ACL

linux的ACL权限是给一个文件或者目录添加指定的用户或者组,然后给其对应的权限。

一、权限的开启

CentOS7当中,无论是操作系统安装时还是之后手工创建的文件系统(xfs、ext4)均会默认开启ACL功能。

CentOS6及之前的版本,仅操作系统安装时创建的文件系统才会默认开启ACL,手工创建的文件系统,需要手工开启ACL功能。

临时开启方法:1、挂载时指定开启acl,即mount -o acl 文件系统名 挂载点

或者重新挂载 mount -o remount,acl 文件系统名/挂载点

2、修改信息 tune2fs -o acl 文件系统名

永久开启方法:编辑/etc/fstab,在该条目对应的defaults后面加上 ,acl

重启或者重新挂载可生效

二、ACL权限判断的顺序

先判断是否是文件的OWNER,如果是,则执行OWNER的权限后结束,如果不是OWNER,则判断是否是ACL的USER,如果是则执行USER权限后结束,如果不是ACL的USER, 则判断是否属于GROUP或ACL GROUP,如果是,则取最大权限(即该权限与mask权限相与)。如果不属于任何GROUP,则执行OTHER。

顺序:所有人->所有组->其他人

三、设置ACL

setfacl -m u:liubei:rx f1  给用户liubei设置ACL权限,使其对f1具有rx权限

setfacl -m g:shuguo:rwx f1  给shuguo组设置ACL权限,使其组中的用户对f1具有rwx权限

getfacl 文件/目录  显示权限信息

getfacl -R 目录   递归显示目录及其文件信息

setfacl -m mask:rwx f1 相当于 chmod g=rwx f1   修改MASK值

一旦设置了ACL权限后,原有的文件GROUP权限不可再更改,使用chmod即修改ACL MASK

ACL MASK随着新的ACL设置会被重置,重置的标准是让该文件上的所有ACL及文件原GROUP上的权限都有效。

mask只影响除所有者和other之外的人和组。

setfacl -Rm u:zhangfei:rwx acltest/   递归设置

setfacl -x u:liubei f1  单独去除一条ACL权限

setfacl -b f1 去除该文件上ACL属性。

在/app目录下创建一个名为d1的目录,要求其owner,group均为root,权限设置为755。要求guanyu用户对该目录及所有用户在其下创建的新文件新目录均有rwx权限

答:chown root:root d1  ; chmod 755 d1 ;

对该目录有rwx权限需要setfacl -m u:guanyu:rwx d1

对其下创建的文件有rwx权限需要setfacl -m d:u:guanyu:rwx d1

setfacl -m d:u:guanyu:rwx d1  d表示设置ACL默认权限,仅影响新创建的文件及目录,不影响当前。

setfacl -x d:sunquan d1 删除一条默认权限

setfacl -k d1 删除全部默认权限

setfacl -b d1 删除全部ACL属性

getfacl -R /tmp/dir1 > acl.txt  将目录下的所有文件的ACL属性备份到文件

setfacl -R -b /tmp/dir1 清除目录下所有文件的ACL属性

setfacl -R --set-file=acl.txt /tmp/dir1   通过文件还原ACL属性的方法1

setfacl --restore acl.txt    通过文件还原ACL属性的方法2

1、在/testdir/dir里创建的新文件自动属于g1组,组

g2的成员如:alice能对这些新文件有读写权限,组g3

的成员如:tom只能对新文件有读权限,其它用户(不

属于g1,g2,g3)不能访问这个文件夹。

[[email protected] ~]# mkdir -p /testdir/dir

[[email protected] ~]# groupadd g1

[[email protected] ~]# groupadd g2

[[email protected] ~]# groupadd g3

[[email protected] ~]# useradd -G g2 alice

[[email protected] ~]# useradd -G g3 tom

[[email protected] ~]# ls -ld /testdir/dir/

drwxr-xr-x. 2 root root 6 Jul 26 15:06 /testdir/dir/

[[email protected] ~]# chgrp g1 /testdir/dir/

[[email protected] ~]# chmod g+s /testdir/dir/

[[email protected] ~]# ls -ld /testdir/dir/

drwxr-sr-x. 2 root g1 6 Jul 26 15:06 /testdir/dir/

[[email protected] ~]# chmod o=- /testdir/dir/

[[email protected] ~]# ls -ld /testdir/dir/

drwxr-s---. 2 root g1 6 Jul 26 15:06 /testdir/dir/

[[email protected] ~]# setfacl -m g:g2:rx,g:g3:rx /testdir/dir/

[[email protected] ~]# setfacl -m d:g:g2:rw,d:g:g3:r /testdir/dir/

时间: 2024-10-13 02:32:50

ACL的相关文章

一起来学linux:ACL

p { margin-bottom: 0.25cm; line-height: 120% } 传统的 权限设置只有user,group,other三种,并没有办法针对某一个用户或者某一个组来设定权限.ACL就是用于这个目的的 那 ACL 主要可以针对哪些方面来控制权限呢?他主要可以针对几个项目: 使用者 (user):可以针对使用者来配置权限: 群组 (group):针对群组为对象来配置其权限: 默认属性 (mask):还可以针对在该目录下在创建新文件/目录时,规范新数据的默认权限: 查看系统是

