原文:https://www.cnblogs.com/ZhangShuo/articles/1836971.html
先看这么一个文件:
[leonard@localhost ~]$ ls -l-rw-rw---- 1 leonard admin 0 Jul 3 20:12 test.txt
如果想让john这个用户也可以对test.txt文件进行读写操作. 有以下几种办法
给文件的other组增加读和写的权限. 这样由于john会被归为other类别,那么他也将拥有读写的权限。将john加入到admin组. 那么john会被归为group组,那么他将拥有读写的权限。设置sudo, 使john能够以leonard的身份对test.txt进行操作,从而获得读写权限。第一种做法的问题在于所有用户都将对test.txt拥有读写操作,显然这种做法不可取。
第二种做法的问题在于john被赋予了过多的权限.所有属于admin组的文件,john都可以拥有其等同的权限了。
第三种做法虽然可以达到只限定john用户一人拥有对test.txt文件的读写权限.但是需要对sudoers文件进行严格的格式控制. 而且当文件数量和用户很多的时候,这种方法就相当地不灵活了。
看来好像都没有一个很好的解决方案. 其实问题就出在Linux 文件权限里面,对于other的定义过于广泛,以至于很难把权限限定于一个不属于owner和group组的用户身上.
ACL就是用来帮助我们解决这个问题的。
简单地来说ACL就是可以设置特定用户或者用户组对于一个文件/文件夹的操作权限.
1、安装
# yum -y install libacl acl
2、永久启用
# vi /etc/fstabLABEL=/data /data ext3 defaults,acl 1 2
3、重新加载/data分区# mount -o remount /data
4、查看# cat /etc/mtab | grep /data/dev/sda5 /data ext3 rw,acl 0 0
举例:
[root@zyq-server data]# getfacl test.txt# file: test.txt# owner: root# group: familyuser::rw-user:zyq:rw-group::rw-group:jackuser:rw-mask::rw-other::---
说明:
user::rw- 定义了ACL_USER_OBJ, 说明file owner拥有读和写的权限user:zyq:rw- 定义了ACL_USER,这样用户zyq就拥有了对文件的读写权限,实现了我们一开始要达到的目的group::rw- 定义了ACL_GROUP_OBJ,说明文件的group拥有read和write 权限group: jackuser:rw- 定义了ACL_GROUP,使得jackuser组拥有了对文件的read 和write权限mask::rw- 定义了ACL_MASK的权限为read and writeother::--- 定义了ACL_OTHER的没有任何权限操作此文件
1、用户zyq拥有读写权限
[root@zyq-server data]# setfacl -m u:zyq:rw test.txt[root@zyq-server data]# getfacl -c test.txt user::rw-user:zyq:rw-group::r--mask::rw-other::r--
当一个文件拥有了ACL_USER或者ACL_GROUP的值时,ACL_MASK同时也会被定义
2、jackuser组拥有read 权限
[root@zyq-server data]# setfacl -m g:jackuser:r test.txt
3、ACL_MASK 和 Effective 权限
(1)在Linux 文件权限里,对于rw-rw-r--来说, 第二组中的那个rw-是指文件组的权限. 但是文件有ACL_MASK值,那么当中那个rw-代表的就是mask值而不再是group 权限了
[root@zyq-server data]# ll test.sh-rwxrw-r-- 1 root family 0 12-27 23:04 test.sh
让用户zyq也对test.sh具有和root一样的权限。
[root@zyq-server data]# setfacl -m u:zyq:rwx test.sh[root@zyq-server data]# getfacl -c test.shuser::rwxuser:zyq:rwxgroup::rw-mask::rwxother::r--
[root@zyq-server data]# ll test.sh-rwxrwxr--+ 1 root family 0 12-27 23:04 test.sh
如果现在family组的用户想要执行test.sh的程序,它会被权限 deny.原因在于实际上family组的用户只有读和写的权限.这里当中显示的rwx是ACL_MASK的值而不是group的权限
(2)假如现在我们设置test.sh的mask为read only,那么family组的用户还会有write 权限吗?
[root@zyq-server data]# setfacl -m mask::r test.sh[root@zyq-server data]# getfacl -c test.shuser::rwxuser:zyq:rwx #effective:r--group::rw- #effective:r--mask::r--other::r--
ACL_USER和ACL_GROUP_OBJ旁边多了个#effective:r--, 这是什么意思呢?
让 我们再来回顾一下ACL_MASK的定义. 它规定了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大权限.那么在我们这个例子中他们的最大权限也就是read only.虽然我们这里给ACL_USER和ACL_GROUP_OBJ设置了其他权限,但是他们真正有效果的只有read权限.
