ACL允许向文件分配细化的权限。除标准的文件所有者、组所有者、和其他文件权限之外,还可以指定用户或组,以及uid或guid确定的用户和组授予权限。

命令:

·setfacl 设置acl策略

·getfacl 查看acl策略

[root@server ~]# setfacl --help

setfacl 2.2. -- set file access control lists

Usage: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...

  -m, --modify=acl        modify the current ACL(s) of file(s)                         #设置文件或目录ACL规则

  -M, --modify-file=file  read ACL entries to modify from file                         #从文件读取ACL规则

  -x, --remove=acl        remove entries from the ACL(s) of file(s)                    #删除ACL规则

  -X, --remove-file=file  read ACL entries to remove from file                         #从文件读取ACL规则,并且进行删除

  -b, --remove-all        remove all extended ACL entries                              #删除所有扩展ACL规则,基本ACL规则保留

  -k, --remove-default    remove the default ACL                                       #删除默认ACL规则,如果没有默认ACL规则,不提示

      --set=acl           set the ACL of file(s), replacing the current ACL            #

      --set-file=file     read ACL entries to set from file

      --mask              do recalculate the effective rights mask                     #重新计算有效权限,即使ACL Mask被明确指定

  -n, --no-mask           don't recalculate the effective rights mask                  #不要重新计算有效权限

  -d, --default           operations apply to the default ACL                          #设置默认ACL规则,只是针对目录而言

  -R, --recursive         recurse into subdirectories                                  #递归设置ACL规则

  -L, --logical           logical walk, follow symbolic links

  -P, --physical          physical walk, do not follow symbolic links

      --restore=file      restore ACLs (inverse of `getfacl -R')

      --test              test mode (ACLs are not modified)

  -v, --version           print version and exit

  -h, --help              this help text
[root@server ~]# mkdir /sharedata

[root@server ~]# cp /etc/passwd /sharedata/

[root@server ~]# useradd usera

[root@server ~]# useradd userb

[root@server ~]# useradd userc

[root@server ~]# echo 'userabc' |passwd --stdin usera

Changing password for user usera.

passwd: all authentication tokens updated successfully.

[root@server ~]# echo 'userabc' |passwd --stdin userb

Changing password for user userb.

passwd: all authentication tokens updated successfully.

[root@server ~]# echo 'userabc' |passwd --stdin userc

Changing password for user userc.

passwd: all authentication tokens updated successfully.

[root@server ~]# cd /sharedata/

[root@server sharedata]# ll

total

-rw-r--r--  root root  Oct   : passwd

[root@server sharedata]# setfacl -m u:usera:r passwd

[root@server sharedata]# setfacl -m u:userb:rw passwd

[root@server sharedata]# setfacl -m u:userc:rwx passwd

[root@server sharedata]# getfacl passwd

# file: passwd

# owner: root

# group: root

user::rw-

user:usera:r--

user:userb:rw-

user:userc:rwx

group::r--

mask::rwx

other::r--

如果想让ACL在目录下的数据都有继承功能,通常会对这个目录设置默认权限

文件所有者可以在单个文件或目录上设置ACL。新文件和子目录可以自动从父目录默认ACL中继承ACL设置。 与常规文件的访问规则类似,父目录层次结构需要至少设置其它执行权限,以便启用指定用户和指定组的访问权限。

[root@server ~]# mkdir /sharedata

[root@server sharedata]# setfacl -m d:u:usera:rwx /sharedata/

[root@server sharedata]# su - usera

Last login: Thu Oct   :: CST  on pts/

[usera@server ~]$ cd /sharedata/

[usera@server sharedata]$ touche usera

bash: touche: command not found...

Similar command is: 'touch'

[usera@server sharedata]$ touch usera

touch: cannot touch ‘usera’: Permission denied

[usera@server sharedata]$ exit

logout

[root@server sharedata]# mkdir -p /sharedata/pub

[root@server sharedata]# su - usera

Last login: Thu Oct   :: CST  on pts/

[usera@server ~]$ cd /sharedata/pub/

[usera@server pub]$ touch usera

[usera@server pub]$ cd ..

[usera@server sharedata]$ touch usera

touch: cannot touch ‘usera’: Permission denied

ACL掩码
掩码定义可授予指定用户组、组所有者和指定组的最大权限。不限制文件所有者或其它用户的权限
如果设置了mask,和mask比较,最终取得是二者中最小权限

[root@server /]# cd sharedata/

[root@server sharedata]# cp /etc/passwd .

[root@server sharedata]# setfacl -m u:usera:r passwd

[root@server sharedata]# setfacl -m u:userb:rw passwd

[root@server sharedata]# setfacl -m u:userc:rwx passwd

[root@server sharedata]# getfacl passwd

# file: passwd

# owner: root

# group: root

user::rw-

user:usera:r--

user:userb:rw-

user:userc:rwx

group::r--

mask::rwx

other::r--

[root@server sharedata]# setfacl -m m:r passwd

[root@server sharedata]# getfacl passwd

# file: passwd

# owner: root

# group: root

user::rw-

user:usera:r--

user:userb:rw-                  #effective:r--

user:userc:rwx                  #effective:r--

group::r--

mask::r--

other::r--

[root@server sharedata]# setfacl -m m:rwx passwd

[root@server sharedata]# getfacl passwd

# file: passwd

# owner: root

# group: root

user::rw-

user:usera:r--

user:userb:rw-

user:userc:rwx

group::r--

mask::rwx

other::r--

RHCE7 管理II-6ACL的使用的更多相关文章

  1. RHCE7 管理II-4计划将来的Linux任务

    (1) at 一次性的计划任务 语法: # at [参数] [时间] at> 执行的指令 退出at命令 ctrl+d [root@localhost ~]# at now at> mkdi ...

