ACL:访问控制列表(Access Control List)。

一般来说权限是针对某一类用户设置的。例如:一个文件只有拥有者、组、其他用户三种设置方式,如果希望对某个指定的用户进行单独的权限控制,就需要用到文件的ACL。
基于普通文件或目录设置 ACL 就是对指定的用户或用户组设置文件的操作权限。
如果针对某个目录设置了 ACL,则目录中的文件会继承其 ACL;若针对文件设置了 ACL,则文件不再继承其所在目录的 ACL。

1、setfacl命令,用于管理文件的 ACL 规则,格式为“setfacl [参数] 文件名称”。

-m, --modify=acl:修改文件或目录的扩展ACL设置信息

-x, --remove=acl:从文件或目录删除一个扩展的ACL设置信息

-b, --remove-all:删除所有的扩展的ACL设置信息

-k, --remove-default:删除缺省的acl设置信息

-n, --no-mask:不要重新计算有效权限。setfacl默认会重新计算ACL mask,除非mask被明确的制定

-d, --default:设置默认的ACL设置信息(只对目录有效)

-R, --recursive:操作递归到所有子目录和 文件

常用的增加ACL权限
①给用户设定 ACL 权限:setfacl -m u:用户名:权限 指定文件名
②给用户组设定 ACL 权限:setfacl -m g:组名:权限 指定文件名

常用的删除ACL权限
①删除指定用户的ACL权限: setfacl -x u:用户名 文件名
②删除指定用户组的ACL权限:setfacl -x g:组名 文件名
③删除文件的所有ACL权限:setfacl -b 文件名

场景1:/home/data是ftp用户上传数据的目录,现在es用户需要能进行读取和执行。

[es@bigdata-senior01 ~]$ cd home/data  #没有权限进入

-bash: cd: home/data: 没有那个文件或目录

[es@bigdata-senior01 ~]$ getfacl /home/data

getfacl: Removing leading '/' from absolute path names

# file: home/data

# owner: xu.dm.ftp        #只有xu.dm.ftp有权限

# group: root

user::rwx

group::---

other::---

[es@bigdata-senior01 ~]$ ll home/data

ls: 无法访问home/data: 没有那个文件或目录

[es@bigdata-senior01 ~]$ setfacl -Rm u:es:rx /home/data

setfacl: /home/data: 不允许的操作

setfacl: /home/data: 权限不够

[es@bigdata-senior01 ~]$ sudo setfacl -Rm u:es:rx /home/data

[es@bigdata-senior01 ~]$ ll  /home/data -d

drwxr-x---+ 2 xu.dm.ftp root 224 11月 13 22:36 /home/data
#这个时候看到目录权限最后又个“+”号,说明是ACL控制目录

[es@bigdata-senior01 ~]$ getfacl /home/data

getfacl: Removing leading '/' from absolute path names

# file: home/data

# owner: xu.dm.ftp

# group: root

user::rwx

user:es:r-x     #es用户获取了rx权限

group::---

mask::r-x

other::---

场景2:删除/home/data目录es的acl权限,删除全部/home/data的acl权限

[es@bigdata-senior01 ~]$ sudo setfacl -x u:es /home/data

[es@bigdata-senior01 ~]$ ll /home/data -d

drwx------+ 2 xu.dm.ftp root 224 1月  12 22:45 /home/data

#实际上只有一个es用户设置了对/home/data的acl权限,删除后,目录里那个+;号依然在。
#用getfacl查看后,发现还有一个mask属性遗留

[es@bigdata-senior01 ~]$ getfacl /home/data

getfacl: Removing leading '/' from absolute path names

# file: home/data

# owner: xu.dm.ftp

# group: root

user::rwx

group::---

mask::---

other::---


#全部删除ACL

[es@bigdata-senior01 ~]$ sudo setfacl -b /home/data

[es@bigdata-senior01 ~]$ ll /home/data -d

drwx------. 2 xu.dm.ftp root 224 1月  12 22:45 /home/data

[es@bigdata-senior01 ~]$ getfacl /home/data

getfacl: Removing leading '/' from absolute path names

# file: home/data

# owner: xu.dm.ftp

# group: root

user::rwx

group::---

other::---

2、getfacl,用于显示文件上设置的 ACL 信息,格式为“getfacl 文件名称”。

CentOS ACL的更多相关文章

  1. Centos Consul集群及Acl配置

    一,准备工作 准备四台centos服务器,三台用于consul server 高可用集群,一台用于consul client作服务注册及健康检查.架构如下图所示 二,在四台服务器上安装consul 1 ...

  2. CentOS 7 文件权限之访问控制列表(ACL)

    Linux的ACL是文件权限访问的一种手段.当拥有者所属组其他人(own,group,other)不能满足给一个单独的用户设置单独的权限时,ACL的出现就很好的解决了该问题. 比如其他用户own,不属 ...

