LINUX ACL 学习笔记.docx
- 文档编号:8237911
- 上传时间:2023-01-30
- 格式:DOCX
- 页数:12
- 大小:20.51KB
LINUX ACL 学习笔记.docx
《LINUX ACL 学习笔记.docx》由会员分享,可在线阅读,更多相关《LINUX ACL 学习笔记.docx(12页珍藏版)》请在冰豆网上搜索。
LINUXACL学习笔记
LINUXACL学习笔记
一、为什么要使用ACL
先让我们来简单地复习一下Linux的文件权限。
在linux下,对一个文件(或者资源)可以进行操作的对象被分为三类:
fileowner(文件
的拥有者),group(组,注意不一定是文件拥有者所在的组),other(其他)而对于每一类
别又分别定义了read,writeandexecute/search权限(这里不讨论SUID,SGID以及
Stickybit的设置)
通过ls-l命令就我们就可以列出一个文件的权限
代码:
[leonard@localhost~]$ls-l
-rw-rw----1leonardadmin0Jul320:
12test.txt
在这里说明了对于test.txt这个文件leonard用户(由于是fileowner)拥有read&write
权限.所有属于admin组的用户(group)拥有read&write权限.其他任何用户(other)
对于文件没有任何的权限
如果我们现在希望john这个用户也可以对test.txt文件进行读写操作.我自己大概会想到
以下几种办法(这里假设john不属于admingroup)
1.给文件的other类别增加读和写的权限.这样由于john会被归为other类别,那么
他也将拥有读写的权限。
2.将john加入到admingroup.那么john会被归为group类别,那么他将拥有读写的权限。
3.设置sudo,使john能够以leonard的身份对test.txt进行操作,从而获得读写权限。
第一种做法的问题在于所有用户都将对test.txt拥有读写操作,显然这种做法不可取。
第二种做法的问题在于john被赋予了过多的权限.所有属于admin组的文件,john都可以拥
有其等同的权限了。
第三种做法虽然可以达到只限定john用户一人拥有对test.txt文件的读写权限.但是需要
对sudoers文件进行严格的格式控制.而且当文件数量和用户很多的时候,这种方法就相当
地不灵活了。
看来好像都没有一个很好的解决方案.其实问题就出在Linux文件权限里面,对于other的
定义过于广泛,以至于很难把权限限定于一个不属于fileowner和group的用户身上.那么
AccessControlList(ACL)就是用来帮助我们解决这个问题的。
简单地来说ACL就是可以设置特定用户或者用户组对于一个文件/文件夹的操作权限.需要
掌握的命令也只有三个:
getfacl,setfacl,chacl
在接下去讨论之前大家可以先安装上ACL的RPM包
代码:
#rpm-ivhlibacl-2.2.39-1.1acl-2.2.39-1.1.i386.rpm
如果配置好了yum可以直接安装这两个包
#yum-yinstalllibaclacl
另外还需要磁盘分区的支持
永久启用acl。
我这里以自己的分区/data为例
#vi/etc/fstab
LABEL=/data /data ext3 defaults,acl 12
在启用了acl参数之后重新加载/data分区
#mount-oremount/data
#cat/etc/mtab|grep/data
/dev/sda5/dataext3rw,acl00
出现上面的信息代表分区的acl功能已经正常加载
二、ACL的名词定义
先来看看在ACL里面每一个名词的定义.这些名词我大多从manpage上摘下来虽然有些枯燥,
但是对于理解下面的内容还是很有帮助的
ACL是由一系列的AccessEntry所组成的.每一条AccessEntry定义了特定的类别可以对
文件拥有的操作权限.AccessEntry有三个组成部分:
Entrytagtype,qualifier
(optional),权限
我们先来看一下最重要的Entrytagtype,它有以下几个类型
ACL_USER_OBJ:
相当于Linux里file_owner的权限
ACL_USER:
定义了额外的用户可以对此文件拥有的权限
ACL_GROUP_OBJ:
相当于Linux里group的权限
ACL_GROUP:
定义了额外的组可以对此文件拥有的权限
ACL_MASK:
定义了ACL_USER,ACL_GROUP_OBJ和ACL_GROUP的最大权限(这个我下面还会专门讨论)
ACL_OTHER:
相当于Linux里other的权限
让我们来据个例子说明一下.下面我们就用getfacl命令来查看一个定义好了的ACL文件
代码:
[root@zyq-serverdata]#getfacltest.txt
#file:
test.txt
#owner:
root
#group:
family
user:
:
rw-
user:
zyq:
rw-
group:
:
rw-
group:
jackuser:
rw-
mask:
:
rw-
other:
:
---
前面三个以#开头的定义了文件名,文件所有者和文件拥有组.这些信息没有太大的作用,我
们可以用--omit-header来省略掉
user:
:
rw-定义了ACL_USER_OBJ,说明fileowner拥有读和写的权限
user:
zyq:
rw-定义了ACL_USER,这样用户zyq就拥有了对文件的读写权限,实现了我们一开始要达到的目的
group:
:
rw-定义了ACL_GROUP_OBJ,说明文件的group拥有read和write权限
group:
jackuser:
rw-定义了ACL_GROUP,使得jackuser组拥有了对文件的read和write权限
mask:
:
rw-定义了ACL_MASK的权限为readandwrite
other:
:
---定义了ACL_OTHER的没有任何权限操作此文件
从这里我们就可以看出ACL提供了我们可以定义特定用户和用户组的功能.那么接下来我们就来
看一下如何设置一个文件的ACL
三、如何设置ACL文件
首先我们还是要讲一下设置ACL文件的格式.从上面的例子中我们可以看到每一个AccessEntry
都是由三个被:
号分隔开的字段所组成.第一个就是Entrytagtype
user对应了ACL_USER_OBJ和ACL_USER
group对应了ACL_GROUP_OBJ和ACL_GROUP
mask对应了ACL_MASK
other对应了ACL_OTHER
第二个字段称之为qualifier.也就是上面例子中的zyq和jackuser组.它定义了特定用户和用户组
对于文件的权限.这里我们也可以发现只有user和group才有qualifier,其他的都为空
第三个字段就是我们熟悉的权限了.它和Linux的权限一样定义,这里就不多讲了
下面我们就来看一下怎么设置test.txt这个文件的ACL让它来达到我们上面的要求
一开始文件没有ACL的额外属性
代码:
[root@zyq-serverdata]#lltest.txt
-rw-r--r--1rootroot012-2722:
55test.txt
[root@zyq-serverdata]#getfacltest.txt
#file:
test.txt
#owner:
root
#group:
root
user:
:
rw-
group:
:
r--
other:
:
r--
[root@zyq-serverdata]#getfacl-ctest.txt
user:
:
rw-
group:
:
r--
other:
:
r--
我们先让用户zyq拥有对test.txt文件的读写权限
代码:
[root@zyq-serverdata]#setfacl-mu:
zyq:
rwtest.txt
[root@zyq-serverdata]#getfacl-ctest.txt
user:
:
rw-
user:
zyq:
rw-
group:
:
r--
mask:
:
rw-
other:
:
r--
这时我们就可以看到zyq用户在ACL里面已经拥有了对文件的读写权限.这个时候如果我们
查看一下linux的权限我们还会发现一个不一样的地方
代码:
[root@zyq-serverdata]#lltest.txt
-rw-rw-r--+1rootroot012-2722:
55test.txt
在文件权限的最后多了一个+号.当任何一个文件拥有了ACL_USER或者ACL_GROUP的值以后我
们就可以称它为ACL文件.这个+号就是用来提示我们的
我们还可以发现当一个文件拥有了ACL_USER或者ACL_GROUP的值时ACL_MASK同时也会被定义
接下来我们来设置jackuser组拥有read权限
代码:
[root@zyq-serverdata]#lltest.txt
-rw-rw-r--+1rootroot012-2722:
55test.txt
[root@zyq-serverdata]#
[root@zyq-serverdata]#setfacl-mg:
jackuser:
rtest.txt
[root@zyq-serverdata]#getfacl-ctest.txt
user:
:
rw-
user:
zyq:
rw-
group:
:
r--
group:
jackuser:
r--
mask:
:
rw-
other:
:
r--
[root@zyq-serverdata]#lltest.txt
-rw-rw-r--+1rootroot012-2722:
55test.txt
到这里就完成了我们上面讲到的要求.是不是很简单呢
四、ACL_MASK和Effective权限
这里需要重点讲一下ACL_MASK,因为这是掌握ACL的另一个关键
在Linux文件权限里面大家都知道比如对于rw-rw-r--来说,第二组中的那个rw-是指文件
组的权限.但是在ACL里面这种情况只是在ACL_MASK不存在的情况下成立.如果文件有ACL_MASK
值,那么当中那个rw-代表的就是mask值而不再是group权限了
让我们来看下面这个例子
代码:
[root@zyq-serverdata]#lltest.sh
-rwxrw-r--1rootfamily012-2723:
04test.sh
这里说明test.sh文件只有fileowner:
root拥有read,write,execute/search权限.Family
组只有读和写的权限。
现在我们想让用户zyq也对test.sh具有和root一样的权限。
代码:
[root@zyq-serverdata]#setfacl -mu:
zyq:
rwxtest.sh
[root@zyq-serverdata]#getfacl-ctest.sh
user:
:
rwx
user:
zyq:
rwx
group:
:
rw-
mask:
:
rwx
other:
:
r--
这里我们看到zyq已经拥有了rwx的权限.mask值也被设定为rwx.那是因为它规定了ACL_USER,
ACL_GROUP和ACL_GROUP_OBJ的最大值
现在我们再来看test.sh的Linux权限,它已经变成了
代码:
[root@zyq-serverdata]#lltest.sh
-rwxrwxr--+1rootfamily012-2723:
04test.sh
那么如果现在family组的用户想要执行test.sh的程序会发生什么情况呢?
