1.ACL简介
2.前期准备
3.ACL的基本操作:添加和修改
4.ACL的其他功能:删除和覆盖
5.目录的默认ACL
6.备份和恢复ACL
7.结束语

1.ACL简介

用户权限管理始终是Linux系统管理中最重要的环节。大家对Linux/Unix的UGO权限管理方式一定不陌生,还有最常用的chmod命令。为了实现一些比较复杂的权限管理,往往不得不创建很多的组,并加以详细的记录和区分。有一种方法可以实现灵活的权限管理(文件的额外赋权机制)除了文件的所有者,所属组和其他人,可以对更多的用户设置权限,这就是访问控制列表(Access Control List)。

2.前期准备

支持ACL需要内核和文件系统的支持。现在2.6内核以上版本配合EXT3/EXT4, JFS, XFS, ReiserFS等文件系统都是可以支持ACL。下面我们使用CentOS6.8和Ext4文件系统开始对Linux的ACL的体验。

首先创建一个1M的空白文件:

[root@anonymous mnt]#dd if=/dev/zero of=testacl bs=1024 count=1000

1000+0 records in

1000+0 records out

1024000 bytes (1.0 MB) copied, 0.00832275 s, 123 MB/s

[root@anonymous mnt]#du -sh testacl

1000K testacl

和一个loop设备联系在一起:

[root@anonymous mnt]#losetup /dev/loop1 testacl

创建一个ext4文件系统:

[root@anonymous mnt]#mkfs.ext4 /dev/loop1

mke2fs 1.41.12 (17-May-2010)

Discarding device blocks: done                           

Filesystem label=

OS type: Linux

Block size=1024 (log=0)

Fragment size=1024 (log=0)

Stride=0 blocks, Stripe width=0 blocks

128 inodes, 1000 blocks

50 blocks (5.00%) reserved for the super user

First data block=1

Maximum filesystem blocks=1048576

1 block group

8192 blocks per group, 8192 fragments per group

128 inodes per group

Writing inode tables: done                           

Filesystem too small for a journal

Writing superblocks and filesystem accounting information: done

This filesystem will be automatically checked every 37 mounts or

180 days, whichever comes first.  Use tune2fs -c or -i to override.

挂载新建的文件系统:

[root@anonymous mnt]#mount -o rw,acl /dev/loop1 /mnt/testdir

[root@anonymous mnt]#cd testdir/

[root@anonymous testdir]#ls

lost+found

现在我已经得到了一个小型的文件系统。而且是支持ACL的。并且即使彻底损坏也不会影响硬盘上其他有价值的数据。因此可以开始我们的ACL体验了。

3.ACL的基本操作:添加和修改

首先新建一个文件作为实施ACL的对象,然后看一下这个文件缺省的ACL,这时这个文件除了通常的UGO的权限之外,并没有ACL:

[root@anonymous testdir]# >>getfacl file1

# file: file1

# owner: root

# group: root

user::rw-

group::r--

other::r--

下面添加几个用户和组,待会儿我将使用ACL赋予它们不同的权限:

[root@anonymous testdir]#groupadd grp1

[root@anonymous testdir]#useradd user1

[root@anonymous testdir]#useradd user2

[root@anonymous testdir]#usermod -G grp1 user1

我们将用户切换到user1,发现并不能在此目录下创建文件:

[root@anonymous testdir]#su user1

[user1@anonymous testdir]$echo "test" >> file1

bash: file1: Permission denied

失败了,由于file1并不允许除了root以外的用户写,现在我们通过修改file1的ACL赋予user1足够的权限:

[root@anonymous testdir]#setfacl -m u:user1:rw file1

[root@anonymous testdir]#su user1

[user1@anonymous testdir]$echo "test" >> file1

[user1@anonymous testdir]$cat file1

test

修改成功了,用户user1可以对file1做读写操作了。再次查看file1的ACL:

[user1@anonymous testdir]$getfacl file1

# file: file1

# owner: root

# group: root

user::rw-

user:user1:rw-

group::r--

mask::rw-

other::r--

ls一下:

[root@anonymous testdir]#ls -l file1

-rw-rw-r--+ 1 root root 5 Mar 11 15:59 file1

可以看到一个"+",就在通常我们看到的权限位的旁边。这说明了file1设置了ACL, 接下来我们修改一下grp1的权限,同时给tgrp1这个组以读的权限:

[root@anonymous testdir]#setfacl -m u:user1:rwx,g:grp1:r file1

[root@anonymous testdir]#getfacl file1

# file: file1

# owner: root

# group: root

user::rw-

user:user1:rwx

group::r--

group:grp1:r--

mask::rwx

other::r--

这个时候user1已经有了执行的权限,而grp1这个组也获得了读取文件内容的权限。有人可能已经注意到了两个问题:首先,file1的组权限从r--变成了rw-。其次,mask是什么?为什么也变化了呢?我们先从mask说起。如果说ACL的优先级高于UGO,那么mask就是最后一道防线。它决定了一个用户或组能够得到的最大的权限。这样我们在不破坏已有ACL的定义的基础上,可以临时提高或是降低安全级别:

