[kernel]access control lists(ACL)

一、 为什么要使用ACL

先让我们来简单地复习一下Linux的文件权限。

在 linux下,对一个文件(或者资源)可以进行操作的对象被分为三类: file owner(文件的拥有者),group(组,注意不一定是文件拥有者所在的组), other (其他)而对于每一类别又分别定义了read, write and execute/search 权限 (这里不讨论SUID, SGID以及Sticky bit的设置)通过ls -l命令就我们就可以列出一个文件的权限

代码:

[[email protected] ~]$ ls -l

-rw-rw---- 1 leonard admin 0 Jul 3 20:12 test.txt

在这里说明了对于test.txt这个文件leonard用户(由是file owner)拥有read & write权限. 所有属于admin 组的用户(group)拥有read & write 权限. 其他任何用户(other)

对于文件没有任何的权限

如果我们现在希望john这个用户也可以对test.txt文件进行读写操作. 我自己大概会想到

以下几种办法 (这里假设john不属于admin group)

  1. 给文件的other类别增加读和写的权限. 这样由于john会被归为other类别,那么他也将拥有读写的权限。
  2. 将john加入到admin group. 那么john会被归为group类别,那么他将拥有读写的权限。
  3. 设置sudo, 使john能够以leonard的身份对test.txt进行操作,从而获得读写权限。

第一种做法的问题在于所有用户都将对test.txt拥有读写操作,显然这种做法不可取。

第二种做法的问题在于john被赋予了过多的权限.所有属于admin组的文件,john都可以拥

有其等同的权限了。

第三种做法虽然可以达到只限定john用户一人拥有对test.txt文件的读写权限.但是需要

对sudoers文件进行严格的格式控制. 而且当文件数量和用户很多的时候,这种方法就相当

地不灵活了。看来好像都没有一个很好的解决方案. 其实问题就出在Linux 文件权限里面,对于other的定义过于广泛,以至于很难把权限限定于一个不属于file owner和group的用户身上. 那Access Control List (ACL)就是用来帮助我们解决这个问题的。

简单地来说ACL就是可以设置特定用户或者用户组对于一个文件/文件夹的操作权限. 需要

掌握的命令也只有三个: getfacl, setfacl, chacl

在接下去讨论之前大家可以先安装上ACL的RPM包

代码:

rpm -ivh libacl-2.2.39-1.1 acl-2.2.39-1.1.i386.rpm

如果配置好了yum可以直接安装这两个包

yum -y install libacl acl

另外还需要磁盘分区的支持永久启用acl。我这里以自己的分区/data为例

vi /etc/fstab

LABEL=/data /data ext3 defaults,acl 1 2

在启用了acl参数之后重新加载/data分区

mount -o remount /data

cat /etc/mtab | grep /data

/dev/sda5 /data ext3 rw,acl 0 0

出现上面的信息代表分区的acl功能已经正常加载

二、ACL的名词定义

先来看看在ACL里面每一个名词的定义.这些名词我大多从man page上摘下来虽然有些枯燥,

但是对于理解下面的内容还是很有帮助的

ACL 是由一系列的Access Entry所组成的. 每一条Access Entry定义了特定的类别可以对

文件拥有的操作权限. Access Entry有三个组成部分: Entry tag type, qualifier

(optional), 权限

我们先来看一下最重要的Entry tag type, 它有以下几个类型

ACL_USER_OBJ: 相当于Linux里file_owner的权限

ACL_USER: 定义了额外的用户可以对此文件拥有的权限

ACL_GROUP_OBJ: 相当于Linux里group的权限

ACL_GROUP: 定义了额外的组可以对此文件拥有的权限

ACL_MASK: 定义了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大权限 (这个我下面还会专门讨论)

ACL_OTHER: 相当于Linux里other的权限

让我们来据个例子说明一下. 下面我们就用getfacl命令来查看一个定义好了的ACL文件

代码:

