Linux访问控制列表(Access Control List,简称ACL)

                                           作者:尹正杰

版权声明:原创作品,谢绝转载!否则将追究法律责任。

一.ACL概述

  ACL:Access Control List,实现灵活的权限管理

  
  除了文件的所有者,所属组和其它人,可以对更多的用户设置权限

  
  CentOS7 默认创建的xfs和ext4文件系统具有ACL功能

  
  CentOS7 之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加

    tune2fs –o acl /dev/sdb1

    mount –o acl /dev/sdb1 /mnt/test

  
  ACL生效顺序:所有者,自定义用户,自定义组,其他人

二.为jason用户对某个文件设置ACL权限

[root@node101.yinzhengjie.org.cn ~]# ll /data/

total

-rw-r--r--.  jason devops   Sep  : jason.txt

-rw-r--r--.  root  devops  Sep  : root.txt

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl -m u:jason:- /data/root.txt       #这里我们对jason用户设置的权限为空("-"),即无权限访问"/data/root.txt"文件。

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ll /data/

total

-rw-r--r--.  jason devops   Sep  : jason.txt

-rw-r--r--+  root  devops  Sep  : root.txt                    #大家注意,该文件设置后属性后面的"."变成了"+",说明设置ACL权限啦

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt                #我们可以使用该命令查看相应的ACL设置

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: devops

user::rw-

user:jason:---    #我们发现jason用户对该文件的权限为0

group::r--

mask::r--

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# su -l jason

Last login: Tue Sep  :: PDT  on pts/

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ ll /data/root.txt

-rw-r--r--+  root devops  Sep  : /data/root.txt

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ cat /data/root.txt

cat: /data/root.txt: Permission denied

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ echo "尹正杰到此一游">> /data/root.txt

-bash: /data/root.txt: Permission denied

[jason@node101.yinzhengjie.org.cn ~]$

三.为属组对某个文件设置ACL权限

[root@node101.yinzhengjie.org.cn ~]# groupadd devops

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# id jason

uid=(jason) gid=(jason) groups=(jason)

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# usermod -G devops  jason          #为了测试,我们将jason用户加入devops组

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# id jason

uid=(jason) gid=(jason) groups=(jason),(devops)

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ll /data/

total

-rw-r--r--.  root root  Oct   : root.txt

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/

getfacl: Removing leading '/' from absolute path names

# file: data/

# owner: root

# group: root

# flags: --t

user::rwx

group::r-x

other::rwx

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

group::r--

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# su -l jason

Last login: Wed Oct   :: CST  on pts/

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ cat /data/root.txt

尹正杰到此一游

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ echo "jason到此一游" >> /data/root.txt         #我们发现没有设置ACL权限无法写入数据。

-bash: /data/root.txt: Permission denied

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ exit

logout

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl -m g:devops:rw /data/root.txt         #我们为devops组添加读写权限

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

group::r--

group:devops:rw-

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[jason@node101.yinzhengjie.org.cn ~]$ echo "jason到此一游" >> /data/root.txt          #再次写入数据,发现数据写入成功啦!

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ cat /data/root.txt

尹正杰到此一游

jason到此一游

[jason@node101.yinzhengjie.org.cn ~]$

四.将一个文件的权限复制给另一个文件权限

[root@node101.yinzhengjie.org.cn ~]# setfacl -m u:jason:rw /data/root.txt

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

user:jason:rw-

group::r--

group:devops:rw-

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# touch /data/a.txt

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt

getfacl: Removing leading '/' from absolute path names

# file: data/a.txt

# owner: root

# group: root

user::rw-

group::r--

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt | setfacl --set-file=- /data/a.txt      #将/data/root.txt文件权限复制给/data/a.txt文件

getfacl: Removing leading '/' from absolute path names

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt

getfacl: Removing leading '/' from absolute path names

# file: data/a.txt

# owner: root

# group: root

user::rw-

user:jason:rw-

group::r--

group:devops:rw-

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

五.清除ACL权限

1>.清除指定用户的ACL权限

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt

getfacl: Removing leading '/' from absolute path names

# file: data/a.txt

# owner: root

# group: root

user::rw-

user:jason:rw-

group::r--

group:devops:rw-

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl -x u:jason /data/a.txt         #清除jason用户的ACL权限。

