传统权限模型缺点:
传统的UGO权限模型无法应对负责的权限设置要求,如对于一个文件只能设置一个组,并且对该组进行权限控制,但是如果该文件有多个组合会对其进行访问,并且都要要求权限限制时,传统的UGO模型就无法满足需求了。
这时候就需要采用ACL权限来管理了
ACL(Access Control List)是一种高级权限机制,允许我们对一个文件或文件夹进行灵活的、复杂的权限设置
ACL需要在挂在文件的时候打开ACL功能:
mount -o acl /dev/sda5 /mnt
ACL允许针对不同用户、不同组对一个目标文件、文件夹进行权限设置,不受UGO模型限制
查看一个文件、文件夹的ACL设置
getfacl linuxcast.net
针对一个用户对文件进行ACL设置:
setfacl -m u:nash_su:rwx linuxcast.net
m是modify的意思,u是user,nash_su是用户名,rwx是赋予nash_su对linuxcast.net文件的权限
针对一个组对文件进行ACL设置
setfacl -m g:training:rw linuxcast.net
m是group,training是group的名字,rw是training组对linuxcast.net的权限
删除一个ACL设置:
setfacl -x u:nash_su linuxcast.net
这时候用户名后面就不需要带权限,直接删除就OK
第一步,新建一个统一的文件夹
mkdir linuxcast.net
然后在其下面新建三个子文件夹,文件夹名分别为:training , market , manage
mkdir training mkdir market mkdir manage
这时的默认权限为
drwxr-xr-x. 2 root root 4096 Sep 22 05:54 manage drwxr-xr-x. 2 root root 4096 Sep 22 05:54 market drwxr-xr-x. 2 root root 4096 Sep 22 05:54 training
这时,使用以下命令修改training文件夹所在的组,其它两个组类似
chgrp training training
这时权限为:
drwxr-xr-x. 2 root manage 4096 Sep 22 05:54 manage drwxr-xr-x. 2 root market 4096 Sep 22 05:54 market drwxr-xr-x. 2 root training 4096 Sep 22 05:54 training
建好文件后,因为其它组的用户不能访问本组的用户的文件,所以使用
chmod o-rwx training
每个组的other的权限减去rwx,这时其他组就不能再访问本组的权限了。
这时候新建的用户目录的组应该继承其部门的组,所以使用
chmod g+s training
g是组的意思,s是继承的意思,也就是training下面的组就都是trining组了,修改后信息如下
drwxr-s---. 2 root manage 4096 Sep 22 04:49 manage drwxr-s---. 2 root market 4096 Sep 22 04:49 market drwxr-s---. 2 root training 4096 Sep 22 04:48 training
新建用户的权限为:
drwxr-sr-x. 2 root training 4096 Sep 22 04:55 bob drwxr-sr-x. 2 root training 4096 Sep 22 04:55 nash_su
再分别使用
chmod nash_su nash_su
把该文件的默认用户名root修改为该用户名
drwxr-sr-x. 2 bob training 4096 Sep 22 04:55 bob drwxr-sr-x. 2 nash_su training 4096 Sep 22 04:55 nash_su
现在就差最后一部了,传统的UGO权限这时已经无法在给boss查看和执行的权限了,这时候,就可以用到 setfacl 了,使用命令
setfacl -m g:boss:rx training
m是modify的意思,g是group的意思,g后面接组的名字,组名后再接权限,这样就实现training部门,boss就有查看和执行该文件下面所有的权限了
使用 getfacl training 查看该文件下的权限信息
# file: training # owner: root # group: training # flags: -s- user::rwx group::r-x group:boss:r-x mask::r-x other::---
这时候的组中就有了boss组的查看和执行的权限了。