[[email protected] data]# getfacl test.txt

file: test.txt

owner: root

group: family

user::rw-

user:zyq:rw-

group::rw-

group:jackuser:rw-

mask::rw-

other::---

前面三个以#开头的定义了文件名,文件所有者和文件拥有组. 这些信息没有太大的作用,我

们可以用 –omit-header来省略掉

user::rw- 定义了ACL_USER_OBJ, 说明file owner拥有读和写的权限

user:zyq:rw- 定义了ACL_USER,这样用户zyq就拥有了对文件的读写权限,实现了我们一开始要达到的目的

group::rw- 定义了ACL_GROUP_OBJ,说明文件的group拥有read和write 权限

group: jackuser:rw- 定义了ACL_GROUP,使得jackuser组拥有了对文件的read 和write权限

mask::rw- 定义了ACL_MASK的权限为read and write

other::— 定义了ACL_OTHER的没有任何权限操作此文件

从这里我们就可以看出ACL提供了我们可以定义特定用户和用户组的功能. 那么接下来我们就来

看一下如何设置一个文件的ACL

三、 如何设置ACL文件

首先我们还是要讲一下设置ACL文件的格式. 从上面的例子中我们可以看到每一个Access Entry都是由三个被:号分隔开的字段所组成. 第一个就是Entry tag type

user 对应了ACL_USER_OBJ和ACL_USER

group 对应了ACL_GROUP_OBJ和ACL_GROUP

mask 对应了ACL_MASK

other 对应了ACL_OTHER

第二个字段称之为qualifier.也就是上面例子中的zyq和jackuser组.它定义了特定用户和用户组,对于文件的权限.这里我们也可以发现只有user和group才有qualifier,其他的都为空.

第三个字段就是我们熟悉的权限了. 它和Linux的权限一样定义,这里就不多讲了

下面我们就来看一下怎么设置test.txt这个文件的ACL让它来达到我们上面的要求

一开始文件没有ACL的额外属性

代码:

[[email protected] data]# ll test.txt

-rw-r--r-- 1 root root 0 12-27 22:55 test.txt

[[email protected] data]# getfacl test.txt

file: test.txt

owner: root

group: root

user::rw-

group::r--

other::r--

[[email protected] data]# getfacl -c test.txt

user::rw-

group::r--

other::r--

我们先让用户zyq拥有对test.txt文件的读写权限

代码:

[[email protected] data]# setfacl -m u:zyq:rw test.txt

[[email protected] data]# getfacl -c test.txt

user::rw-

user:zyq:rw-

group::r--

mask::rw-

other::r--

这时我们就可以看到zyq用户在ACL里面已经拥有了对文件的读写权限. 这个时候如果我们

查看一下linux的权限我们还会发现一个不一样的地方

代码:

[[email protected] data]# ll test.txt

-rw-rw-r--+ 1 root root 0 12-27 22:55 test.txt

在文件权限的最后多了一个+号. 当任何一个文件拥有了ACL_USER或者ACL_GROUP的值以后我

们就可以称它为ACL文件.这个+号就是用来提示我们的

我们还可以发现当一个文件拥有了ACL_USER或者ACL_GROUP的值时ACL_MASK同时也会被定义

接下来我们来设置jackuser组拥有read 权限

代码:

[[email protected] data]# ll test.txt

-rw-rw-r--+ 1 root root 0 12-27 22:55 test.txt

[[email protected] data]#

[[email protected] data]# setfacl -m g:jackuser:r test.txt

[[email protected] data]# getfacl -c test.txt

user::rw-

user:zyq:rw-

group::r--

group:jackuser:r--

mask::rw-

other::r--

[[email protected] data]# ll test.txt

-rw-rw-r--+ 1 root root 0 12-27 22:55 test.txt

到这里就完成了我们上面讲到的要求.是不是很简单呢

四、ACL_MASK 和 Effective 权限

这里需要重点讲一下ACL_MASK, 因为这是掌握ACL的另一个关键,在Linux 文件权限里面大家都知道比如对于rw-rw-r–来说, 第二组中的那个rw-是指文件组的权限. 但是在ACL里面这种情况只是在ACL_MASK不存在的情况下成立. 如果文件有ACL_MASK值,那么当中那个rw-代表的就是mask值而不再是group 权限了

让我们来看下面这个例子

代码:

[[email protected] data]# ll test.sh

-rwxrw-r-- 1 root family 0 12-27 23:04 test.sh

这里说明test.sh文件只有file owner: root拥有read, write, execute/search 权限. Family组只有读和写的权限。现在我们想让用户zyq也对test.sh具有和root一样的权限。

代码:

[[email protected] data]# setfacl -m u:zyq:rwx test.sh

[[email protected] data]# getfacl -c test.sh

user::rwx

user:zyq:rwx

group::rw-

mask::rwx

other::r--

这里我们看到zyq已经拥有了rwx的权限. mask值也被设定为rwx.那是因为它规定了ACL_USER,ACL_GROUP和ACL_GROUP_OBJ的最大值现在我们再来看test.sh的Linux 权限, 它已经变成了

代码:

[[email protected] data]# ll test.sh

-rwxrwxr--+ 1 root family 0 12-27 23:04 test.sh

那么如果现在family组的用户想要执行test.sh的程序会发生什么情况呢? 它会被权限 deny.原因在于实际上family组的用户只有读和写的权限.这里当中显示的rwx是ACL_MASK的值而不是group的权限,所以从这里我们就可以知道,如果一个文件后面有+标记,我们都需要用getfacl来确认它的权限,以免发生混淆

下面我们再来继续看一个例子

假如现在我们设置test.sh的mask为read only,那么family组的用户还会有write 权限吗?

代码:

[[email protected] data]# setfacl -m mask::r test.sh

[[email protected] data]# getfacl -c test.sh

user::rwx

user:zyq:rwx #effective:r--

group::rw- #effective:r--

mask::r--

other::r--

这时候我们可以看到ACL_USER和ACL_GROUP_OBJ旁边多了个#effective:r–, 这是什么意思呢?让 我们再来回顾一下ACL_MASK的定义. 它规定了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大权限.那么在我们这个例子中他们的最大权限也就是read only.虽然我们这里给ACL_USER和ACL_GROUP_OBJ设置了其他权限,但是他们真正有效果的只有read权限.

这时我们再来查看test.sh的Linux 文件权限时它的group 权限也会显示其mask的值(i.e. r–)

代码:

[[email protected] data]# ll test.sh

-rwxr--r--+ 1 root family 0 12-27 23:04 test.sh

五、 Default ACL

上面我们所有讲的都是Access ACL, 也就是对文件而言. 下面我简单讲一下Default ACL. Default ACL是指对于一个目录进行Default ACL设置,并且在此目录下建立的文件都将继承此目录的ACL.同样我们来做一个试验说明比如现在leonard用户建立了一个dir目录

代码:

[[email protected] data]$ mkdir mydir

我希望所有在此目录下建立的文件都可以被smbuser用户所访问. 那么我们就应该对mydir目录设置Default ACL.我先利用root用户在/data/创建一个mydir的文件夹,然后将这个文件夹的default user权限设置为smbuser可以rw- 以root身份在mydir目录下创建一个test.txt的文件。其他的不做限制,然后切换到smbuser。发现smbuser用户可以修改 test.txt文件中的内容但是无法在mydir目录中创建和删除文件/文件夹

代码:

[[email protected] data]# id

uid=0(root) gid=0(root) groups=0(root)

[[email protected] data]# ll mydir/

总计 0

[[email protected] data]# getfacl mydir/

file: mydir/

owner: root

group: root

user::rwx

group::r-x

other::r-x

[[email protected] data]# setfacl -m d:smbuser:rw mydir/

[[email protected] data]# getfacl mydir/

file: mydir/

owner: root

group: root

user::rwx

group::r-x

other::r-x

default:user::rwx

default:user:smbuser:rw-

default:group::r-x

default??:rwx

default:other::r-x

[[email protected] data]# cd mydir/

[[email protected] mydir]# touch test.txt

[[email protected] mydir]# su - smbuser

[[email protected] ~]$ cd /data/mydir/

[[email protected] mydir]$ touch a

touch: 无法创建 “a”: 权限不够

[[email protected] mydir]$ rm test.txt

rm: 无法删除 “test.txt”: 权限不够

[[email protected] mydir]$ echo hello world>>test.txt

[[email protected] mydir]$ cat test.txt

hello world

这里我们可以看到ACL定义了default选项, smbuser用户拥有了default的read, write, excute/search 权限.但是却无法删除和创建文件。经过试验,发现还必须将mydir目录的ACL_USER修改为smbuser后,切换到smbuser用户才能够在 mydir目录中创建和删除文件/文件夹