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt

getfacl: Removing leading '/' from absolute path names

# file: data/a.txt

# owner: root

# group: root

user::rw-

group::r--

group:devops:rw-

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

2>.清除指定组的ACL权限

 [root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt

 getfacl: Removing leading '/' from absolute path names

 # file: data/a.txt

 # owner: root

 # group: root

 user::rw-

 group::r--

 group:devops:rw-

 mask::rw-

 other::r--

 [root@node101.yinzhengjie.org.cn ~]#

 [root@node101.yinzhengjie.org.cn ~]# setfacl -x g:devops /data/a.txt       #仅仅清除掉devops组的ACL权限

 [root@node101.yinzhengjie.org.cn ~]#

 [root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt

 getfacl: Removing leading '/' from absolute path names

 # file: data/a.txt

 # owner: root

 # group: root

 user::rw-

 group::r--

 mask::r--

 other::r--

 [root@node101.yinzhengjie.org.cn ~]#

 [root@node101.yinzhengjie.org.cn ~]#

3>.清除所有ACL权限

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

user:jason:rw-

group::r--

group:devops:rw-

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl -b /data/root.txt         #清除所有ACL权限

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

group::r--

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]#

六.访问控制列表的注意事项

1>.mask只影响除所有者和other的之外的人和组的最大权限

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

group::r--

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl -m mask::rw /data/root.txt     #mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(Effective Permission),用户和组的设置必须存在于mask权限设定范围内才会生效。

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

group::r--

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

2>.--set选项会把原来又的ACL选项都删除,用新的替代,需要注意的是一定要包含UGO的设置,不能像-m一样只是添加ACL就可以

[root@node101.yinzhengjie.org.cn ~]# setfacl -b /data/root.txt

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

group::r--

other::---

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl --set u::rw,u:jason:rw,g::r,o::- /data/root.txt

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

user:jason:rw-

group::r--

mask::rw-

other::---

[root@node101.yinzhengjie.org.cn ~]#

3>.备份和恢复ACL(主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息)

[root@node101.yinzhengjie.org.cn ~]# getfacl -R /data/ > acl.txt        #备份某个目录的文件ACL权限

getfacl: Removing leading '/' from absolute path names

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# cat acl.txt                   #查看备份目录的ACL权限信息

# file: data/

# owner: root

# group: root

# flags: --t

user::rwx

group::r-x

other::rwx

# file: data//root.txt

# owner: root

# group: root

user::rw-

user:jason:rw-

group::r--

mask::rw-

other::---

# file: data//a.txt

# owner: root

# group: root

user::rw-

group::r--

mask::r--

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl -R --set-file=acl.txt /data/          #恢复指定目录的ACL权限

[root@node101.yinzhengjie.org.cn ~]#

七.小试牛刀

>.在/testdir/dir里创建新文件自动属于webs组,组apps的成员如tomcat能对这些新文件有读写权限,组dbs的成员如:mysql只能对新文件有读权限,其它用户(不属于webs,apps,dbs)不能访问这个文件夹

>.备份/testdir/dir里所有文件的ACL权限到/root/acl.txt中,清除/test/dir中所有ACL权限,最后还原ACL权限。

Linux访问控制列表(Access Control List,简称ACL)的更多相关文章

  1. Linux 访问控制列表(access control list)

    简介 随着应用的发展,传统的linux文件系统权限控制无法适应复杂的控制需求,而ACL的出现,则是为了扩展linux的文件权限控制,以实现更为复杂的权限控制需求.其可以针对任意的用户和用户组进行权限分 ...

  2. 【windows 访问控制】七、window 访问控制编辑器(Access Control Editor)

    window 访问控制编辑器(Access Control Editor) 右键(文件.目录.程序)>选择属性>安全>高级   进入访问控制编辑器

  3. linux访问控制列表 ACL实现文件权限设置

    ACL:Access Control List,实现灵活的文件权限管理 除了文件的所有者,所属组和其它人,可以对更多的用户设置权限 CentOS7 默认创建的xfs和ext4文件系统具有ACL功能 A ...

  4. Linux访问控制列表

    首先我们来了解下权限,在Linux里常规的权限有r(读)w(写)x(执行),特殊权限有SUID,SGID,Sticky权限,分别作用在文件(或目录)的所有者,所属组和其他(既不是所有者,也不是所属组的 ...