它会被权限deny.原
因在于实际上family组的用户只有读和写的权限.这里当中显示的rwx是ACL_MASK的值而不是group
的权限
所以从这里我们就可以知道,如果一个文件后面有+标记,我们都需要用getfacl来确认它的权
限,以免发生混淆
下面我们再来继续看一个例子
假如现在我们设置test.sh的mask为readonly,那么family组的用户还会有write权限吗?
代码:
[root@zyq-serverdata]#setfacl-mmask:
:
rtest.sh
[root@zyq-serverdata]#getfacl-ctest.sh
user:
:
rwx
user:
zyq:
rwx #effective:
r--
group:
:
rw- #effective:
r--
mask:
:
r--
other:
:
r--
这时候我们可以看到ACL_USER和ACL_GROUP_OBJ旁边多了个#effective:
r--,这是什么意思呢?
让我们再来回顾一下ACL_MASK的定义.它规定了ACL_USER,ACL_GROUP_OBJ和ACL_GROUP的最大
权限.那么在我们这个例子中他们的最大权限也就是readonly.虽然我们这里给ACL_USER和ACL_GROUP_OBJ
设置了其他权限,但是他们真正有效果的只有read权限.
这时我们再来查看test.sh的Linux文件权限时它的group权限也会显示其mask的值(i.e.r--)
代码:
[root@zyq-serverdata]#lltest.sh
-rwxr--r--+1rootfamily012-2723:
04test.sh
五、DefaultACL
上面我们所有讲的都是AccessACL,也就是对文件而言.下面我简单讲一下DefaultACL.DefaultACL
是指对于一个目录进行DefaultACL设置,并且在此目录下建立的文件都将继承此目录的ACL
同样我们来做一个试验说明
比如现在leonard用户建立了一个dir目录
代码:
[root@zyq-serverdata]$mkdirmydir
我希望所有在此目录下建立的文件都可以被smbuser用户所访问.那么我们就应该对mydir目录设置DefaultACL
我先利用root用户在/data/创建一个mydir的文件夹,然后将这个文件夹的defaultuser权限设置为smbuser可以rw-以root身份在mydir目录下创建一个test.txt的文件。
其他的不做限制,然后切换到smbuser。
发现smbuser用户可以修改test.txt文件中的内容但是无法在mydir目录中创建和删除文件/文件夹
代码:
[root@zyq-serverdata]#id
uid=0(root)gid=0(root)groups=0(root)
[root@zyq-serverdata]#llmydir/
总计0
[root@zyq-serverdata]#getfaclmydir/
#file:
mydir/
#owner:
root
#group:
root
user:
:
rwx
group:
:
r-x
other:
:
r-x
[root@zyq-serverdata]#setfacl-md:
smbuser:
rwmydir/
[root@zyq-serverdata]#getfaclmydir/
#file:
mydir/
#owner:
root
#group:
root
user:
:
rwx
group:
:
r-x
other:
:
r-x
default:
user:
:
rwx
default:
user:
smbuser:
rw-
default:
group:
:
r-x
default:
mask:
:
rwx
default:
other:
:
r-x
[root@zyq-serverdata]#cdmydir/
[root@zyq-servermydir]#touchtest.txt
[root@zyq-servermydir]#su-smbuser
[smbuser@zyq-server~]$cd/data/mydir/
[smbuser@zyq-servermydir]$toucha
touch:
无法创建“a”:
权限不够
[smbuser@zyq-servermydir]$rmtest.txt
rm:
无法删除“test.txt”:
权限不够
[smbuser@zyq-servermydir]$echohelloworld>>test.txt
[smbuser@zyq-servermydir]$cattest.txt
helloworld
这里我们可以看到ACL定义了default选项,smbuser用户拥有了default的read,write,excute/search权限.但是却无法删除和创建文件。
