1. 什么是ACL

ACL即Access Control List 主要的目的是提供传统的owner,group,others的read,write,execute权限之外的具体权限设置

ACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制,对于需要特殊权限的使用状况有一定帮助。

如,某一个文件,不让单一的某个用户访问。或者只让某个用户访问

2. ACL的使用

ACL使用两个命令来对其进行操作
    getfacl:查看某个文件/目录的ACL设置
    setfacl:设置某个文件/目录的ACL设置

2.1  getfacl的使用

getfacl:查看某个文件/目录的ACL设置

getfacl + 文件或目录的路径

2.2 setfacl的使用

setfacl:设置某个文件/目录的ACL设置

-m:设置后续acl参数 (设定额外的ACL)
  -x:删除后续acl参数  (删除额外的ACL)
  -b:删除全部的acl参数
  -k:删除默认的acl参数
  -R:递归设置acl,包括子目录
  -d:设置默认acl

3. 为文件配置ACL

问题:

oldboy.txt 文件 希望oldboy用户对这个文件有读写权限

www用户只能进行读取   其他用户没有权限

oldboy.txt

3.1 创建环境

首先创建三个测试用户
[root@oldboyedu-50 oldboy]# useradd oldboy
[root@oldboyedu-50 oldboy]# useradd www
[root@oldboyedu-50 oldboy]# useradd LH
[root@oldboyedu-50 oldboy]# touch oldboy.txt 创建测试文件
[root@oldboyedu-50 oldboy]# ll oldboy.txt         查看默认权限
-rw-r--r-- 1 root root 0 Aug  8 19:42 oldboy.txt
[root@oldboyedu-50 oldboy]# getfacl oldboy.txt    查看acl权限
# file: oldboy.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--

3.2 配置 其他用户没有权限

chmod 640 oldboy.txt 达成其他用户没有权限 LH此处代表的是其他用户  所以用LH用户测试
[root@oldboyedu-50 oldboy]# chmod 640 oldboy.txt   先将权限改为 其他用户都没有权限
[root@oldboyedu-50 oldboy]# ll oldboy.txt          检查  已修改
-rw-r----- 1 root root 0 Aug  8 19:42 oldboy.txt
登录LH用户测试
[LH@oldboyedu-50 ~]$ ll /oldboy/                  LH用户看不到oldboy.txt这个文件
total 20
-rw-r--r--  1 root   root     66 Aug  8 17:09 ett.txt
-rw-r-----. 1 root   root    292 Aug  6 13:51 id.txt
-rw-r--r--  1 root   root     27 Aug  6 13:37 info.txt
-rw-r--r--  1 root   root     24 Aug  6 12:51 nginx.log
-rw-r-----  1 root   root      0 Aug  8 19:42 oldboy.txt
d-wxr-xr-x  2 oldboy oldboy 4096 Aug  7 13:01 test

3.3 配置oldboy用户

setfacl -m u:oldboy:rw oldboy.txt
-m 表示 配置额外的ACL  u:oldboy 表示为oldboy用户配置 :rw  表示配置rw(读写权限)  
-m u:oldboy:rw  所以连起来 此处表示 额外为oldboy用户赋予rw权限  配置完后可以getfacl查看
退出到root用户 修改oldboy的权限
[root@oldboyedu-50 oldboy]# setfacl -m u:oldboy:rw oldboy.txt
[root@oldboyedu-50 oldboy]# getfacl oldboy.txt
# file: oldboy.txt
# owner: root
# group: root
user::rw-
user:oldboy:rw-
group::r--
mask::rw-
other::---
进入到oldboy用户测试
[oldboy@oldboyedu-50 oldboy]$ vim oldboy.txt   可以读取 可以修改

3.4 配置www用户

继续 退出到root用户 修改www的权限
[root@oldboyedu-50 oldboy]# setfacl -m u:www:r oldboy.txt  修改www用户的权限 使其可读
[root@oldboyedu-50 oldboy]# getfacl oldboy.txt
# file: oldboy.txt
# owner: root
# group: root
user::rw-
user:oldboy:rw-
user:www:r--
group::r--
mask::rw-
other::---
进入到www权限
[www@oldboyedu-50 ~]$ vim /oldboy/oldboy.txt 使用vim
进入编辑模式 底部会显示红字Warning: Changing a readonly file    (要修改一个只读文件)
到此处全部完成

