facl 文件访问控制 setfacl、getfacl

当一个用户需要读写一个文件时,其文件的属组和属主都没有相关的权限,如果给other读写权限的话,此时风险会比较大,这样一来所有用户都会有读写权限了。

普通用户无法安全地将某个文件授权给其它用户访问

facl: 附加原有权限模型之上另一层权限控制机制,保存至文件扩展属性信息中;

(a)查看文件的facl

    getfacl FILE ...

(b)、设定及取消文件的facl

  setfacl {-x|-m} 权限 FILE ...

常先选项:
        -m: 设定权限
            -m u:UserName:Perms  \\ 设置用户的facl
            -m g:GroupName:Perms   \\ 设置给的facl
            -m m::Perms    \\ 设定mask值
        -x: 取消权限
            -x u:UserName
            -x g:GroupName
            -x m:

-R: 递归

示例:

1、获取文件的facl

[[email protected] tmp]$ getfacl test
# file: test   \\ 文件名
# owner: tom   \\ 属主
# group: tom   \\ 属组
user::rw-   \\ 属主权限
group::rw-  \\ 属组权限
other::r--  \\ 其它用户权限

2、设置用户user2对test文件有读写的权限

[[email protected] tmp]$ setfacl -m u:user2:rw- test
[[email protected] tmp]$ getfacl test
# file: test
# owner: tom
# group: tom
user::rw-
user:user2:rw-
group::rw-
mask::rw-  \\ 该mask值需要与user权限相对应才能生效,作为权限的掩码使用
other::r--

文件设置facl权限后,其权限位会增加一个+号

$ ls -l test
-rw-rw-r--+ 1 tom tom 0 Mar 18 17:28 test

2、取消test文件的facl权限

[[email protected] tmp]$ setfacl -x u:user2 test
[[email protected] tmp]$ getfacl test
# file: test
# owner: tom
# group: tom
user::rw-
group::rw-
mask::rw-
other::r--
时间: 2024-10-05 00:21:41

facl 文件访问控制 setfacl、getfacl的相关文章

Linux入门之facl文件访问控制列表

Linux入门之facl文件访问控制列表 简介: linux默认的3中基本权限(rwx)以及3中特殊权限(suid,sgid,sticky)在平常情况下做适当调整即可,但是如果出现多个组多个成员情况下对某些文件或目录做权限配置就会发现不够分配,所以为了解决此类情况linux内核出现了acl(访问控制列表)模块来进行分层管理 版本对功能支持度: 在readhat7.centos7默认创建的xfs.ext4文件系统会有acl功能,如果redhat5.6等版本 新格式化的文件系统可能需要命令去添加:

facl:文件访问控制列表

假如我们有两个用户:tom and jerry,我们用tom建立一个文件 ,想让jerry也可以访问,那我们一般会给这个文件的其它人权限,但是一但给了其它人权限,那不权jerry可以访问,其它用户也可以访问,这样是不合理不安全的. 根据上述情况,我们就要引入文件访问控制列表了. facl: filesystem access control list 利用文件扩展保存额外的控制权限,其它人的权限可以不改变,但是我们可以明确规定一个文件可以被哪些用户访问. setfacl: 这里显示的是基本权限,

getfacl,setfacl命令--ACL文件访问控制

getfacl显示文件访问控制列表 getfacl语法参数 getfacl [-dRLPvh] file... getfacl [-dRLPvh] --omit-header 过滤文件系统默认权限 -R 递归操作 示例: [[email protected] ~]# getfacl file # file: file # owner: ley # group: ley user::rwx group::--- other::--- 说明:带#号的是系统默认权限,下面的才是ACL控制权限 [[em

linux_文件访问控制列表(facl)

文件系统访问列表:FACL: Filesystem Access Control List  利用文件拓展属性保存额外的控制权限    文件访问安全上下文    owner --> group --> other    owner --> facl,user --> group --> facl,group --> other setfacl :    -m :附加额外的访问控制列表         u:user_name:perm         g:group_na

文件访问控制列表

引入场景: tom创建的文件:属主为tom:属组为tom的基本组 Jerry想要访问tom创建的文件:则需要other有rw-的权限:这样做是很危险的 另一个方法就是将该文件的属主改为Jerry,但是普通用户tom是不能执行命令chown 这就引入了FACL的概念 FACL:文件访问控制列表 利用文件扩展属性保存额外的访问控制权限 setfacl:设置facl -m:设定额外的访问控制列表 u:UID:perm g:GID:perm -x:取消定义的额外的访问控制列表 u:UID g:GID -

权限及文件访问控制

首先,还是要从用户账户的作用出发: 用户账户的作用:证实操作者的身份 不允许任何人都以管理的身份来对计算机资源进行使用,这样会使计算机的安全性特别低. 其次,用户账户通过之后,我们要对于不同的用户账户进行不同的授权(权限) 例如:超级用户(root),拥有对于计算机的资源拥有所有权 普通账户(user1,user2,...),拥有指定赋予的权限. 文件系统的权限管理: 普通权限 特殊权限 文件的扩展属性 FACL(文件系统访问控制列表) 我们把这4个部分组成的一套体系称为:DAC(自主访问控制)

用户和组管理权限及文件访问控制

与用户账户和组帐户相关的文件: 1./etc/passwd 2./etc/group 3./etc/shadow 4./etc/gshadow 5./etc/default/useradd 6./etc/login.defs 7./etc/skel(Directory) 1./etc/passwd: root:x:0:0:root:/root:/bin/bash 1  2 3 4  5   6    7 1:用户账户登录名称: 2:使用"x"表示密码占位符: 3:用户账户的UID: 4

Linux学习命令汇总九——任务计划调度atd,crond及文件访问控制列表

本章Blog相关Linux知识点 linux 任务计划: 一次性任务计划命令: at ,batch ,依赖进程atd 周期性任务计划命令:crontab ,anacron ,依赖进程crond at,batch命令及选项 at,batch是可以处理进执行一次就结束调度的命令.不过在执行at时,必须有atd服务支持才行 .若atd默认未启动,则at命令就会失效 .batch是利用at来进行命令的执行,系统空闲时才执行后台任务 . 交互式:让用户在at> 提示符输入多个要执行的命令 批处理:将任务的

文件权限二(特殊权限、隐藏属性、文件访问控制列表、切换用户方式)

文件特殊权限:SUID:将文件执行者临时获取所以者权限:U=user 用户命令格式:chmod u + s 文件SGID:临时获取所有组权限:G=group 组命令格式:chmod g + s 文件SBIT:只能自己删除自己的文件,因为SBIT保护位将文件保护起来命令格式:chmod o + t 文件 注意:文件/目录用数字4位表示,其中第一位表示是否有特殊权限,第2-4位表示一般权限或特殊权限转换后的值.通过用数字的方式表示权限可以使设置用户(或文件.目录)权限时,更加方便,不用去记9位的rw