Linux访问控制列表(Access Control List,简称ACL)

                                           作者:尹正杰

版权声明:原创作品,谢绝转载!否则将追究法律责任。

一.ACL概述

  ACL:Access Control List,实现灵活的权限管理

  
  除了文件的所有者,所属组和其它人,可以对更多的用户设置权限

  
  CentOS7 默认创建的xfs和ext4文件系统具有ACL功能

  
  CentOS7 之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加

    tune2fs –o acl /dev/sdb1

    mount –o acl /dev/sdb1 /mnt/test

  
  ACL生效顺序:所有者,自定义用户,自定义组,其他人

二.为jason用户对某个文件设置ACL权限

[root@node101.yinzhengjie.org.cn ~]# ll /data/

total

-rw-r--r--.  jason devops   Sep  : jason.txt

-rw-r--r--.  root  devops  Sep  : root.txt

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl -m u:jason:- /data/root.txt       #这里我们对jason用户设置的权限为空("-"),即无权限访问"/data/root.txt"文件。

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ll /data/

total

-rw-r--r--.  jason devops   Sep  : jason.txt

-rw-r--r--+  root  devops  Sep  : root.txt                    #大家注意,该文件设置后属性后面的"."变成了"+",说明设置ACL权限啦

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt                #我们可以使用该命令查看相应的ACL设置

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: devops

user::rw-

user:jason:---    #我们发现jason用户对该文件的权限为0

group::r--

mask::r--

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# su -l jason

Last login: Tue Sep  :: PDT  on pts/

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ ll /data/root.txt

-rw-r--r--+  root devops  Sep  : /data/root.txt

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ cat /data/root.txt

cat: /data/root.txt: Permission denied

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ echo "尹正杰到此一游">> /data/root.txt

-bash: /data/root.txt: Permission denied

[jason@node101.yinzhengjie.org.cn ~]$

三.为属组对某个文件设置ACL权限

[root@node101.yinzhengjie.org.cn ~]# groupadd devops

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# id jason

uid=(jason) gid=(jason) groups=(jason)

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# usermod -G devops  jason          #为了测试,我们将jason用户加入devops组

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# id jason

uid=(jason) gid=(jason) groups=(jason),(devops)

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# ll /data/

total

-rw-r--r--.  root root  Oct   : root.txt

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/

getfacl: Removing leading '/' from absolute path names

# file: data/

# owner: root

# group: root

# flags: --t

user::rwx

group::r-x

other::rwx

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

group::r--

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# su -l jason

Last login: Wed Oct   :: CST  on pts/

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ cat /data/root.txt

尹正杰到此一游

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ echo "jason到此一游" >> /data/root.txt         #我们发现没有设置ACL权限无法写入数据。

-bash: /data/root.txt: Permission denied

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ exit

logout

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl -m g:devops:rw /data/root.txt         #我们为devops组添加读写权限

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

group::r--

group:devops:rw-

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[jason@node101.yinzhengjie.org.cn ~]$ echo "jason到此一游" >> /data/root.txt          #再次写入数据,发现数据写入成功啦!

[jason@node101.yinzhengjie.org.cn ~]$

[jason@node101.yinzhengjie.org.cn ~]$ cat /data/root.txt

尹正杰到此一游

jason到此一游

[jason@node101.yinzhengjie.org.cn ~]$

四.将一个文件的权限复制给另一个文件权限

[root@node101.yinzhengjie.org.cn ~]# setfacl -m u:jason:rw /data/root.txt

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

user:jason:rw-

group::r--

group:devops:rw-

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# touch /data/a.txt

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt

getfacl: Removing leading '/' from absolute path names

# file: data/a.txt

# owner: root

# group: root

user::rw-

group::r--

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt | setfacl --set-file=- /data/a.txt      #将/data/root.txt文件权限复制给/data/a.txt文件

getfacl: Removing leading '/' from absolute path names

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt

getfacl: Removing leading '/' from absolute path names

# file: data/a.txt

# owner: root

# group: root

user::rw-

user:jason:rw-

group::r--

group:devops:rw-

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

五.清除ACL权限

1>.清除指定用户的ACL权限

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt

getfacl: Removing leading '/' from absolute path names

# file: data/a.txt

# owner: root

# group: root

user::rw-

user:jason:rw-

group::r--

group:devops:rw-

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl -x u:jason /data/a.txt         #清除jason用户的ACL权限。

