ACL理论概述

9位的属主/属组/其他人访问控制系统已经得到证明是强大的,足以满足大多数管理方面的需求。

事实上,在所有非UNIX操作系统上都采用了一种实质上更为复杂的方式来管理对于文件的访问:访问控制列表(access control list),简称ACL。ACL不限制长度,可以包含用于多个用户或者用户组的权限规定。更先进的系统能让系统管理员指定部分权限的集合或者否定方式的权限。

因为在POSIX规范中增加了ACL,所以许多UNIX的变体也开始支持一种相当标准的ACL机制,这种机制和传统的UNIX 9位权限模式平行地发挥左右。

Linux的ACL主要是对标准的9位权限模型直接进行扩展。ACL可以按照用户和用户组的任意组合独立地设置rwx权限位。

ACL的主要命令

getfacl 命令可以显示一个文件当前的ACL

$ getfacl --help

getfacl 2.2. -- get file access control lists

Usage: getfacl [-aceEsRLPtpndvh] file ...

  -a,  --access           display the file access control list only

  -d, --default           display the default access control list only

  -c, --omit-header       do not display the comment header

  -e, --all-effective     print all effective rights

  -E, --no-effective      print no effective rights

  -s, --skip-base         skip files that only have the base entries

  -R, --recursive         recurse into subdirectories

  -L, --logical           logical walk, follow symbolic links

  -P, --physical          physical walk, do not follow symbolic links

  -t, --tabular           use tabular output format

  -n, --numeric           print numeric user/group identifiers

  -p, --absolute-names    don't strip leading '/' in pathnames

  -v, --version           print version and exit

  -h, --help              this help text

setfacl 命令可以修改或者设置文件当前的ACL

$ setfacl --help

setfacl 2.2. -- set file access control lists

Usage: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...

  -m, --modify=acl        modify the current ACL(s) of file(s)

  -M, --modify-file=file  read ACL entries to modify from file

  -x, --remove=acl        remove entries from the ACL(s) of file(s)

  -X, --remove-file=file  read ACL entries to remove from file

  -b, --remove-all        remove all extended ACL entries

  -k, --remove-default    remove the default ACL

      --set=acl           set the ACL of file(s), replacing the current ACL

      --set-file=file     read ACL entries to set from file

      --mask              do recalculate the effective rights mask

  -n, --no-mask           don't recalculate the effective rights mask

  -d, --default           operations apply to the default ACL

  -R, --recursive         recurse into subdirectories

  -L, --logical           logical walk, follow symbolic links

  -P, --physical          physical walk, do not follow symbolic links

      --restore=file      restore ACLs (inverse of `getfacl -R')

      --test              test mode (ACLs are not modified)

  -v, --version           print version and exit

  -h, --help              this help text

ACL实例

1. ACL随着chmod命令对权限模式位的修改而自动更新

$ touch example

$ ls -l example

-rw-rw-r--  eric eric  Dec  : example

$ getfacl example

# file: example

# owner: eric

# group: eric

user::rw-

group::rw-

other::r--

$ chmod  example

$ getfacl --omit-header example

user::rw-

group::r--

other::---

2. Mask规定了ACL能够给单个组和用户访问权限的上限。扩充上一个例子里的ACL,让它包括对某个特定用户和组的ACL,setfacl会自动提供一个合适的mask

$ ls -l example

-rw-r-----  eric eric  Dec  : example

$ setfacl -m user::r,user:squid:rw,group:squid:rw example

$ ls -l example

-r--rw----+  eric eric  Dec  : example

$ getfacl --omit-header example

user::r--

user:squid:rw-

group::r--

group:squid:rw-

mask::rw-

other::---

如上所示,setfacl命令产生了一个mask,让ACL中赋予的所有权限都发生了作用。在尝试访问文件的时候,要把有效UID同该文件属主的UID进行对比。如果他们一样,那么ACL中user::项权限就决定了能否访问。否则,匹配某个特定用户的ACL项,那么ACL项连同ACL的mask就一起决定了能否访问。如果没有特定于某个用户,那么文件系统会尝试找有效的组ACL项;如果还没有匹配项,那么在用other::这个ACL项。

3. 如果在一个有ACL的文件上,用chmod来控制组的访问权限,那么修改只对mask有影响。

$ getfacl --omit-header example

user::r--

user:squid:rw-

group::r--

group:squid:rw-

mask::rw-

other::---

$ ls -l example

-r--rw----+  eric eric  Dec  : example

$ chmod  example

$ ls -l example

-rwxrwx---+  eric eric  Dec  : example

$ getfacl --omit-header example

user::rwx

user:squid:rw-

group::r--

group:squid:rw-

mask::rwx

other::---

这里的ls输出有点误导性。尽管表面上看给组权限,但是没有人因为是组成员而有权执行该文件,为了让组有这样的权限,必须用setfacl编辑ACL本上。

Linux下的ACL的更多相关文章

  1. linux下通过acl配置灵活目录文件权限(可用于ftp,web服务器的用户权限控制)

    linux下通过acl配置灵活目录文件权限(可用于ftp,web服务器的用户权限控制) 发表于2012//07由feng linux 本身的ugo rwx的权限,对于精确的权限控制很是力不从心的,ac ...