  2. RHCE7 管理I-12归档文件并在Linux系统间复制文件

    tar命令使用 默认tar只有归档的功能,没有压缩功能 tar [option...] [file]... -c,--create     创建 -x,--extract,--get   解压 -t, ...

  3. RHCE7 管理II-5管理进程的优先级

    进程的优先级值称为进程的nice值,共有40种不同的取值(用数字-20到19表示) nice值越大,表示进程的优先级越低. 进程的nice值,只允许root用户来设置负的nice:其他用户只允许设置正 ...

  4. RHCE7 管理II-2 通过grep使用正则表达式

    grep -i:忽略大小写 -n:表示行数 找出含有root的行 # grep root /etc/passwd root:x:::root:/root:/bin/bash ::operator:/r ...

  5. RHCE7 管理II-3使用VIM编辑器

    vim的不同版本: 1.vim-minial 提供vi和相关命令.在RHEL 7的最小安装中 2.vim-enhanced 提供vim命令.提供语法突出显示.文件类型插件和拼写检查等功能 3.vim- ...

  6. phper 要求

    做了这么多年php,今天看到一个07年的老文,才发现自己的水平太菜.转过来激励下自己 说句实话,写这个真够无聊的.本来看了某位大虾的类似文章,腹诽了几句也就算了.但是昨天晚上有个客户拿着这篇文章问我: ...

  7. PHPer的等级划分

    PHPer的等级划分 前一段时间刚刚完成PHP的培训,然后想知道自己目前的水平(或者说等级),并且应该在哪些方面进行提高,所以在网上查了一下相关介绍.其中有一篇介绍讲的挺清楚的,至少目前的我还是很认同 ...

  8. java打包jar,war,ear包的作用、区别

    java的打包jar,war,ear包的作用,区别,打包方式. a) 作用与区别      i.    jar: 通常是开发时要引用通用(JAVA)类,打成包便于存放管理      ii.   war ...

  9. Spring_Aop的xml和注解的使用

    动态代理:    目的:在不改变源代码的情况下,对方法进行增强!        动态代理又分为两种:    1.第一个就是基于接口的动态代理,他是由jdk提供的    2.基于子类的动态代理:cgli ...

随机推荐

  1. Python源码学习七 .py文件的解释

    Python源码太复杂了... 今天看了下对.py文件的parse, 云里雾里的 py文件是最简单的, 在python的交互式窗口 import这个模块 a = 10 print(a) 开始分析,堆栈 ...

  2. C#创建数字证书并导出为pfx,并使用pfx进行非对称加解密

    本文源程序下载:http://download.csdn.net/source/2444494 我的项目当中,考虑到安全性,需要为每个客户端分发一个数字证书,同时使用数字证书中的公私钥来进行数据的加解 ...

  3. Map实现java缓存机制的简单实例

    缓存是Java中主要的内容,主要目的是缓解项目访问数据库的压力以及提升访问数据的效率,以下是通过Map实现java缓存的功能,并没有用cache相关框架. 一.缓存管理类 CacheMgr.java ...

  4. 解决: Connection to https://dl-ssl.google.com refused

    第一步: 在 hosts 中增加以下 地址转义 #Google主页203.208.46.146 www.google.com#这行是为了方便打开Android开发官网 现在好像不FQ也可以打开#74. ...

  5. scala 学习笔记八 简洁性

    Scala可以简洁地表示概念,有时甚至可以说过于简洁. 1.消除中间结果 在组合表达式中,最后一个表达式会变成整个表达式的结果.下面的例子中,值会被捕获到val result中,然后result从方法 ...

  6. 翻译记忆软件-塔多思TRADO经典教程_5

    TRADOS新手必读 共有篇贴子 TRADOS新手必读   译海撷英系列之软件漫谈之TRADOS新手必读 作者:苏任 我很喜欢到翻译中国网站上来四处看看,一开始主要是关心应用资料和软件,后来就对网友的 ...

  7. IOS开发基础Object-C(12)—单例模式

    单例模式的意思就是仅仅有一个实例. 单例模式确保某一个类仅仅有一个实例,并且自行实例化并向整个系统提供这个实例.这个类称为单例类. 1.单例模式的要点: 显然单例模式的要点有三个:一是某个类仅仅能有一 ...

  8. 帝吧fb出征是什么原因?帝吧fb出征事情始末 帝吧出征FB打“台独” 台湾网民崩溃:巨人之墙爆了

    帝吧出征FB打"台独" 台湾网民崩溃:巨人之墙爆了 发表时间:2016-01-20 21:08:10 字号:A-AA+ 关键字: 帝吧帝吧出征FB帝吧出征FB打台独台独脸书巨人之墙 ...

  9. 你需要来自system的权限才能对此文件夹进行更

    删除Adobe安装文件时,报错没有权限. 两种解决方案: 1. 设置权限 Win7的安全性提高的同时,对不懂的人来说觉得有些麻烦. 2. PE系统删除 进入PE系统删除即可.

  10. IIS 之 未能加载文件或程序集“IBM.Data.DB2”或它的某一个依赖项。试图加载格式不正确的程序。

    问题如下图所示: 原因分析:操作系统是64位的,但发布的程序引用了一些32位的ddl,所以出现了兼容性的问题. 解决方案:IIS → 应用程序池 → 对应的程序池 → 高级设置 → 启用32位应用程序 ...