前面我們之前說(shuō)過(guò)媳禁,Linux系統(tǒng)的權(quán)限分為六種撤蚊。有讀寫(xiě)執(zhí)行的基本權(quán)限,umask默認(rèn)權(quán)限损话。
今天我們來(lái)說(shuō)一下ACL權(quán)限。
每一個(gè)文件槽唾,只能有一個(gè)所有者丧枪,只能有一個(gè)所屬組,剩下的都是other(其他人)庞萍。
1拧烦、舉個(gè)例子說(shuō)明一下什么是ACL權(quán)限。
比如我是一個(gè)老師钝计,創(chuàng)建可一個(gè)共享文件夾恋博,這個(gè)文件夾的所有者肯定是我,我把所有的學(xué)生都加入到一個(gè)組里私恬,把文件夾的所屬組定義到學(xué)生組债沮。這樣我就能夠分別定義我操作文件夾的權(quán)限,和學(xué)生對(duì)文件夾的操作權(quán)限本鸣,和其他人(其他班的同學(xué))對(duì)文件夾的操作權(quán)限疫衩。但是如果我的班級(jí)要有試聽(tīng)同學(xué),試聽(tīng)同學(xué)對(duì)文件夾的操作權(quán)限和班中同學(xué)的權(quán)限肯定要不同荣德。就會(huì)出現(xiàn)下面的情況闷煤。
- 如果定義所有者為試聽(tīng)同學(xué),肯定不行涮瞻。
第一鲤拿,我創(chuàng)建的文件夾,我已經(jīng)是所有者了署咽,雖然可以改近顷,但是感覺(jué)會(huì)非常混亂。
第二幕庐,一個(gè)文件的所有者只能有一個(gè)久锥,而試聽(tīng)同學(xué)可能會(huì)有多個(gè)。 - 如果試聽(tīng)同學(xué)定義成other(其他人)异剥,肯定不行瑟由。
因?yàn)樵嚶?tīng)同學(xué)能看了,那其他班級(jí)的同學(xué)也就能看了冤寿。 - 如果試聽(tīng)同學(xué)定義成所屬組歹苦。不行。
因?yàn)橐笤嚶?tīng)同學(xué)要有一定的對(duì)文件夾操作的權(quán)限督怜,但是和班級(jí)的正式同學(xué)要有區(qū)別殴瘦。
這時(shí)就會(huì)發(fā)現(xiàn)用戶對(duì)文件的身份不夠用了。這就需要用到ACL權(quán)限了号杠。
ACL概述:ACL是用于解決用戶對(duì)文件身份不足的問(wèn)題的蚪腋。
上邊的描述如下圖:
ACL 的解決原理就是,既然所屬組姨蟋,所有者都已經(jīng)安排了屉凯,而試聽(tīng)用戶沒(méi)有身份安排。這時(shí)就不用考慮所有者和所屬組了眼溶,把試聽(tīng)用戶拿出來(lái)悠砚,直接賦值試聽(tīng)用戶權(quán)限,就可以操作文件了堂飞。
2灌旧、開(kāi)啟ACL
#dumpe2fs命令是查詢指定分區(qū)詳細(xì)文件系統(tǒng)信息的命令
[root@localhost ~ ] # dumpe2fs -h /dev/sda3
選項(xiàng):
-h 僅顯示超級(jí)塊中信息,而不顯示磁盤(pán)塊組的詳細(xì)信息绰筛。
/dev/sda3文件內(nèi)容枢泰,如下圖
這就表示Linux分區(qū)支持ACL權(quán)限。默認(rèn)開(kāi)啟铝噩,查看一下宗苍,以防萬(wàn)一。
如果沒(méi)有開(kāi)啟薄榛,手工開(kāi)啟分區(qū)的ACL權(quán)限讳窟。
#重新掛載根分區(qū),并掛載加入acl權(quán)限敞恋。(臨時(shí)生效)
[root@localhost ~ ] # mount -o remount,acl /
也可以通過(guò)修改/etc/fstab文件丽啡,永久開(kāi)啟ACL權(quán)限。(永久生效)
注意:/etc/fstab文件要慎重修改硬猫,改錯(cuò)了补箍,系統(tǒng)可能啟動(dòng)不了改执。
#加入acl
[root@localhost ~ ] # vi /etc/fstab
UUID-c2ca6f57-b15c-43ea-bca0-f239083d8bd2 / ext4 defaults,acl(在/目錄的該位置添加上acl) 1 1
#重新掛載文件系統(tǒng)或重啟動(dòng)系統(tǒng),使修改生效
[root@localhost ~ ] # mount -o remount /