  2. Shell初学(八)linux下的ACL

    [1]ACL的作用 简单直接解释一下ACL的作用,即把权限的个别化额外添加. 可以解决如下问题~~比如: [1.1]基于用户: 我有10个用户a1-a10,我有一个文件夹/tmp/test,我想给a1 ...

  3. 构建LINUX下的入侵检测系统——LIDS 系统管理命令--vlock

    构建LINUX下的入侵检测系统——LIDS   系统管理命令--vlock http://blog.chinaunix.net/uid-306663-id-2440200.html LIDS官方网站: ...

  4. Linux下Nagios的安装与配置

    一.本文说明 本文是在参考:http://www.cnblogs.com/mchina/archive/2013/02/20/2883404.html   David_Tang文章以及网上的一些资料完 ...

  5. linux下恢复误删除的文件方法(ext2及ext3)

     linux下恢复误删除的文件方法(ext2及ext3) 2009-12-19 15:23:47 分类: LINUX 如果是ext2文件系统的,直接用debugfs是可以恢复出来的,但对于ext3,d ...

  6. Linux下部署Symfony2对app/cache和app/logs目录的权限设置

    在linux下部署完Symfony2,可能在访问的时候会报app/logs或者app/cache目录没有写权限的错误.在linux下,如果我们在命令行登陆的用户和web应用服务器(apache.ngi ...

  7. Linux UGO和ACL权限管理

    自主访问控制(Discretionary Access Control, DAC)是指对象(比如程序.文件.进程)的拥有者可以任意修改或者授予此对象相应的权限.Linux的UGO(User, Grou ...

  8. linux下添加删除,修改,查看用户和用户组

    一.组操作 1.创建组: groupadd test #增加一个test组 2.修改组 groupmod -n test2 test #将test组的名子改成test2 3.删除组 groupdel ...

  9. linux下磁盘相关工具(待整理)

    一.概述: fsck tune2fs mke2fs badblocks mkfs* fdisk mount umount mknod e2label blkid hdparm mkswap swapo ...

随机推荐

  1. FullCalendar日历插件(中文API)

    FullCalendar提供了丰富的属性设置和方法调用,开发者可以根据FullCalendar提供的API快速完成一个日历日程的开发,本文将FullCalendar的常用属性和方法.回调函数等整理成中 ...

  2. 彻底搞定C指针--“函数名与函数指针”

    函数名与函数指针   一 通常的函数调用 一个通常的函数调用的例子: //自行包含头文件 void MyFun(int x); //此处的申明也可写成:void MyFun( int ); 点击打开链 ...

  3. Redis ----------String的操作

    set    key   value 设置key对应的值为String类型的value mset    key   value 一次设置多个 key对应的值 mget    key   value 一 ...

  4. HDU 3364 高斯消元

    Lanterns Time Limit: 2000/1000 MS (Java/Others)    Memory Limit: 65536/65536 K (Java/Others)Total Su ...

  5. Samba和NFS文件共享

    SAMBA文件共享服务 通过Yum软件仓库来安装Samba服务程序 [root@zhangjh ~]# yum install samba -y Samba 配置文件注释信息较多,为了便于配置,因此先 ...

  6. Android面试收集录7 AsyncTask详解

    1.Android中的线程 在操作系统中,线程是操作系统调度的最小单元,同时线程又是一种受限的系统资源,即线程不可能无限制地产生, 并且 **线程的创建和销毁都会有相应的开销.**当系统中存在大量的线 ...

  7. P2985 [USACO10FEB]吃巧克力Chocolate Eating

    P2985 [USACO10FEB]吃巧克力Chocolate Eating 题目描述 Bessie has received N (1 <= N <= 50,000) chocolate ...

  8. android获取未安装APK签名信息及MD5指纹

    站在巨人的肩膀上写博客: http://blog.csdn.net/wulianghuan/article/details/18400581 http://www.jb51.net/article/7 ...

  9. Docker容器 - 容器时间跟宿主机时间同步

    在Docker容器创建好之后,可能会发现容器时间跟宿主机时间不一致,这就需要同步它们的时间,让容器时间跟宿主机时间保持一致. 转载自:https://www.cnblogs.com/kevingrac ...

  10. Centos 7.X 安装JDK1.8

    一.查看本机jdk版本并卸载原有openjdk        查看       # java -version       openjdk version "1.8.0_144"  ...