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt

getfacl: Removing leading '/' from absolute path names

# file: data/a.txt

# owner: root

# group: root

user::rw-

group::r--

group:devops:rw-

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

2>.清除指定组的ACL权限

 [root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt

 getfacl: Removing leading '/' from absolute path names

 # file: data/a.txt

 # owner: root

 # group: root

 user::rw-

 group::r--

 group:devops:rw-

 mask::rw-

 other::r--

 [root@node101.yinzhengjie.org.cn ~]#

 [root@node101.yinzhengjie.org.cn ~]# setfacl -x g:devops /data/a.txt       #仅仅清除掉devops组的ACL权限

 [root@node101.yinzhengjie.org.cn ~]#

 [root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt

 getfacl: Removing leading '/' from absolute path names

 # file: data/a.txt

 # owner: root

 # group: root

 user::rw-

 group::r--

 mask::r--

 other::r--

 [root@node101.yinzhengjie.org.cn ~]#

 [root@node101.yinzhengjie.org.cn ~]#

3>.清除所有ACL权限

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

user:jason:rw-

group::r--

group:devops:rw-

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl -b /data/root.txt         #清除所有ACL权限

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

group::r--

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]#

六.访问控制列表的注意事项

1>.mask只影响除所有者和other的之外的人和组的最大权限

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

group::r--

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl -m mask::rw /data/root.txt     #mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(Effective Permission),用户和组的设置必须存在于mask权限设定范围内才会生效。

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

group::r--

mask::rw-

other::r--

[root@node101.yinzhengjie.org.cn ~]#

2>.--set选项会把原来又的ACL选项都删除,用新的替代,需要注意的是一定要包含UGO的设置,不能像-m一样只是添加ACL就可以

[root@node101.yinzhengjie.org.cn ~]# setfacl -b /data/root.txt

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

group::r--

other::---

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl --set u::rw,u:jason:rw,g::r,o::- /data/root.txt

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt

getfacl: Removing leading '/' from absolute path names

# file: data/root.txt

# owner: root

# group: root

user::rw-

user:jason:rw-

group::r--

mask::rw-

other::---

[root@node101.yinzhengjie.org.cn ~]#

3>.备份和恢复ACL(主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息)

[root@node101.yinzhengjie.org.cn ~]# getfacl -R /data/ > acl.txt        #备份某个目录的文件ACL权限

getfacl: Removing leading '/' from absolute path names

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# cat acl.txt                   #查看备份目录的ACL权限信息

# file: data/

# owner: root

# group: root

# flags: --t

user::rwx

group::r-x

other::rwx

# file: data//root.txt

# owner: root

# group: root

user::rw-

user:jason:rw-

group::r--

mask::rw-

other::---

# file: data//a.txt

# owner: root

# group: root

user::rw-

group::r--

mask::r--

other::r--

[root@node101.yinzhengjie.org.cn ~]#

[root@node101.yinzhengjie.org.cn ~]# setfacl -R --set-file=acl.txt /data/          #恢复指定目录的ACL权限

[root@node101.yinzhengjie.org.cn ~]#

七.小试牛刀

>.在/testdir/dir里创建新文件自动属于webs组,组apps的成员如tomcat能对这些新文件有读写权限,组dbs的成员如:mysql只能对新文件有读权限,其它用户(不属于webs,apps,dbs)不能访问这个文件夹

>.备份/testdir/dir里所有文件的ACL权限到/root/acl.txt中,清除/test/dir中所有ACL权限,最后还原ACL权限。

Linux访问控制列表(Access Control List,简称ACL)的更多相关文章

  1. Linux 访问控制列表(access control list)

    简介 随着应用的发展,传统的linux文件系统权限控制无法适应复杂的控制需求,而ACL的出现,则是为了扩展linux的文件权限控制,以实现更为复杂的权限控制需求.其可以针对任意的用户和用户组进行权限分 ...

  2. 【windows 访问控制】七、window 访问控制编辑器(Access Control Editor)

    window 访问控制编辑器(Access Control Editor) 右键(文件.目录.程序)>选择属性>安全>高级   进入访问控制编辑器

  3. linux访问控制列表 ACL实现文件权限设置

    ACL:Access Control List,实现灵活的文件权限管理 除了文件的所有者,所属组和其它人,可以对更多的用户设置权限 CentOS7 默认创建的xfs和ext4文件系统具有ACL功能 A ...

  4. Linux访问控制列表

    首先我们来了解下权限,在Linux里常规的权限有r(读)w(写)x(执行),特殊权限有SUID,SGID,Sticky权限,分别作用在文件(或目录)的所有者,所属组和其他(既不是所有者,也不是所属组的 ...

