ACL允许向文件分配细化的权限。除标准的文件所有者、组所有者、和其他文件权限之外,还可以指定用户或组,以及uid或guid确定的用户和组授予权限。

命令:

·setfacl 设置acl策略

·getfacl 查看acl策略

[root@server ~]# setfacl --help

setfacl 2.2. -- set file access control lists

Usage: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...

  -m, --modify=acl        modify the current ACL(s) of file(s)                         #设置文件或目录ACL规则

  -M, --modify-file=file  read ACL entries to modify from file                         #从文件读取ACL规则

  -x, --remove=acl        remove entries from the ACL(s) of file(s)                    #删除ACL规则

  -X, --remove-file=file  read ACL entries to remove from file                         #从文件读取ACL规则,并且进行删除

  -b, --remove-all        remove all extended ACL entries                              #删除所有扩展ACL规则,基本ACL规则保留

  -k, --remove-default    remove the default ACL                                       #删除默认ACL规则,如果没有默认ACL规则,不提示

      --set=acl           set the ACL of file(s), replacing the current ACL            #

      --set-file=file     read ACL entries to set from file

      --mask              do recalculate the effective rights mask                     #重新计算有效权限,即使ACL Mask被明确指定

  -n, --no-mask           don't recalculate the effective rights mask                  #不要重新计算有效权限

  -d, --default           operations apply to the default ACL                          #设置默认ACL规则,只是针对目录而言

  -R, --recursive         recurse into subdirectories                                  #递归设置ACL规则

  -L, --logical           logical walk, follow symbolic links

  -P, --physical          physical walk, do not follow symbolic links

      --restore=file      restore ACLs (inverse of `getfacl -R')

      --test              test mode (ACLs are not modified)

  -v, --version           print version and exit

  -h, --help              this help text
[root@server ~]# mkdir /sharedata

[root@server ~]# cp /etc/passwd /sharedata/

[root@server ~]# useradd usera

[root@server ~]# useradd userb

[root@server ~]# useradd userc

[root@server ~]# echo 'userabc' |passwd --stdin usera

Changing password for user usera.

passwd: all authentication tokens updated successfully.

[root@server ~]# echo 'userabc' |passwd --stdin userb

Changing password for user userb.

passwd: all authentication tokens updated successfully.

[root@server ~]# echo 'userabc' |passwd --stdin userc

Changing password for user userc.

passwd: all authentication tokens updated successfully.

[root@server ~]# cd /sharedata/

[root@server sharedata]# ll

total

-rw-r--r--  root root  Oct   : passwd

[root@server sharedata]# setfacl -m u:usera:r passwd

[root@server sharedata]# setfacl -m u:userb:rw passwd

[root@server sharedata]# setfacl -m u:userc:rwx passwd

[root@server sharedata]# getfacl passwd

# file: passwd

# owner: root

# group: root

user::rw-

user:usera:r--

user:userb:rw-

user:userc:rwx

group::r--

mask::rwx

other::r--

如果想让ACL在目录下的数据都有继承功能,通常会对这个目录设置默认权限

文件所有者可以在单个文件或目录上设置ACL。新文件和子目录可以自动从父目录默认ACL中继承ACL设置。 与常规文件的访问规则类似,父目录层次结构需要至少设置其它执行权限,以便启用指定用户和指定组的访问权限。

[root@server ~]# mkdir /sharedata

[root@server sharedata]# setfacl -m d:u:usera:rwx /sharedata/

[root@server sharedata]# su - usera

Last login: Thu Oct   :: CST  on pts/

[usera@server ~]$ cd /sharedata/

[usera@server sharedata]$ touche usera

bash: touche: command not found...

Similar command is: 'touch'

[usera@server sharedata]$ touch usera

touch: cannot touch ‘usera’: Permission denied

[usera@server sharedata]$ exit

logout

[root@server sharedata]# mkdir -p /sharedata/pub

[root@server sharedata]# su - usera

Last login: Thu Oct   :: CST  on pts/

[usera@server ~]$ cd /sharedata/pub/

[usera@server pub]$ touch usera

[usera@server pub]$ cd ..

[usera@server sharedata]$ touch usera

touch: cannot touch ‘usera’: Permission denied

ACL掩码
掩码定义可授予指定用户组、组所有者和指定组的最大权限。不限制文件所有者或其它用户的权限
如果设置了mask,和mask比较,最终取得是二者中最小权限

[root@server /]# cd sharedata/

[root@server sharedata]# cp /etc/passwd .

[root@server sharedata]# setfacl -m u:usera:r passwd

[root@server sharedata]# setfacl -m u:userb:rw passwd

[root@server sharedata]# setfacl -m u:userc:rwx passwd

[root@server sharedata]# getfacl passwd

# file: passwd

# owner: root

# group: root

user::rw-

user:usera:r--

user:userb:rw-

user:userc:rwx

group::r--

mask::rwx

other::r--

[root@server sharedata]# setfacl -m m:r passwd

[root@server sharedata]# getfacl passwd

# file: passwd

# owner: root

# group: root

user::rw-

user:usera:r--

user:userb:rw-                  #effective:r--

user:userc:rwx                  #effective:r--

group::r--

mask::r--

other::r--

[root@server sharedata]# setfacl -m m:rwx passwd

[root@server sharedata]# getfacl passwd

# file: passwd

# owner: root

# group: root

user::rw-

user:usera:r--

user:userb:rw-

user:userc:rwx

group::r--

mask::rwx

other::r--

RHCE7 管理II-6ACL的使用的更多相关文章

  1. RHCE7 管理II-4计划将来的Linux任务

    (1) at 一次性的计划任务 语法: # at [参数] [时间] at> 执行的指令 退出at命令 ctrl+d [root@localhost ~]# at now at> mkdi ...