  3. Centos下ACL(访问控制列表)介绍(转)

    我们知道,在Linux操作系统中,传统的权限管理分是以三种身份(属主.属組以及其它人)搭配三种权限(可读.可写以及可执行),并且搭配三种特殊权限(SUID,SGID,SBIT),来实现对系统的安全保护 ...

  4. CentOS 7 使用 ACL 设置文件权限

    Linux  系统标准的 ugo/rwx 集合并不允许为不同的用户配置不同的权限,所以 ACL 便被引入了进来,为的是为文件和目录定义更加详细的访问权限,而不仅仅是这些特别指定的特定权限. ACL 可 ...

  5. CentOS 7 x64下Apache+MySQL(Mariadb)+PHP56的安装

    每次搭建新服务器,都要来来回回把这些包再装一下,来来回回搞了不下20遍了吧,原来都是凭经验,配置过程中重复入坑是难免的,故写此文做个备忘.虽然有像xampp这样的集成包,但是在生产环境的Linux发行 ...

  6. linux 账号管理与ACL权限设定

    此文涉及命令:useradd.usermod.userdel.passwd.chage.setfacl.getfacl.su.sudo.fingr.chfn.chsh.id.groupadd.grou ...

  7. 【转载】CentOS 6.4下Squid代理服务器的安装与配置

    一.简介 代理服务器英文全称是Proxy Server,其功能就是代理网络用户去取得网络信息. Squid是一个缓存Internet 数据的软件,其接收用户的下载申请,并自动处理所下载的数据.当一个用 ...

  8. CentOS 6.4下Squid代理服务器的安装与配置

    一.简介 代理服务器英文全称是Proxy Server,其功能就是代理网络用户去取得网络信息. Squid是一个缓存Internet 数据的软件,其接收用户的下载申请,并自动处理所下载的数据.当一个用 ...

  9. DNS部署(centos 6)

    DNS部署(主从) 安装环境:CentOS 6.8 准备两台主机:192.168.137.13(主DNS).192.168.137.14(从DNS) EPEL仓库使用阿里源 rpm -ivh http ...

随机推荐

  1. kalibr论文阅读笔记

    单目相机IMU标定 该论文将相机IMU标定分为两个大方面: 一. 使用基函数来估计时间偏差 二. 相机和IMU的空间位置转换 校准变量:重力.外参旋转和平移.时钟偏移.IMU位姿.加速度计偏置.陀螺仪 ...

  2. ORB-SLAM(五)KeyFrame类-最小生成树

    KeyFrame中维护了一个map,保存了与当前帧共视的KeyFrame*与权重(共视MapPonits数量).对关键帧之间关系是用加权有向图来完成的,那么理解其spanning tree生成树的原理 ...

  3. Docker - vim安装

    在使用docker容器时,有时候里边没有安装vim,敲vim命令时提示说:vim: command not found,这个时候就需要安装vim. apt-get install vim 若提示: R ...

  4. iOS性能调优工具

    总结: 三类工具 基础工具 (NSLog的方式记录运行时间.) 性能工具.检测各个部分的性能表现,找出性能瓶颈 内存工具.检查内存正确性和内存使用效率 性能工具: 可以衡量CPU的使用,时间的消耗,电 ...

  5. hdu1394Minimum Inversion Number(线段树,求最小逆序数)

    Minimum Inversion Number Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/32768 K (Java ...

  6. Python学习笔记(一)一一一环境安装错误总结

    第三方库安装 1   windows存在多个版本的python,pip安装Python库失败 解决方案:进入对应官网下载安装包,步骤:1 下载安装包到C:\Python36\Lib\site-pack ...

  7. jmeter 函数助手

    1.选项,函数助手对话框,打开函数助手 2.使用方法 输入参数,点击生成,可以直接使用(Name of variable in which to store the result (optional) ...

  8. 第七模块:项目实战一 第1章 项目实战:CRM客户关系管理系统开发

    01-crm介绍 02-权限系统介绍 03-第一版表结构设计 04-第二版表结构设计 05-orm中创建表结构 06-销售管理系统业务 07-销售管理系统权限信息录入 08-快速实现简单的权限控制的设 ...

  9. Python输入数据类型判断正确与否的函数大全(非常全)

      对于python输入数据类型判断正确与否的函数大致有三类: (1)type(),它的作用直接可以判断出数据的类型 (2)isinstance(),它可以判断任何一个数据与相应的数据类型是否一致,比 ...

  10. MongoDB->NoSQL(NoSQL = Not Only SQL ),意即"不仅仅是SQL"

    关系型数据库遵循ACID规则 事务在英文中是transaction,和现实世界中的交易很类似,它有如下四个特性: 1.A (Atomicity) 原子性 原子性很容易理解,也就是说事务里的所有操作要么 ...