4. ACL常见问题

4.1 MASK值的问题

如果getfacl查看文件有MASK值 那么ls查看位于用户组的权限代表的就是mask值 而不再是group用户组了

我们举个例子

新建一个文件 linux.txt  查看下权限  新文件默认权限为644

[root@oldboyedu-50 oldboy]# touch linux.txt
[root@oldboyedu-50 oldboy]# echo "123" >> linux.txt
[root@oldboyedu-50 oldboy]# cat linux.txt
123
[root@oldboyedu-50 oldboy]# ll linux.txt             ll查看文件属性信息
-rw-r--r-- 1 root root 0 Aug  8 21:49 linux.txt
[root@oldboyedu-50 oldboy]# getfacl linux.txt        getfacl查看下linux,txt的默认权限
# file: linux.txt
# owner: root
# group: root
user::rw-
group::r--
other::r--

模拟一下环境

我们把linux,txt所属的用户组换成LH  (LH的用户组包含用户LH)

方便等下测试

[root@oldboyedu-50 oldboy]# chown .LH linux.txt
[root@oldboyedu-50 oldboy]# ll linux.txt
-rw-r--r-- 1 root LH 0 Aug  8 21:49 linux.txt
[root@oldboyedu-50 oldboy]# getfacl linux.txt
# file: linux.txt
# owner: root
# group: LH
user::rw-
group::r--
other::r--

修改下权限  给oldboy用户加上一个单独的rwx权限

[root@oldboyedu-50 oldboy]# setfacl -m u:oldboy:rwx linux.txt   增加额外的权限
[root@oldboyedu-50 oldboy]# getfacl linux.txt                   查看权限
# file: linux.txt
# owner: root
# group: LH
user::rw-
user:oldboy:rwx
group::r--
mask::rwx                       多出了一个MASK
other::r--

[root@oldboyedu-50 oldboy]# ll linux.txt
-rw-rwxr--+ 1 root LH 0 Aug  8 21:49 linux.txt     ll查看文件属性  用户组所属位置的权限也变成了rwx

我们测试一下现在用户组的权限到底是一开始的r  还是现在的rwx

用LH用户测试 现在用户组是LH的

[LH@oldboyedu-50 oldboy]$ ll linux.txt           先查看下权限
-rw-rwx---+ 1 root LH 4 Aug  9 08:33 linux.txt
[LH@oldboyedu-50 oldboy]$ cat linux.txt          可以读取  因为用户组默认有r权限
123
[LH@oldboyedu-50 oldboy]$ /oldboy/linux.txt      无法执行
-bash: /oldboy/linux.txt: Permission denied
[LH@oldboyedu-50 oldboy]$ echo " >> linux.txt   无法修改
-bash: linux.txt: Permission denied

所以测试可以发现 虽然用户组位置权限变成了rwx但是用户组实际的权限并没有变 还是原来的r

所以getfacl查看文件有MASK值 那么ls查看位于用户组的权限代表的就是mask值 而不再是group用户组了

也可以理解为修改了ACL后  ls查看的文件权限就不是全部显示的了

更改了ACL  权限应该以getfacl查看的为准。

Linux下 FACL详解的更多相关文章

  1. Linux 下crontab 详解转

    http://yaksayoo.blog.51cto.com/510938/162062 Linux计划任务工具cron用法详解 linux下大名鼎鼎的计划任务工具crontab的使用介绍baidu. ...

  2. 12 Linux下crontab详解

    1. 概述: crond是linux下用来周期性的执行某种任务或等待处理某些事件的一个守护进程,与windows下的计划任务类似,当安装完成操作系统后,默认会安装此服务工具,并且会自动启动crond进 ...

  3. 【转载】Linux下makefile详解--跟我一起写 Makefile

    概述 —— 什么是makefile?或许很多Winodws的程序员都不知道这个东西,因为那些Windows的IDE都为你做了这个工作,但我觉得要作一个好的和professional的程序员,makef ...