[[email protected] data]# setfacl -m u:smbuser:rwx mydir/

[[email protected] data]# getfacl -c mydir/

user::rwx

user:smbuser:rwx

group::r-x

mask::rwx

other::r-x

default:user::rwx

default:user:smbuser:rw-

default:group::r-x

default??:rwx

default:other::r-x

[[email protected] data]# su - smbuser

[[email protected] ~]$ cd /data/mydir/

[[email protected] mydir]$ touch a

[[email protected] mydir]$ ll

总计 4

-rw-rw-r--+ 1 smbuser family 0 12-27 23:43 a

-rw-rw-r--+ 1 root root 19 12-27 23:33 test.txt

[[email protected] mydir]$ rm * -rf

[[email protected] mydir]$

下面的试验我们看到在mydir下建立的文件或文件夹都自动的加上了default的权限

[[email protected] mydir]# su - smbuser

[[email protected] ~]$ cd /data/mydir/

[[email protected] mydir]$ ll

总计 0

-rw-rw-r--+ 1 root root 0 12-27 23:48 a

-rw-rw-r--+ 1 root root 0 12-27 23:48 test.tt

[[email protected] mydir]$ rm * -rf

[[email protected] mydir]$ touch test.txt

[[email protected] mydir]$ ll

总计 0

-rw-rw-r--+ 1 smbuser family 0 12-27 23:48 test.txt

[[email protected] mydir]$ getfacl -c test.txt

user::rw-

user:smbuser:rw-

group::r-x #effective:r--

mask::rw-

other::r--

[[email protected] mydir]$ mkdir smbuserdir

[[email protected] mydir]$ getfacl -c smbuserdir/

user::rwx

user:smbuser:rw-

group::r-x

mask::rwx

other::r-x

default:user::rwx

default:user:smbuser:rw-

default:group::r-x

default??:rwx

default:other::r-x

[[email protected] mydir]$ ll

总计 4

drwxrwxr-x+ 2 smbuser family 4096 12-27 23:49 smbuserdir

-rw-rw-r--+ 1 smbuser family 0 12-27 23:48 test.txt

六、 ACL 相关命令

前面的例子中我们都注意到了getfacl命令是用来读取文件的ACL, setfacl是用来设定文件的Acess ACL. 这里还有一个chacl是用来改变文件和目录的Access ACL and Default ACL. 它的具体参数大家可以去看man page. 我只想提及一下chacl -B. 它可以彻底删除文件或者目录的ACL属性(包括Default ACL). 比如你即使用了setfacl -x删除了所有文件的ACL属性,那个+号还是会出现在文件的末尾.所以正确的删除方法应该是用chacl -B.

用cp来复制文件的时候我们现在可以加上-p选项.这样在拷贝文件的时候也将拷贝文件的ACL属性.对于不能拷贝的ACL属性将给出警告.mv命令将会默认地移动文件的ACL属性. 同样如果操作不允许的情况下会给出警告

七. 需要注意的几点

如果你的文件系统不支持ACL的话,你也许需要重新mount你的file system

mount -o remount, acl [mount point]

如果用chmod命令改变Linux 文件权限的时候相应的ACL值也会改变.反之改变ACL的值,相应的文件权限也会改变

八. 参考资料

man acl 个人感觉man page已经讲的比较详细,只是上面名词比较多看起来会比较繁琐

http://www.suse.de/~agruen/acl/linux-acls/online/ 如果你英语不错的话可以看一下这篇关于POSIX ACL的介绍,上面有许多不错的例子



本文来自 williamchu 的CSDN 博客 ,全文地址请点击:https://blog.csdn.net/u010735120/article/details/81094009?utm_source=copy

