在 Linux下,對一個(gè)文件(或者資源)可以進(jìn)行操作的對象被分為三類: file owner(文件的擁有者),group(組,可以不是文件擁有者所在的組), other (其他)而對于每一類別又分別定義了讀程储、寫章鲤、執(zhí)行(read, write and execute )權(quán)限以及特殊權(quán)限。但是這些權(quán)限只能搭配使用而已败徊,如果想要對其其他用戶組或者其他用戶里的某一位用戶設(shè)定一些不同的權(quán)限掏缎,就不行了煤杀。
LINUX上的ACL訪問控制列表沪哺,主要的目的是在提供傳統(tǒng)的owner,group,others的read,write,execute權(quán)限之外的局部權(quán)限設(shè)定。ACL可以針對單個(gè)用戶凤粗,單個(gè)文件或目錄來進(jìn)行r,w,x的權(quán)限設(shè)定,特別適用于需要特殊權(quán)限的使用情況柔袁。簡單地來說异逐,ACL就是可以設(shè)置特定用戶或用戶組對于一個(gè)文件/目錄的操作權(quán)限,可以實(shí)現(xiàn)靈活的權(quán)限管理灰瞻,除了文件的所有者,所屬組和其它人燎竖,可以對更多的用戶設(shè)置權(quán)限要销。簡單地來說ACL就是可以設(shè)置特定用戶或者用戶組對于一個(gè)文件/文件夾的操作權(quán)限。
由于ACL是傳統(tǒng)的類unix操作系統(tǒng)權(quán)限的額外支持項(xiàng)目纤掸,因此需要使用ACL必須要有文件系統(tǒng)的支持才行浑塞。目前大多數(shù)的文件系統(tǒng)都支持ACL借跪。(ACL訪問控制列表需要內(nèi)核支持,在Linux內(nèi)核2.6以后默認(rèn)加入了ACL功能)
ACL管理命令: getfacl, setfacl, chacl
acl是一個(gè)可以被acl_from_text程序分析出各用戶權(quán)限的字符串掏愁。該字符串用逗號分隔成多個(gè)片段
每個(gè)片段的形式都如:tag:name:perm
tag可以是下面形式的一種:
"user" (or "u")表示這是一個(gè)用戶的ACL條目仅孩。
"group" (or "g")表示這是一個(gè)用戶組的ACL條目印蓖。
"other" (or "o")表示這是其它的ACL條目。即沒有在ACL指定的用戶和組的ACL條目溅蛉。
"mask" (or "m")表示這是一個(gè)掩碼的ACL條目。在指定其它非用戶屬主的ACL權(quán)限時(shí)船侧,這個(gè)掩碼條目必須被指定,否則執(zhí)行chacl命令會出錯(cuò)预柒。
name可以是用戶名或組名袁梗。如果不指定,那么默認(rèn)是給文件或目錄的屬主或用戶組指定acl權(quán)限淋袖。當(dāng)然name也可以是用戶的uid或者組的gid锯梁。
perm是指該用戶或組所具有的權(quán)限,它是由"rwx"組成的一個(gè)字符串陌凳,什么意思當(dāng)然大家都明白了。如果要使該用戶或組不具有某種權(quán)限蕊肥,簡單的以"-"代替指定的字母就可以了蛤肌。例如"r-x"是只具有讀,執(zhí)行權(quán)限裸准。
getfacl
使用getfacl可以獲取文件訪問控制列表
使用方法: getfacl [-aceEsRLPtpndvh] 文件 ...
-a, --access 僅顯示文件訪問控制列表
-d, --default 僅顯示默認(rèn)的訪問控制列表
-c, --omit-header 不顯示注釋表頭
-e, --all-effective 顯示所有的有效權(quán)限
-E, --no-effective 顯示無效權(quán)限
-s, --skip-base 跳過只有基條目(base entries)的文件
-R, --recursive 遞歸顯示子目錄
-L, --logical 邏輯遍歷(跟隨符號鏈接)
-P, --physical 物理遍歷(不跟隨符號鏈接)
-t, --tabular 使用制表符分隔的輸出格式
-n, --numeric 顯示數(shù)字的用戶/組標(biāo)識
-p, --absolute-names 不去除路徑前的 '/' 符號
-v, --version 顯示版本并退出
-h, --help 顯示本幫助信息
獲取文件ACL訪問控制列表:
getfacl test.txt
# file: test.txt
# owner: root
# group: family
user::rw-
group::rw-
mask::rw-
other::---
前三行以#開頭的定義了文件名,文件所有者和文件擁有組. 這些信息沒有太大的作用,可以用 --omit-header來省略掉
user::rw- 定義了ACL_USER_OBJ, 說明file owner擁有讀和寫的權(quán)限
group::rw- 定義了ACL_GROUP_OBJ,說明文件的group擁有read和write 權(quán)限
mask::rw- 定義了ACL_MASK的權(quán)限為read and write
other::--- 定義了ACL_OTHER的沒有任何權(quán)限操作此文件
ACL由一系列的訪問控制權(quán)限組成炒俱,主要的有如下:
ACL_USER_OBJ: 相當(dāng)于Linux里file_owner的權(quán)限
ACL_USER: 定義了額外的用戶可以對此文件擁有的權(quán)限
ACL_GROUP_OBJ: 相當(dāng)于Linux里group的權(quán)限
ACL_GROUP: 定義了額外的組可以對此文件擁有的權(quán)限
ACL_MASK: 定義了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大權(quán)限
ACL_OTHER: 相當(dāng)于Linux里other的權(quán)限
setfacl
