某些系统账号希望对某一些文件有管理权限,有三种方法:
1 加入属主所在的同一个组中,这等于扩大了访问其他文件的权限了。
2 加入other中,这样权限放开的更大了。
3 给文件的sudo权限。
4 采用acl策略。
前三种方法都有自己的缺点,最终考虑使用acl。
所谓ACL,就是Access Control List,一个文件/目录的访问控制列表,可以针对任意指定的用户/组分配RWX权限。此功能
需要内核的支持,在linux 2.6以后默认加入内核中。
acl由一系列的访问控制权限组成,主要的有如下:
ACL_USER_OBJ: 相当于Linux里file_owner的权限
ACL_USER: 定义了额外的用户可以对此文件拥有的权限
ACL_GROUP_OBJ: 相当于Linux里group的权限
ACL_GROUP: 定义了额外的组可以对此文件拥有的权限
ACL_MASK: 定义了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大权限
ACL_OTHER: 相当于Linux里other的权限
查看内核版本 uname -a
查看是否安装acl dumpe2fs |grep "Default mount iptions"
在设置acl规则前我们先了解一下设置acl常用的选项:
-b,--remove-all
删除所有扩展的acl规则,基本的acl规则(所有者,群组,其他)将被保留。
-k,--remove-default
删除缺省的acl规则。如果没有缺省规则,将不提示。
-n,--no-mask
不要重新计算有效权限。setfacl默认会重新计算ACL mask,除非mask被明确的制定。
--mask
重新计算有效权限,即使ACL mask被明确指定。
-d,--default
设定默认的acl规则。
--restore=file
从文件恢复备份的acl规则(这些文件可由getfacl -R产生)。通过这种机制可以恢复整个目录树的acl规则。此参数不能和除--test以外的任何参数一同执行。
--test
测试模式,不会改变任何文件的acl规则,操作后的acl规格将被列出。
-R,--recursive
递归的对所有文件及目录进行操作。
-P,--physical
跳过所有符号链接,包括符号链接文件。
-m -x -M -X
-m -x 是在设置acl所需要定义的选项,-m 表示设置acl ,-x 表示删除acl规则
-M -X 则可以在文件中读入acl规则,使相应的规则生效
用cp来复制文件的时候我们现在可以加上-p选项.这样在拷贝文件的时候也将拷贝文件的ACL属性.对于不能拷贝的ACL属性将给出警告
mv命令将会默认地移动文件的ACL属性. 同样如果操作不允许的情况下会给出警告
开始设置规则:
以root 用户建立一个文件a.txt,设置权限只有root可读
通过acl,给niu用户增加可读权限
设置acl之前:
设置acl:此时 ls -l 后面会多出个 + 号
设置acl之后:niu 用户可以读取a.txt的内容
在acl的mask不存在的情况下,权限位的第二组才表示组的权限,如果acl中存在mask,则第二组权限位代表mask值,mask规定了ACL_USER, ACL_GROUP和ACL_GROUP_OBJ的最大值,在设置的权限相冲突的情况下以设置的mask为主
例如: 设置acl 用户niu 对a.txt 有rw权限,设置mask 位r 。结果应该是用户牛对a.txt只有读权限
验证:只可读不可写
把mask改为rw,结果应该是用户niu 具有读写权限
删除acl,也可以从文件中恢复文件原有的acl规则,如下:先保存规则到一个文件中
恢复acl