    华为 ACL 网络安全

华为ACL网络安全 一. 1.物理层安全 墙上的不同的网线接口 连接交换机的端口关系: 2.数据链路层安全 ADSL拨号账号和密码 mac地址绑定 交换机端口连接计算机数量创建vlan: 3.网络层安全  基于源IP地址 目标IP地址控制: 4.传输层安全   会话攻击 LAND攻击 syn洪水攻击: 5.应用层安全  登陆密码: 6.网络层安全 标准的ACL, 基于源地址进行控制: 7.访问控制列表 扩展源地址: 基于原地址 目标地址: 端口号进行控制. 二. 使用标准的ACL配置网络安全 实

ACL最大权限及相关命令

先查看目录vampire的acl权限 1 [[email protected] home]# getfacl vampire 2 # file: vampire/ 3 # owner: vampire 4 # group: vampire 5 user::rwx 6 user:iaknehc:r-x 7 group::--- 8 mask::r-x 9 other::--- mask是用来指定最大有效权限的,如果给用户赋予了ACL权限,是需要和mask的权限"相与"才能得到用户的真正权

ACL配置

标准acl 1-99:抓源地址 扩展acl 100-199:抓源地址,目标地址,具体数据包(如:icmp,tcp,udp,ospf,ip等) 实验内容 1:ACL实现禁止192.168.1.0网段所有主机ping通PC3主机(正常情况下是可以ping通的) 2:ACL实现PC3可以ping通192.168.2.254(r3)但是无法远程telnet 1:r2(config)#access-list 1 deny 192.168.1.0 0.0.0.255 r2(config)#access-li

NAT与ACL执行顺序解析

防火墙数据包处理流程图 ACL与NAT的顺序不是固定的,各厂商数据流先ACL或先NAT不一. 引用<浅析ACL与NAT的执行顺序>-张少芳  一文中的结论如下: H3C 出站:先匹配出站ACL,然后进行地址转换 入站:先进行地址转换,然后匹配入站ACL CISCO 出站:先进行地址转换,然后匹配出站ACL 入站:先匹配入站ACL,然后进行地址转换(即上图所示数据流顺序) 结论 H3C设备和CISCO设备在对ACL与NAT的执行顺序处理上完全相反.由于在实际的网络中可能存在来自不同厂商的设备,因

linux文件权限管理与ACL访问控制列表

一.文件属性 1.文件属性: 文件属性操作 chown : change owner  ,设置文件所有者 chgrp : change group  ,设置文件的属组 文件属主修改: chown 格式:chown [OPTION]- [OWNER][:[GROUP]] FILE- 用法: OWNER OWNER:GROUPNAME    (同时修改属主.属组) :GROUPNAME                (默认属主,修改属组) ( 命令中的冒号可用.替换:) chown  –refere

acl权限列表

1.什么是权限列表 对与文件的权限进行附加补充说名的一个权限设定方式 2.如何去查看权限列表 ls -l file -rw-r--r--. 1 root root 0 Nov  7 09:14 file | 如果此位为".",代表这位上没有权限列表 如果此位为"+",代表权限权限列表存在 3.如何查看权限列表 ls -l file -rw-rw-r--<<+>> 1 root root 0 Nov  7 09:14 file getfacl

“TI门外汉”网路知识笔记十一 访问控制列表ACL(1标准访问列表)

访问控制列表(Access Control List,ACL) 是路由器和交换机接口的指令列表,用来控制端口进出的数据包.ACL适用于所有的被路由协议,如IP.IPX.AppleTalk等. ACL的作用: ACL可以限制网络流量.提高网络性能. ACL提供对通信流量的控制手段. ACL是提供网络安全访问的基本手段. ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞. 3P 原则: 在路由器上应用 ACL 的一般规则.您可以为每种协议 (per protocol).每个方向 (per

思科命令配置小技巧四:用ACL控制debug 输出

使用debug命令可以帮助我们TS,但是使用debug命令往往会输出一大堆信息,很多是我们不需要用的,也会造成CPU高负荷,这种情况下我们可以限制debug的输出 可以应用ACL到debug以限定仅输出要求的debug信息. 如仅查看从1.1.1.1到1.1.1.2的ICMP包: Router(config)# access-list 100 permit icmp host 1.1.1.1 host 1.1.1.2 Router# debug ip packet detail 100 思科命令

H3C交换机配置ACL禁止vlan间互访

1.先把基础工作做好,就是配置VLAN,配置Trunk,确定10个VLAN和相应的端口都正确.假设10个VLAN的地址分别是192.168.10.X,192.168.20.X......192.168.100.X,与VLAN号对应.2.为第一个VLAN 10创建一个ACL,命令为 ACL number 2000这个2000号,可以写的数是2000-2999,是基本的ACL定义.然后在这个ACL下继续定义rule,例如rule 1 deny source 192.168.20.0rule 2 de