使用setfacl設(shè)定文件訪問控制列表
用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m, --modify=acl 更改文件的訪問控制列表
-M, --modify-file=file 從文件讀取訪問控制列表?xiàng)l目更改
-x, --remove=acl 根據(jù)文件中訪問控制列表移除條目
-X, --remove-file=file 從文件讀取訪問控制列表?xiàng)l目并刪除
-b, --remove-all 刪除所有擴(kuò)展訪問控制列表?xiàng)l目
-k, --remove-default 移除默認(rèn)訪問控制列表
--set=acl 設(shè)定替換當(dāng)前的文件訪問控制列表
--set-file=file 從文件中讀取訪問控制列表?xiàng)l目設(shè)定
--mask 重新計(jì)算有效權(quán)限掩碼
-n, --no-mask 不重新計(jì)算有效權(quán)限掩碼
-d, --default 應(yīng)用到默認(rèn)訪問控制列表的操作
-R, --recursive 遞歸操作子目錄
-L, --logical 依照系統(tǒng)邏輯权悟,跟隨符號鏈接
-P, --physical 依照自然邏輯,不跟隨符號鏈接
--restore=file 恢復(fù)訪問控制列表峦阁,和“getfacl -R”作用相反
--test 測試模式,并不真正修改訪問控制列表屬性
-v, --version 顯示版本并退出
-h, --help 顯示本幫助信息
-:如果文件名是-驹闰,則setfacl將從標(biāo)準(zhǔn)輸入讀取文件名。
選項(xiàng)-m和-x后邊跟以acl規(guī)則师妙。多條acl規(guī)則以逗號(,)隔開屹培。選項(xiàng)-M和-X用來從文件或標(biāo)準(zhǔn)輸入讀取acl規(guī)則。
選項(xiàng)--set和--set-file用來設(shè)置文件或目錄的acl規(guī)則褪秀,先前的設(shè)定將被覆蓋。
選項(xiàng)-m(--modify)和-M(--modify-file)選項(xiàng)修改文件或目錄的acl規(guī)則若专。
選項(xiàng)-x(--remove)和-X(--remove-file)選項(xiàng)刪除acl規(guī)則蝴猪。
設(shè)置ACL訪問控制列表:
setfacl -m u:zyq:rwx test.sh
user 對應(yīng)ACL_USER_OBJ和ACL_USER簡寫為u
group 對應(yīng)ACL_GROUP_OBJ和ACL_GROUP簡寫為g
mask 對應(yīng)ACL_MASK
other 對應(yīng)ACL_OTHER簡寫為o
第二個(gè)字段稱之為qualifier.也就是上面例子中的zyq和jackuser組.它定義了特定用戶和用戶組
對于文件的權(quán)限.這里我們也可以發(fā)現(xiàn)只有user和group才有qualifier,其他的都為空
第三個(gè)字段就是我們熟悉的權(quán)限了. 它和Linux的權(quán)限一樣定義,這里就不多講了
當(dāng)設(shè)置過ACL訪問控制權(quán)限就會在在文件權(quán)限的最后多了一個(gè)+號。
chacl
chacl是用來更改文件或目錄的訪問控制列表的命令嚎莉。
chacl命令的格式是: chacl acl filename1 filename2
chacl就是一個(gè)改變文件存取控制列表的一個(gè)命令沛豌。
-b 表明這里有兩個(gè)acl需要修改,前一個(gè)acl是文件的acl加派,后一個(gè)是目錄的默認(rèn)acl。
-d 設(shè)定目錄的默認(rèn)acl竹勉,這個(gè)選項(xiàng)是比較有用的娄琉。如果指定了目錄的默認(rèn)acl,在這個(gè)目錄下新建的文件或目錄都會繼承目錄的acl孽水。
-R 只刪除文件的acl
-D 只刪除目錄的默認(rèn)acl,是-d的反向操作杏慰。
-B 刪除文件和目錄默認(rèn)的acl。是-b的反向操作。
-r 遞歸地修改文件和目錄的acl權(quán)限簇搅。
-l 列出文件和目錄的acl權(quán)限。
使用過ACL之后即使用了setfacl -x刪除了所有文件的ACL屬性,那個(gè)+號還是會出現(xiàn)在文件的末尾.如果不想讓他顯示則可以使用chacl -B
用cp來復(fù)制文件的時(shí)候我們現(xiàn)在可以加上-p選項(xiàng).這樣在拷貝文件的時(shí)候也將拷貝文件的ACL屬性.對于不能拷貝的ACL屬性將給出警告
mv命令將會默認(rèn)地移動文件的ACL屬性. 同樣如果操作不允許的情況下會給出警告
MASK和effective
ACL_MASK是掌握ACL的另一個(gè)關(guān)鍵吟税。ACL_MASK規(guī)定了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大權(quán)限.當(dāng)我們設(shè)置一個(gè)文件的ACL_USER或者ACL_GROUP時(shí)姿现,ACL_MASK同時(shí)也會被定義,一但文件設(shè)置ACL之后文件的用戶組權(quán)限位就會被替換成ACL_Mask值。
Default ACL
Default ACL是指對于一個(gè)目錄進(jìn)行Default ACL設(shè)置,并且在此目錄下建立的文件都將繼承此目錄的ACL异旧,ACL定義了default選項(xiàng), 當(dāng)某一個(gè)用戶擁有了default的read, write, excute/search 權(quán)限.但是卻無法刪除和創(chuàng)建文件提佣。如果需要執(zhí)行權(quán)限需要把目錄的ACL_USER修改為那個(gè)用戶后才能在那個(gè)目錄中刪除和創(chuàng)建文件。