[root@anonymous testdir]#setfacl -m mask::r file1

[root@anonymous testdir]#getfacl file1

# file: file1

# owner: root

# group: root

user::rw-

user:user1:rwx   #effective:r--

group::r--

group:grp1:r--

mask::r--

other::r--

[root@anonymous testdir]#ls -l file1

-rw-r--r--+ 1 root root 5 Mar 11 15:59 file1

在user1对应的ACL项的后边出现了effective的字样,这是实际user1得到的权限。Mask只对其他用户和组的权限有影响,对owner和other的权限是没有任何影响的。执行ls的结果也显示UGO的设置也有了对应的变化。因为在使用了ACL的情况下,group的权限显示的就是当前的mask。

4.ACL的其他功能:删除和覆盖

如何删除已有的ACL项呢?

[root@anonymous testdir]#setfacl -x g:grp1 file1

[root@anonymous testdir]#getfacl file1

# file: file1

# owner: root

# group: root

user::rw-

user:user1:rwx

group::r--

mask::rwx

other::r--

我们看到grp1的权限已经被去掉了。如果需要去掉所有的ACL可以用-b选项。所有的ACL项都会被去掉。

[root@anonymous testdir]#setfacl -b  file1

[root@anonymous testdir]#getfacl file1

# file: file1

# owner: root

# group: root

user::rw-

group::r--

other::r--

我们可以用--set 设置一些新的ACL项,并把原有的ACL项全部都覆盖掉。和-m不同,-m选项只是修改已有的配置或是新增加一些。--set选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含UGO的设置,不能象-m一样只是添加ACL就可以了。比如下边这一段:

[root@anonymous testdir]#setfacl --set u::rw,u:user1:rw,g::r,o::- file1

[root@anonymous testdir]#getfacl file1

# file: file1

# owner: root

# group: root

user::rw-

user:user1:rw-

group::r--

mask::rw-

other::---

o::-是另一个需要注意的地方。其实完整的写法是other::---,正如u::rw的完整写法是user::rw-。通常我们可以把"-"省略,但是当权限位只包含"-"时,必须至少保留一个。如果写成了o::,就会出现错误。

5.目录的默认ACL权限

如果我们希望在一个目录中新建的文件和目录都使用同一个预定的ACL,那么我们可以使用默认(Default) ACL。在对一个目录设置了默认的ACL以后,每个在目录中创建的文件都会自动继承目录的默认ACL作为自己的ACL。用setfacl的-d选项就可以做到这一点:

[root@anonymous mnt]#setfacl -d --set g:grp1:rwx testdir

[root@anonymous mnt]#getfacl testdir

# file: testdir

# owner: root

# group: root

user::rwx

group::r-x

other::r-x

default:user::rwx

default:group::r-x

default:group:grp1:rwx

default:mask::rwx

default:other::r-x

可以看到默认ACL已经被设置了。建立一个文件试试:

[root@anonymous mnt]#touch testdir/file2

[root@anonymous mnt]#getfacl testdir/file2

# file: testdir/file2

# owner: root

# group: root

user::rw-

group::r-x   #effective:r--

group:grp1:rwx   #effective:rw-

mask::rw-

other::r--

file2自动继承了testdir对grp1设置的ACL。只是由于mask的存在使得grp1只能获得rw-权限。

6.备份和恢复ACL

主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息的。如果希望备份和恢复带有ACL的文件和目录,那么可以先把ACL备份到一个文件里。以后用--restore选项来回复这个文件中保存的ACL信息:

[root@anonymous mnt]#getfacl -R testdir > test.acl

[root@anonymous mnt]#ls -l test.acl

-rw-r--r--. 1 root root 649 Mar 11 16:29 test.acl

我们用-b选项删除所有的ACL数据,来模拟从备份中回复的文件和目录:

[root@anonymous mnt]#setfacl -R -b testdir

[root@anonymous mnt]#getfacl -R testdir

# file: testdir

# owner: root

# group: root

user::rwx

group::r-x

other::r-x

# file: testdir/file1

# owner: root

# group: root

user::rw-

group::r--

other::---

现在我们从test.acl中恢复被删除的ACL信息:

[root@anonymous mnt]#setfacl --restore test.acl

[root@anonymous mnt]#getfacl -R testdir

# file: testdir

# owner: root

# group: root

user::rwx

group::r-x

other::r-x

default:user::rwx

default:group::r-x

default:group:grp1:rwx

default:mask::rwx

default:other::r-x

# file: testdir/file2

# owner: root

# group: root

user::rw-

group::r-x    #effective:r--

group:grp1:rwx   #effective:rw-

mask::rw-

other::r--

7.结束语

刚开始学习ACL的时候感觉非常的痛苦,因为对原理及概念的理解有误,造成了很大的困惑,好在从网上参考了很多资料以及下了很大功夫将其消化吸收。学习Linux唯有多练多记才能达到自己所预想的目标。

8.参考资料 

http://www.bestbits.at/richacl/?cm_mc_uid=29552251466514872527098&cm_mc_sid_50200000=1489219374

http://www.cnblogs.com/dkblog/archive/2011/10/21/2219765.html

浅谈访问控制列表(ACL)的更多相关文章

  1. 由于 web 服务器上此资源的访问控制列表(acl)配置或加密设置,您无权查看此目录或页面。

    场景:IIS中遇到无法预览的有关问题(HTTP 异常 401.3 - Unauthorized 由于 Web 服务器上此资源的访问控制列表(ACL)配置或加密设置 IIS中遇到无法预览的问题(HTTP ...