  5. RBAC: 基于角色的访问控制(Role-Based Access Control)

    本文只讨论两种基于角色的访问控制的不同点,不涉及权限设计的数据库设计. 基于角色的访问控制(Role-Based Access Control)可分为隐式角色访问控制和显式角色访问控制. 隐式角色访问 ...

  6. Windows Azure Virtual Network (10) 使用Azure Access Control List(ACL)设置客户端访问权限

    <Windows Azure Platform 系列文章目录> 本文介绍的是国内由世纪互联运维的China Azure. 我们在创建完Windows Azure Virtual Machi ...

  7. 浅谈访问控制列表(ACL)

    1.ACL简介2.前期准备3.ACL的基本操作:添加和修改4.ACL的其他功能:删除和覆盖5.目录的默认ACL6.备份和恢复ACL7.结束语 1.ACL简介 用户权限管理始终是Linux系统管理中最重 ...

  8. Linux 系统访问控制列表ACL

    常见的文件系统的一般权限(rwx).特殊权限(SUID,SGID,STICK).隐藏权限(chattr)其实有个共性——权限是针对某一类用户设置的.而如果希望对某个指定的用户进行单独的权限控制,那么就 ...

  9. Phalcon 訪问控制列表 ACL(Access Control Lists ACL)

    Phalcon在权限方面通过 Phalcon\Acl 提供了一个轻量级的 ACL(訪问控制列表). Access Control Lists (ACL) 同意系统对用户的訪问权限进行控制,比方同意訪问 ...

随机推荐

  1. BatchConfigTool批量配置工具

    海康批量配置工具BatchConfigTool是一款支持设备在线搜索.批量配置参数.批量升级等功能的软件,支持对大批量设备同时进行各参数的配置,极大的简化了操作过程! 软件功能 1.对在线设备进行搜索 ...

  2. InvokeMember 使用(转http://blog.csdn.net/gooer/article/details/2927113)

    函数原型:       public   object   InvokeMember(string,   BindingFlags,   Binder,   object,   object[]); ...

  3. CentOS 7.7安装Erlang和Elixir

    安装之前,先看一下它们的简要说明 Erlang Erlang是一种开源编程语言,用于构建对高可用性有要求的大规模可扩展的软实时系统.它通常用于电信,银行,电子商务,计算机电话和即时消息中.Erlang ...

  4. Redis中3种特殊的数据类型(BitMap、Geo和HyperLogLog)

    前言 Reids 在 Web 应用的开发中使用非常广泛,几乎所有的后端技术都会有涉及到 Redis 的使用.Redis 种除了常见的字符串 String.字典 Hash.列表 List.集合 Set. ...

  5. SpringBoot配置多数据源Mysql+Sqlite

    ​ 配置了一下druid的多数据源配置,尝试了很多方法,Spring boot关于对Mysql和Sqlite多数据源的配置,记录下来: 涉及技术点: Springboot + Druid + Mysq ...

  6. 手撕面试官系列(十一):BAT面试必备之常问85题

    JVM专题 (面试题+答案领取方式见侧边栏)  Java 类加载过程? 描述一下 JVM 加载 Class 文件的原理机制? Java 内存分配. GC 是什么? 为什么要有 GC? 简述 Java ...

  7. JS中,JSON 和 对象互转,数组和字符串的转换?

    JSON 与 J对象转化 要实现从对象转换为 JSON 字符串,使用 JSON.stringify() 方法: 如下: var json = JSON.stringify({a: 'Hello', b ...

  8. VM配置Centos(第十三步分区设置)

    1.点击开启此虚拟机之后,选择第一个 (注意:如果鼠标不显示出来,按alt+ctrl键) 2.然后选择skip跳过检测,如果选择了ok就会有很长时间的检测 3.然后选择NEXT 4.选择中文,然后点击 ...

  9. mysql 8.0.17 安装与使用

    目录 写在前面 MySQL 安装 重置密码 使用图形界面软件 Navicat for SQL 写在前面 以前包括现在接到的项目,用的最多的关系型数据库就是SqlServer或者Oracle.后来因为接 ...

  10. Q-Q图和P-P图

     一. QQ图      分位数图示法(Quantile Quantile Plot,简称 Q-Q 图)       统计学里Q-Q图(Q代表分位数)是一个概率图,用图形的方式比较两个概率分布,把他们 ...