ACL-一个精确设置linux权限的神器

Linux的权限简单啊,就像最单纯的人际关系,我的东西我说了算,能不能用我的东西我都规定好了,我、我们、它们,比windows不知简单到哪里去了,而这也能解决大部分的权限问题。

嗯,keep simple,keep stupid。

But,事情并不会这么简单,就如同不存在简单的人际关系一样,某些时候需要存在着复杂的关系链,同一个东西,一部分人可以让你用,但对于另一部分人,对不起,你只能看不能摸,就算打我也没用。

ACL(Access Control List)就是个这么个东西,针对不同用户对同一个目录或文件设定不同的权限,以此来实现精确地权限分配

目前大多数Linux文件系统均支持ACL,如果你用了一个不常见的文件系统,Search it

各大发行版基本上都提供了ACL的软件包,自行安装即可

示例:

采用Ubuntu 16.04系统

根目录下存在test文件夹,建立testrwx与userrx用户,前者分配rwx权限,后者分配rx权限

apt install install acl -y

使用mount命令查看ACL是否开启,没有开启则修改/etc/fstab文件,添加acl的options项

注:Ubuntu16.04不需要此步骤,默认即可用,其它发行版未测试

acl命令也很简单:


setfacl --help
setfacl 2.2.52 -- 设定文件访问控制列表
用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m, --modify=acl 更改文件的访问控制列表
-M, --modify-file=file 从文件读取访问控制列表条目更改
-x, --remove=acl 根据文件中访问控制列表移除条目
-X, --remove-file=file 从文件读取访问控制列表条目并删除
-b, --remove-all 删除所有扩展访问控制列表条目
-k, --remove-default 移除默认访问控制列表
--set=acl 设定替换当前的文件访问控制列表
--set-file=file 从文件中读取访问控制列表条目设定
--mask 重新计算有效权限掩码
-n, --no-mask 不重新计算有效权限掩码
-d, --default 应用到默认访问控制列表的操作
-R, --recursive 递归操作子目录
-L, --logical 依照系统逻辑,跟随符号链接
-P, --physical 依照自然逻辑,不跟随符号链接
--restore=file 恢复访问控制列表,和“getfacl -R”作用相反
--test 测试模式,并不真正修改访问控制列表属性
-v, --version 显示版本并退出
-h, --help 显示本帮助信息

getfacl --help
getfacl 2.2.52 -- 获取文件访问控制列表
使用方法: getfacl [-aceEsRLPtpndvh] 文件 ...
-a, --access 仅显示文件访问控制列表
-d, --default 仅显示默认的访问控制列表
-c, --omit-header 不显示注释表头
-e, --all-effective 显示所有的有效权限
-E, --no-effective 显示无效权限
-s, --skip-base 跳过只有基条目(base entries)的文件
-R, --recursive 递归显示子目录
-L, --logical 逻辑遍历(跟随符号链接)
-P, --physical 物理遍历(不跟随符号链接)
-t, --tabular 使用制表符分隔的输出格式
-n, --numeric 显示数字的用户/组标识
-p, --absolute-names 不去除路径前的 '/' 符号
-v, --version 显示版本并退出
-h, --help 显示本帮助信息

设定权限


setfacl -m u:testrwx:rwx /test/
setfacl -m u:userrx:rx /text/

查看acl权限设置

此时ls -l命令输出也有了变化

 

发表评论

电子邮件地址不会被公开。 必填项已用*标注