  2. 用访问控制列表(ACL)实现包过滤

      用访问控制列表(ACL)实现包过滤 一.ACL概述 1.ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的 2.ACL可以应用于诸多方面 a>.b包过滤 ...

  3. 第10章 网络安全(5)_访问控制列表ACL

    6. 访问控制列表ACL 6.1 标准访问控制列表 (1)标准ACL ①标准ACL是基于IP数据包的源IP地址作为转发或是拒绝的条件.即,所有的条件都是基于源IP地址的. ②基本不允许或拒绝整个协议组 ...

  4. 基本的访问控制列表ACL配置

    摘要: 访问控制列表ACL (Access Control L ist)是由permit或 deny语句组成的一系列有顺序的规则集合,这些规则根据数据包的源地址.目的地址.源端口.目的端口等信息  来 ...

  5. HCNA Routing&Switching之访问控制列表ACL

    前文我们了解了DHCP服务相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15147870.html:今天我们来聊一聊访问控制列表ACL: ACL(ac ...

  6. 网络访问控制列表ACL(读懂这篇就基本够了,后面有配置案例)

    一.访问控制列表是什么? 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问 ...

  7. CCNA网络工程师学习进程(8)访问控制列表ACL

    前面几节我们介绍了路由器的路由配置,接下来几节我们将介绍路由器的高级配置应用,包括ACL.NAT.DHCP.PPP.VPN和远程连接等的配置.     (1)ACL概述:   ACL(Access C ...

  8. windows访问控制列表 --ACL(Access Control List)

    1.定义 ACL是一个windows中的表示用户(组)权限的列表. Access Control List(ACL) Access Control Entry(ACE) ... 2.分类 ACL分为两 ...

  9. Linux 系统访问控制列表ACL

    常见的文件系统的一般权限(rwx).特殊权限(SUID,SGID,STICK).隐藏权限(chattr)其实有个共性——权限是针对某一类用户设置的.而如果希望对某个指定的用户进行单独的权限控制,那么就 ...

随机推荐

  1. jsp判断为空用not empty

    试过 !='' 不管用,只好百度,现在知道了 <c:if test="${not empty pos.requireDegreeName }"> ${pos.requi ...

  2. 探究CSS中的包裹性

    之前一直都知道css中的部分元素具有包裹性,今天写博客的时候正好也遇到了一个,所以想总结一下,有错误的地方欢迎指出来. 什么是包裹性? 包裹性就是父元素的宽度会收缩到和内部元素宽度一样. 哪些元素具有 ...

  3. jquery的ajax提交后,会跳转页面

    今天在写代码的时候,遇到一个很奇怪的问题,一个form表单,用的是ajax的方式提交.结果,在服务器端php中,使用exit(),函数后都不能停止,并且继续跳转到本页.请求如下: 第一个请求中,其实我 ...

  4. 点击Robot Framework的桌面快捷图标后,没有反应(没有打开应用程序)

    http://www.cnblogs.com/zhengyihan1216/p/6397478.html  这篇文章中介绍了如何安装Robot Framework以及如何在桌面上创建快捷方式. 但是有 ...

  5. 数据的增删改查(三层)<!--待补充-->

    进行数据操作必然少了对数据的增删改查,用代码生成器生成的代码不是那么满意!方便在今后使用,这里就主要写“数据访问层(Dal)” 既然这里提到三层架构:有必要将三层内容在这里详细介绍一下(待补充) 注: ...

  6. Hibernate框架双向多对多关联映射关系

    建立双向多对多关联关系    Project.java (项目表)                private Integer proid;                private Strin ...

  7. error LNK2001: unresolved external symbol __beginthreadex

    解决方法: project->settings->C++>category->code generation->Use runtime library选Debug Mul ...

  8. appium desktop 版本发布

    Appium Desktop is an open source app for Mac, Windows, and Linux which gives you the power of the Ap ...

  9. [Selenium With C#学习笔记] Lesson-06 单选按钮

    作者:Surpassme 来源:http://www.jianshu.com/p/08ee1929875f 声明:本文为原创文章,如需转载请在文章页面明显位置给出原文链接,谢谢. 单选按钮通常用在需要 ...

  10. 表格和echart二级联动,并通过点击echart高亮图标单元格

    html 部分 <!DOCTYPE html><html><head lang="en"> <meta charset="UTF ...