这时我们再来查看test.sh的Linux 文件权限时它的group 权限也会显示其mask的值(i.e. r--)
[root@zyq-server data]# ll test.sh-rwxr--r--+ 1 root family 0 12-27 23:04 test.sh
4、 Default ACL,对目录设置acl
在此目录下建立的文件都将继承此目录的ACL
举例:
比如现在leonard用户建立了一个dir目录
[root@zyq-server data]$ mkdir mydir
我希望所有在此目录下建立的文件都可以被smbuser用户所访问. 那么我们就应该对mydir目录设置Default ACL
我 先利用root用户在/data/创建一个mydir的文件夹,然后将这个文件夹的default user权限设置为smbuser可以rw- ,
[root@zyq-server data]# iduid=0(root) gid=0(root) groups=0(root)[root@zyq-server data]# ll mydir/总计 0[root@zyq-server data]# getfacl mydir/# file: mydir/# owner: root# group: rootuser::rwxgroup::r-xother::r-x
[root@zyq-server data]# setfacl -m d:smbuser:rw mydir/[root@zyq-server data]# getfacl mydir/# file: mydir/# owner: root# group: rootuser::rwxgroup::r-xother::r-xdefault:user::rwxdefault:user:smbuser:rw-default:group::r-xdefault:mask::rwxdefault:other::r-x
以root身份在mydir目录下创建一个test.txt的文件。其他的不做限制,然后切换到smbuser。发现smbuser用户可以修改 test.txt文件中的内容但是无法在mydir目录中创建和删除文件/文件夹
[root@zyq-server data]# cd mydir/[root@zyq-server mydir]# touch test.txt[root@zyq-server mydir]# su - smbuser[smbuser@zyq-server ~]$ cd /data/mydir/[smbuser@zyq-server mydir]$ touch atouch: 无法创建 “a”: 权限不够[smbuser@zyq-server mydir]$ rm test.txtrm: 无法删除 “test.txt”: 权限不够[smbuser@zyq-server mydir]$ echo hello world>>test.txt[smbuser@zyq-server mydir]$ cat test.txthello world
这 里我们可以看到ACL定义了default选项, smbuser用户拥有了default的read, write, excute/search 权限.但是却无法删除和创建文件。经过试验,发现还必须将mydir目录的ACL_USER修改为smbuser后,切换到smbuser用户才能够在 mydir目录中创建和删除文件/文件夹
[root@zyq-server data]# setfacl -m u:smbuser:rwx mydir/[root@zyq-server data]# getfacl -c mydir/user::rwxuser:smbuser:rwxgroup::r-xmask::rwxother::r-xdefault:user::rwxdefault:user:smbuser:rw-default:group::r-xdefault:mask::rwxdefault:other::r-x
[root@zyq-server data]# su - smbuser[smbuser@zyq-server ~]$ cd /data/mydir/[smbuser@zyq-server mydir]$ touch a[smbuser@zyq-server mydir]$ ll总计 4-rw-rw-r--+ 1 smbuser family 0 12-27 23:43 a-rw-rw-r--+ 1 root root 19 12-27 23:33 test.txt[smbuser@zyq-server mydir]$ rm * -rf[smbuser@zyq-server mydir]$
下面的试验我们看到在mydir下建立的文件或文件夹都自动的加上了default的权限
[root@zyq-server mydir]# su - smbuser[smbuser@zyq-server ~]$ cd /data/mydir/[smbuser@zyq-server mydir]$ ll总计 0-rw-rw-r--+ 1 root root 0 12-27 23:48 a-rw-rw-r--+ 1 root root 0 12-27 23:48 test.tt[smbuser@zyq-server mydir]$ rm * -rf[smbuser@zyq-server mydir]$ touch test.txt[smbuser@zyq-server mydir]$ ll总计 0-rw-rw-r--+ 1 smbuser family 0 12-27 23:48 test.txt[smbuser@zyq-server mydir]$ getfacl -c test.txtuser::rw-user:smbuser:rw-group::r-x #effective:r--mask::rw-other::r--
[smbuser@zyq-server mydir]$ mkdir smbuserdir[smbuser@zyq-server mydir]$ getfacl -c smbuserdir/user::rwxuser:smbuser:rw-group::r-xmask::rwxother::r-xdefault:user::rwxdefault:user:smbuser:rw-default:group::r-xdefault:mask::rwxdefault:other::r-x
[smbuser@zyq-server mydir]$ ll总计 4drwxrwxr-x+ 2 smbuser family 4096 12-27 23:49 smbuserdir-rw-rw-r--+ 1 smbuser family 0 12-27 23:48 test.txt
转载于:https://www.cnblogs.com/fanren224/p/8597404.html
相关资源:手机号码定位