  5. RBAC: 基于角色的访问控制(Role-Based Access Control)

    本文只讨论两种基于角色的访问控制的不同点,不涉及权限设计的数据库设计. 基于角色的访问控制(Role-Based Access Control)可分为隐式角色访问控制和显式角色访问控制. 隐式角色访问 ...

  6. Windows Azure Virtual Network (10) 使用Azure Access Control List(ACL)设置客户端访问权限

    <Windows Azure Platform 系列文章目录> 本文介绍的是国内由世纪互联运维的China Azure. 我们在创建完Windows Azure Virtual Machi ...

  7. 浅谈访问控制列表(ACL)

    1.ACL简介2.前期准备3.ACL的基本操作:添加和修改4.ACL的其他功能:删除和覆盖5.目录的默认ACL6.备份和恢复ACL7.结束语 1.ACL简介 用户权限管理始终是Linux系统管理中最重 ...

  8. Linux 系统访问控制列表ACL

    常见的文件系统的一般权限(rwx).特殊权限(SUID,SGID,STICK).隐藏权限(chattr)其实有个共性——权限是针对某一类用户设置的.而如果希望对某个指定的用户进行单独的权限控制,那么就 ...

  9. Phalcon 訪问控制列表 ACL(Access Control Lists ACL)

    Phalcon在权限方面通过 Phalcon\Acl 提供了一个轻量级的 ACL(訪问控制列表). Access Control Lists (ACL) 同意系统对用户的訪问权限进行控制,比方同意訪问 ...

随机推荐

  1. echo的色彩处理

    在Shell脚本中,可以使用echo的-e选项使显示内容呈现出不同的颜色. 格式1:echo -e "\033[背景颜色代码;文字颜色代码m 输出的字符串 \033[0m" 格式2 ...

  2. C++内存管理4-Windows编程中的堆管理(转)

    1 引言 在大多数Windows应用程序设计中,都几乎不可避免的要对内存进行操作和管理.在进行大尺寸内存的动态分配时尤其显的重要.本文即主要对内存管理中的堆管理技术进行论述. 堆(Heap)实际是位于 ...

  3. 实例句柄0x10000000有什么特别之处?What is so special about the instance handle 0x10000000?

    当Load­Library函数返回特殊值时,客户想知道它意味着什么0x10000000.嗯,这意味着LIB被加载进了0x10000000?好的,这里有一些更多的信息:“我们正在尝试调试一个加载DLL的 ...

  4. phpspreadsheet 中文文档(六)读写文件+读取文件

    2019年10月11日14:05:58 读写文件 从体系结构您已经知道,使用基本PhpSpreadsheet类无法对持久性存储进行读写.为此,PhpSpreadsheet提供读者和作家,这是实现\Ph ...

  5. Redis Sentinel分布式集群

    helm部署Redis哨兵分布式集群 Redis Sentinel集群 介绍 Redis Sentinel集群是由若干Sentinel节点组成的分布式集群,可以实现故障发现.故障自动转移.配置中心和客 ...

  6. 基于面绘制的MC算法以及基于体绘制的 Ray-casting 实现Dicom图像的三维重建(python实现)

    加入实验室后,经过张老师的介绍,有幸与某公司合共共同完成某个项目,在此项目中我主要负责的是三维 pdf 报告生成.Dicom图像上亮度.对比度调整以及 Dicom图像三维重建.今天主要介绍一下完成Di ...

  7. 002 spring boot框架,引入mybatis-generator插件,自动生成Mapper和Entity

    1.创建一个springboot项目 2.创建项目的文件结构以及jdk的版本 3.选择项目所需要的依赖 点击next,直到项目构建完成. 4.项目初步结构 5.POM文件 <?xml versi ...

  8. day55——django引入、小型django(socket包装的服务器)

    day55 吴超老师Django总网页:https://www.cnblogs.com/clschao/articles/10526431.html 请求(网址访问,提交数据等等) request 响 ...

  9. go包管理

    摘自: http://blueskykong.com/2019/02/18/go-dep-1/ https://www.cnblogs.com/apocelipes/p/10295096.html#v ...

  10. 用python批量添加保护站点

    最近在测试的过程中,由于一个bug的复现需要添加1600个保护站点,手工添加谁知到要何年何月,因此想到了用python进行自动化批量添加保护站点! 具体代码如下: #!/usr/bin/env pyt ...