经过试验,发现还必须将mydir目录的ACL_USER修改为smbuser后,切换到smbuser用户才能够在mydir目录中创建和删除文件/文件夹
[root@zyq-serverdata]#setfacl -mu:
smbuser:
rwxmydir/
[root@zyq-serverdata]#getfacl-cmydir/
user:
:
rwx
user:
smbuser:
rwx
group:
:
r-x
mask:
:
rwx
other:
:
r-x
default:
user:
:
rwx
default:
user:
smbuser:
rw-
default:
group:
:
r-x
default:
mask:
:
rwx
default:
other:
:
r-x
[root@zyq-serverdata]#su-smbuser
[smbuser@zyq-server~]$cd/data/mydir/
[smbuser@zyq-servermydir]$toucha
[smbuser@zyq-servermydir]$ll
总计4
-rw-rw-r--+1smbuserfamily 012-2723:
43a
-rw-rw-r--+1root root 1912-2723:
33test.txt
[smbuser@zyq-servermydir]$rm*-rf
[smbuser@zyq-servermydir]$
下面的试验我们看到在mydir下建立的文件或文件夹都自动的加上了default的权限
[root@zyq-servermydir]#su-smbuser
[smbuser@zyq-server~]$cd/data/mydir/
[smbuser@zyq-servermydir]$ll
总计0
-rw-rw-r--+1rootroot012-2723:
48a
-rw-rw-r--+1rootroot012-2723:
48test.tt
[smbuser@zyq-servermydir]$rm*-rf
[smbuser@zyq-servermydir]$touchtest.txt
[smbuser@zyq-servermydir]$ll
总计0
-rw-rw-r--+1smbuserfamily012-2723:
48test.txt
[smbuser@zyq-servermydir]$getfacl-ctest.txt
user:
:
rw-
user:
smbuser:
rw-
group:
:
r-x #effective:
r--
mask:
:
rw-
other:
:
r--
[smbuser@zyq-servermydir]$mkdirsmbuserdir
[smbuser@zyq-servermydir]$getfacl-csmbuserdir/
user:
:
rwx
user:
smbuser:
rw-
group:
:
r-x
mask:
:
rwx
other:
:
r-x
default:
user:
:
rwx
default:
user:
smbuser:
rw-
default:
group:
:
r-x
default:
mask:
:
rwx
default:
other:
:
r-x
[smbuser@zyq-servermydir]$ll
总计4
drwxrwxr-x+2smbuserfamily409612-2723:
49smbuserdir
-rw-rw-r--+1smbuserfamily 012-2723:
48test.txt
六、ACL相关命令
前面的例子中我们都注意到了getfacl命令是用来读取文件的ACL,setfacl是用来设定文件的AcessACL.这里还有一个chacl是用来改变文件和目录的AccessACLandDefaultACL.它的具体参数大家可以去看manpage.我只想提及一下chacl-B.它可以彻底删除文件或者目录的ACL属性(包括DefaultACL).比如你即使用了setfacl-x删除了所有文件的ACL属性,那个+号还是会出现在文件的末尾.所以正确的删除方法应该是用chacl-B
用cp来复制文件的时候我们现在可以加上-p选项.这样在拷贝文件的时候也将拷贝文件的ACL属性.对于不能拷贝的ACL属性将给出警告
mv命令将会默认地移动文件的ACL属性.同样如果操作不允许的情况下会给出警告
七.需要注意的几点
如果你的文件系统不支持ACL的话,你也许需要重新mount你的filesystem
mount-oremount,acl[mountpoint]
如果用chmod命令改变Linux文件权限的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- LINUX ACL 学习笔记 学习 笔记
![提示](https://static.bdocx.com/images/bang_tan.gif)