原文地址:https://www.cnblogs.com/mazh/p/9698879.html

时间: 2024-10-10 06:25:19

[kernel]access control lists(ACL)的相关文章

Phalcon 訪问控制列表 ACL(Access Control Lists ACL)

Phalcon在权限方面通过 Phalcon\Acl 提供了一个轻量级的 ACL(訪问控制列表). Access Control Lists (ACL) 同意系统对用户的訪问权限进行控制,比方同意訪问某些资源而不同意訪问其他资源等. 这里我们建议开发人员了解一些关于ACL的技术. ACL有两部分组成即角色和资源. 资源即是ACL定义的权限所依附的对象. 角色即是ACL所字义的请求者的身份,ACL决定了角色对资源的訪问权限.同意訪问或拒绝訪问. 创建 ACL(Creating an ACL)? 这

Phalcon 访问控制列表 ACL(Access Control Lists ACL)

Phalcon在权限方面通过 Phalcon\Acl 提供了一个轻量级的 ACL(访问控制列表). Access Control Lists (ACL) 允许系统对用户的访问权限进行控制,比如允许访问某些资源而不允许访问其它资源等. 这里我们建议开发者了解一些关于ACL的技术. ACL有两部分组成即角色和资源. 资源即是ACL定义的权限所依附的对象. 角色即是ACL所字义的请求者的身份,ACL决定了角色对资源的访问权限,允许访问或拒绝访问. 创建 ACL(Creating an ACL)? 这个

[笔记] Access Control Lists (ACL) 学习笔记汇总

一直不太明白Windows的ACL是怎么回事,还是静下心来看一手的MSDN吧. [翻译] Access Control Lists [翻译] How Access Check Works Modifying the ACLs of an Object in C++ Understanding Windows File And Registry Permissions Registry Key Security and Access Rights Well-known security ident

Method and system for implementing mandatory file access control in native discretionary access control environments

A method is provided for implementing a mandatory access control model in operating systems which natively use a discretionary access control scheme. A method for implementing mandatory access control in a system comprising a plurality of computers,

A GUIDE TO UNDERSTANDINGDISCRETIONARY ACCESS CONTROL INTRUSTED SYSTEMS

1. INTRODUCTION ? The main goal of the National Computer Security Center is to encourage the widespread availability of trusted computer systems. In support of that goal a metric was created, the Department of Defense Trusted Computer System Evaluati

Extensible Access Control List Framework

Methods, systems, and products for governing access to objects on a filesystem. In one general embodiment, the method includes providing a framework in an operating system environment for support of a plurality of access control list (ACL) types, the

Browser security standards via access control

A computing system is operable to contain a security module within an operating system. This security module may then act to monitor?access?requests by a web browser and apply?mandatory?access?control?security policies to such requests. It will be ap

Security Access Control Strategy && Method And Technology Research - 安全访问控制策略及其方法技术研究

catalog 0. 引言 1. 访问控制策略 2. 访问控制方法.实现技术 0. 引言 访问控制是网络安全防范和客户端安全防御的主要策略,它的主要任务是保证资源不被非法使用.保证网络/客户端安全最重要的核心策略之一.访问控制包括 1. 入网访问控制 2. 网络权限控制 3. 目录级控制 4. 属性控制等多种手段 访问控制相关领域知识是CISSP的重要章节,本文将重点讨论访问控制模型.及其相关的方法和技术 0x0: 访问控制概念组成 访问控制涉及到三个基本概念 1. 主体 是一个主动的实体,它包

Oracle ACL (Access Control List)详解

在Oracle11g中,Oracle在安全方面有了很多的改进,而在网络权限控制方面,也有一个新的概念提出来,叫做ACL(Access Control List), 这是一种细粒度的权限控制.在ACL之前,我们对于有一些程序包,例如UTL_MAIL, UTL_SMTP等这些包,你可以利用这些包连接到外部的主机,而默认情况下,这些包都是都是赋予了public角色,所以可能会导致利用这些PL/SQL程序包的恶意工具,所以Oracle提出了一个新的概念来解决这个问题,那就是ACL. 在开始展开ACL之前