  2. RHCE7 管理I-12归档文件并在Linux系统间复制文件

    tar命令使用 默认tar只有归档的功能,没有压缩功能 tar [option...] [file]... -c,--create     创建 -x,--extract,--get   解压 -t, ...

  3. RHCE7 管理II-5管理进程的优先级

    进程的优先级值称为进程的nice值,共有40种不同的取值(用数字-20到19表示) nice值越大,表示进程的优先级越低. 进程的nice值,只允许root用户来设置负的nice:其他用户只允许设置正 ...

  4. RHCE7 管理II-2 通过grep使用正则表达式

    grep -i:忽略大小写 -n:表示行数 找出含有root的行 # grep root /etc/passwd root:x:::root:/root:/bin/bash ::operator:/r ...

  5. RHCE7 管理II-3使用VIM编辑器

    vim的不同版本: 1.vim-minial 提供vi和相关命令.在RHEL 7的最小安装中 2.vim-enhanced 提供vim命令.提供语法突出显示.文件类型插件和拼写检查等功能 3.vim- ...

  6. phper 要求

    做了这么多年php,今天看到一个07年的老文,才发现自己的水平太菜.转过来激励下自己 说句实话,写这个真够无聊的.本来看了某位大虾的类似文章,腹诽了几句也就算了.但是昨天晚上有个客户拿着这篇文章问我: ...

  7. PHPer的等级划分

    PHPer的等级划分 前一段时间刚刚完成PHP的培训,然后想知道自己目前的水平(或者说等级),并且应该在哪些方面进行提高,所以在网上查了一下相关介绍.其中有一篇介绍讲的挺清楚的,至少目前的我还是很认同 ...

  8. java打包jar,war,ear包的作用、区别

    java的打包jar,war,ear包的作用,区别,打包方式. a) 作用与区别      i.    jar: 通常是开发时要引用通用(JAVA)类,打成包便于存放管理      ii.   war ...

  9. Spring_Aop的xml和注解的使用

    动态代理:    目的:在不改变源代码的情况下,对方法进行增强!        动态代理又分为两种:    1.第一个就是基于接口的动态代理,他是由jdk提供的    2.基于子类的动态代理:cgli ...

随机推荐

  1. ubuntu 12.04 安装无线网卡驱动

    安装ubuntu 12.04后,无线网卡不可用,采用以下方式解决: 1.在终端中运行如下命令,重新安装b43相关的全部驱动和firmware: sudo apt-get install bcmwl-k ...

  2. [置顶] Django 微信开发(一)——环境搭建

    Django 微信开发(一)——环境搭建 随着移动互联网时代的到来,微信——一个改变着我们生活的产品悄悄走近了我们的生活.我们不得不觉得自己很幸运,自己能在这个世界上遇到像QQ.微博.微信这样优秀的产 ...

  3. JavaScript中定义对象的四种方式

    最近在阅读< JavaScript 高级程序设计>,未免遗忘读过的内容,就打算以博客的形式做些读书笔记.今天介绍的是 JavaScript 中的四种定义对象的方法,除了这四种方法,还有工厂 ...

  4. Jquery解析Json格式数据

    今天稍微学习了一下Json,JSON (JavaScript Object Notation) 是一种轻量级的数据交换格式. 易于人阅读和编写.同时也易于机器解析和生成. JSON采用完全独立于语言的 ...

  5. scala 学习笔记七 基于类型的模式匹配

    1.介绍 Scala 提供了强大的模式匹配机制,应用也非常广泛. 一个模式匹配包含了一系列备选项,每个都开始于关键字 case.每个备选项都包含了一个模式及一到多个表达式.箭头符号 => 隔开了 ...

  6. ListBoxEdit

    <dxe:ListBoxEdit ShowBorder="False" SelectedIndex="0" x:Name="lbView&quo ...

  7. (https专业版)2018年1月5日高仿互站仿友价T5虚拟交易+实物交易商城-站长交易源码送手机版程序10套模版+首页微信登陆+头部下拉导航

    (https专业版)2018年1月5日高仿互站仿友价T5虚拟交易+实物交易商城-站长交易源码送手机版程序10套模版+首页微信登陆+头部下拉导航 首页支持微信登陆,只有第8套模板支持(endv模板),后 ...

  8. [React] Simplify and Convert a Traditional React Form to Formik

    Forms in React are not easy. T render() { return ( <React.Fragment> <h2>Regular Maintena ...

  9. 5种调优Java NIO和NIO.2的方式

    Java NIO(New Input/Output)——新的输入/输出API包——是2002年引入到J2SE 1.4里的.Java NIO的目标是提高Java平台上的I/O密集型任务的性能.过了十年, ...

  10. uva 696 - How Many Knights

    题目链接:uva 696 - How Many Knights 题目大意:给出一个n * m的网格,计算最多可以放置几个国际象棋中的骑士. 解题思路:分成三类来讨论: 1)min(n, m) == 1 ...