查看 ACL 权限:getfacl
语法:
getfacl filename
例如:
getfacl /home
则可得到:
设置 ACL 权限:setfacl
设置 ACL 权限
语法:setfacl [-bkRd] [-m|-x acl 参数] 目标文件名
选项与参数:
-m:设置后续的 acl 参数,不可与-x 一起使用
-x: 删除后续的 acl 参数,不可与-m 一起使用
-b:删除所有的 acl 参数
-k:删除默认的 acl 参数
-R:递归设置 acl 参数
-d:设置默认 acl 参数,只对目录有效
针对特定用户
# 设置格式:
u:用户账号列表:权限权限:rwx 的组合形式
如用户列表为空,代表设置当前文件所有者权限
详细例子:
[root@localhost tmp]# mkdir -m 700 ./acldir; ll -d ./acldir
drwx------ 2 root root 4096 03-10 13:51 ./acldir
[root@localhost tmp]# su tkf
[tkf@localhost tmp]$ cd ./acldir/
bash: cd: ./acldir/: 权限不够 =>用户无 X 权限
[tkf@localhost tmp]$ exit
exit
[root@localhost tmp]# setfacl -m u:tkf:x ./acldir/
=>针对用户 tkf 设置 acldir 目录的权限为 x
[root@localhost tmp]# ll -d ./acldir/
drwx--x---+ 2 root root 4096 03-10 13:51 ./acldir/
=>通过 ACL 添加权限在权限末尾会增加多个一个“+”同时文件原本权限也发生变化。
=>可通过 getfacl 查看原始目录权限
[root@localhost tmp]# getfacl ./acldir/
# file: acldir
# owner: root
# group: root
user::rwx
user:tkf:--x =>记录 tkf 用户针对此目录有 acl 权限
group::---
mask::--x
other::---
=>这里需要特殊说明,只是 tkf 这个用户具有 X 权限,其他用户还是无权限的
[root@localhost tmp]# su tkf
[tkf@localhost tmp]$ cd ./acldir/
[tkf@localhost acldir]$
=>用户 tkf 可以具有 x 权限可以进入目录
针对特定用户组
#设置格式:
g:用户组列表:权限 权限:rwx 的组合形式
如用户组列表为空,代表设置当前文件所属用户组权限
举例:
[root@localhost tmp]# setfa
setfacl setfattr
[root@localhost tmp]# setfacl -m g:users:rx ./acldir/
[root@localhost tmp]# getfacl ./acldir/
# file: acldir
# owner: root
# group: root
user::rwx
user:tkf:--x
group::--- => 其他用户组(非 acl 设置)的权限
group:users:r-x => 记录 users 用户组针对此目录有 acl 权限
mask::r-x
other::---
针对有效权限设置
有效权限(mask)就是 acl 权限设置的极限值
也就是你所设置的 acl 权限一定是 mask 的一个子集,如果超出 mask 范围会将超出的权限去掉
# 设置格式:
m:权限 权限:rwx 的组合形式
举例:
[root@localhost tmp]# setfacl -m m:x ./acldir/
[root@localhost tmp]# getfacl ./acldir/
# file: acldir
# owner: root
# group: root
user::rwx
user:tkf:--x
group::r-x #effective:--x
group:users:r-x #effective:--x
mask::--x
other::---
针对默认权限设置
我们前面都是针对一个目录为一个用户(组)设置特定权限,但是如果这个目录下在新创建的文件是不具有这些针对这个用户的特定权限的。为了解决这个问题,就需要设置默认 acl 权限,使这个目录下新创建的文件有和目录相同的 ACL 特定权限
# 设置格式:
d:[u|g]:用户(组)列表:权限
举例:
[root@localhost tmp]# mkdir -m 711 ./defdir
[root@localhost tmp]# setfacl -m u:tkf:rxw ./defdir
[root@localhost tmp]# ll -d ./defdir/
drwxrwx--x+ 2 root root 4096 03-10 15:23 ./defdir/
=>目录权限具有 acl 特定权限(后面+)
[root@localhost tmp]# touch ./defdir/a.file;ll ./defdir/
-rw-r--r-- 1 root root 0 03-10 15:25 a.file
=>新创建的文件不具有 acl 特定权限(后面无+)
[root@localhost tmp]# setfacl -m d:u:tkf:rxw ./defdir
=>设置默认权限
[root@localhost tmp]# getfacl ./defdir/
# file: defdir
# owner: root
# group: root
user::rwx
user:tkf:rwx
group::--x
mask::rwx
other::--x
default:user::rwx
default:user:tkf:rwx
default:group::--x
default:mask::rwx
default:other::--x
[root@localhost tmp]# touch ./defdir/b.file;ll ./defdir/
-rw-r--r-- 1 root root 0 03-10 15:25 a.file
-rw-rw----+ 1 root root 0 03-10 15:26 b.file
=>新创建文件默认带有 acl 特定权限
[root@localhost tmp]# getfacl ./defdir/b.file
# file: defdir/b.file
# owner: root
# group: root
user::rw-
user:tkf:rwx #effective:rw-
group::--x #effective:---
mask::rw-
other::---
一个警告:请谨慎对待 /目录下的文件,不可随意设置ACL权限,ACL权限并不独立于UGO权限之下,修改根目录ACL权限可能会影响系统的正常运行。
参考博文