  4. Linux下crontab详解

    1.crond介绍 crond是Linux下的任务调度命令,让系统定期执行指定程序.crond命令每分钟都会检查是否有要执行的工作,若有要执行的程序便会自动执行. linux下任务调度工作主要分两类: ...

  5. Linux下lampp详解 (转)

    重要文件解释: ProFTPD:一个Unix平台上或是类Unix平台上(如Linux, FreeBSD等)的FTP服务器程序,它是在自由软件基金会的版权声明(GPL)下开发.发布的免费软件,可以随意修 ...

  6. LINUX下 Udev详解

    如果你使用Linux比较长时间了,那你就知道,在对待设备文件这块,Linux改变了几次策略.在Linux早期,设备文件仅仅是是一些带有适当的属性集的普通文件,它由mknod命令创建,文件存放在/dev ...

  7. Linux下Samba详解及安装配置

    1.简介 2.安装配置 3.在windows和linux系统上验证 一.简介 早期网络想要在不同主机之间共享文件大多要用FTP协议来传输,但FTP协议仅能做到传输文件却不能直接修改对方主机的资料数据, ...

  8. Linux下mknod详解

    mknod - make block or character special filesmknod [OPTION]... NAME TYPE [MAJOR MINOR] option 有用的就是 ...

  9. Linux 下DNS详解

    配置之前先了解一下bind DNS服务器软件:BIND是一种开源的DNS(Domain Name System)协议的实现,包含对域名的查询和响应所需的所有软件.它是互联网上最广泛使用的一种DNS服务 ...

随机推荐

  1. poj 3667 Hotel (线段树的合并操作)

    Hotel The cows are journeying north to Thunder Bay in Canada to gain cultural enrichment and enjoy a ...

  2. BBS+Blog项目流程及补充知识点

    项目流程: 1. 产品需求 (1)基于用户认证组件和Ajax实现登陆验证(图片验证码) (2)基于forms组件和Ajax实现注册功能 (3)设计系统首页(文章列表渲染) (4)设计个人站点页面 (5 ...

  3. [NOIP2004] 提高组 洛谷P1090 合并果子

    题目描述 在一个果园里,多多已经将所有的果子打了下来,而且按果子的不同种类分成了不同的堆.多多决定把所有的果子合成一堆. 每一次合并,多多可以把两堆果子合并到一起,消耗的体力等于两堆果子的重量之和.可 ...

  4. msp430入门学习23

    msp430的ADC(模数转换) msp430入门学习

  5. Servlet的HTTP状态码

    以下内容引用自http://wiki.jikexueyuan.com/project/servlet/http-status-codes.html: HTTP请求的格式和HTTP响应消息的格式是相似的 ...

  6. mysql建表语句key的含义

    CREATE TABLE `admin_role` (  `adminSet_id` varchar(32) NOT NULL,  `roleSet_id` varchar(32) NOT NULL, ...

  7. Map根据value排序ASC DESC

    原文:http://blog.csdn.net/k21325/article/details/53259180 需求有点刁钻,写关键词组合匹配标题的时候,遇到关键词像这样 XXX XXX 1222 X ...

  8. python加载和使用java的类的方法

    在开发python项目的时候,有时候会用的java的jar包 有这么几个python的三方包可以用: pyjnius:bug list:https://github.com/kivy/pyjnius/ ...

  9. Linux---有关dig命令的有用脚本

    这里直接给出脚本以及运行的效果图,主要推断了一下cdn然后能够直接过滤url.默认就是dig +域名 +short. 脚本qdig(随便能够取一个名字)例如以下: #!/usr/bin/env bas ...

  10. Oracle 远程访问配置 在 Windows Forms 和 WPF 应用中使用 FontAwesome 图标 C#反序列化XML异常:在 XML文档(0, 0)中有一个错误“缺少根元素” C#[Win32&WinCE&WM]应用程序只能运行一个实例:MutexHelper Decimal类型截取保留N位小数向上取, Decimal类型截取保留N位小数并且不进行四舍五入操作

    Oracle 远程访问配置   服务端配置 如果不想自己写,可以通过 Net Manager 来配置. 以下配置文件中的 localhost 改为 ip 地址,否则,远程不能访问. 1.网络监听配置 ...