UGO设置基本权限: 只能一个用户,一个组和其他人
ACL设置基本权限: r、w、x
设定acl只能是root管理员用户. 相关命令: getfacl , setfacl

facl权限

简介

facl的权限是针对某一类用户设置的。
如果希望对某个指定的用户进行单独的权限控制就需要用到文件的访问控制列表acl
设定acl只能是root管理员用户。

使用方法

查看权限

在没有设定acl时,看到的权限是相同的,下面的结果是默认权限

[root@Test01 ~]# getfacl /tmp

getfacl: Removing leading '/' from absolute path names

# file: tmp

# owner: root

# group: root

# flags: --t

user::rwx

group::rwx

other::rwx

修改权限

#环境创建:

新增三个普通用户alice、bgx、jack

#权限需求

alice 拥有读写权限    rw

bgx  没有任何权限     -

jack 组拥有读权限     r

匿名用户拥有读写权限  rw

#权限设定

setfacl -m u:alice:rw test.txt

setfacl -m u:bgx:- test.txt

setfacl -m g:jack:r test.txt

setfacl -m o::rw test.txt

移除权限

移除文件或目录的所有facl权限    setfacl -b test.txt

移除jack组的权限               setfacl -x g:jack test.txt

删除目录的所有默认              acl setfacl -k /tmp

高级特性mask

mask用于临时降低用户或组的权限,但不包括文件的属主和匿名用户,那么mask最主要的作用是用来决定他们的最高权限。
mask默认不会对匿名用户降低权限,所以为了便于管理文件的访问控制,建议匿名用户的权限置为空。

临时降低用户或组权限setfacl -m mask::rw filename

提示:

.mask会影响所有用户,但不会影响属主以及匿名用户(掐头去尾)。

.mask权限决定了用户访问文件时的最高权限。

.mask用于临时降低用户访问文件的权限。

.任何重新设置acl访问控制会清理mask所设定的权限

高级特定default继承

alice能够对/opt目录以及以后在/opt目录下新建的文件有读、写、执行权限

)赋予 alice 对/opt 读写执行权限

etfacl -R -m u:alice:rwX /opt

)赋予 alice 对以后在/opt 下新建的文件有读写执行权限(使 alice 的权限继承)

setfacl -m d:u:alice:rwX /opt

)检查对应的权限

getfacl /opt/

getfacl: Removing leading '/' from absolute path names

# file: opt/

# owner: root

# group: bgx

user::rwx

user:alice:rwx

group::rwx

mask::rwx

other::rwx

default:user::rwx

default:user:alice:rwx

default:group::rwx

default:mask::rwx

default:other::rwx

ACL访问控制实践案例

案例1: 将新建文件的属性修改tom:admin, 权限默认为644
要求: tom对该文件有所有的权限, mary可以读写该文件, admin组可以读写执行该文件, jack只读该文件, 其他人一律不能访问该文件

//实验前, 建立几个普通用户

[root@xuliangwei ~]# useradd tom

[root@xuliangwei ~]# useradd bean

[root@xuliangwei ~]# useradd mary

[root@xuliangwei ~]# useradd jack

[root@xuliangwei ~]# useradd sutdent

[root@xuliangwei ~]# groupadd admin

[root@xuliangwei ~]# gpasswd -a mary admin

[root@xuliangwei ~]# gpasswd -a bean admin

//检查用户属性

[root@linux-node1 ~]# id tom

uid=(tom) gid=(tom) groups=(tom)

[root@linux-node1 ~]# id mary

uid=(mary) gid=(mary) groups=(mary),(admin)

[root@linux-node1 ~]# id bean

uid=(bean) gid=(bean) groups=(bean),(admin)

[root@linux-node1 ~]# id jack

uid=(jack) gid=(jack) groups=(jack)

[root@linux-node1 ~]# id sutdent

uid=(sutdent) gid=(sutdent) groups=(sutdent)

//准备相关文件

[root@linux-node1 ~]# cp /etc/passwd /root/

[root@linux-node1 ~]# chown tom:admin passwd

[root@linux-node1 ~]# chmod  passwd

//检查设定前的acl列表

[root@linux-node1 ~]# getfacl passwd

# file: passwd

# owner: tom

# group: admin

user::rw-

group::r--

other::r--

//设定acl权限

[root@linux-node1 ~]# setfacl -m u::rwx,u:mary:rw,u:jack:r,g:admin:rwx,o::- passwd

//检查acl权限

[root@linux-node1 ~]# getfacl passwd

# file: passwd

# owner: tom

# group: admin

user::rwx

user:jack:r--

user:mary:rw-

group::r--

group:admin:rwx

mask::rwx

other::---

acl的控制规则是从上往下匹配
1.tom由于是文件的拥有者,所以直接按照user::rwx指定的权限去操作
2.mary用户从上往下寻找匹配规则,发现user:mary:rw-能够精确匹配mary用户,尽管mary属于admin组,同时admin组有rwx的权限,但是由于mary用户的规则在前面,所有优先生效。
3.bean由于找不到精确匹配的规则,而bean是属于admin组,根据文件的定义,该文件是属于admin组,所以bean的权限是按照group:admin:rwx的权限去操作。
4.jack用户从上往下寻找匹配规则,发现user:jack:r--能够精确匹配jack用户。
5.student用户找不到精确匹配的user定义规则, 也找不到相关组的定义规则,最后属于other

案例2: lab acl setup

controller组成员有:student

sodor组成员有:thomas,james

目录: /shares/steamies

文件: /shares/steamies/file

脚本: /shares/steamies/test.sh

controller属于该目录的所属组, 新建文件必须属于controller组

sodor组的成员对该目录拥有rwx权限

sodor组成员james对该目录及子目录(包括以后新建立的文件)没有任何权限

实践操作

//准备用户

[root@linux-node1 ~]# groupadd controller

[root@linux-node1 ~]# groupadd sodor

[root@linux-node1 ~]# useradd student -G controller

[root@linux-node1 ~]# useradd thomas -G sodor

[root@linux-node1 ~]# useradd james -G sodor

//准备目录

[root@linux-node1 ~]# mkdir /shares/steamies -p

[root@linux-node1 ~]# echo "file" >> /shares/steamies/file

[root@linux-node1 ~]# echo "echo 123" >> /shares/steamies/test.sh

[root@linux-node1 ~]# chmod  /shares/steamies/test.sh

[root@linux-node1 ~]# chown -R  :controller /shares/steamies/

[root@linux-node1 ~]# chmod g+s /shares/steamies/

//设定权限(X表示,如果原本有执行权限就保留,如果没有则不添加)

[root@linux-node1 ~]# setfacl -R -m g:sodor:rwX,u:james:- /shares/steamies/

//设定继承规则

[root@linux-node1 ~]# setfacl -R -m d:g:sodor:rwX,d:u:james:- /shares/steamies/

[root@linux-node1 steamies]# getfacl /shares/steamies/

getfacl: Removing leading '/' from absolute path names

# file: shares/steamies/

# owner: root

# group: controller

# flags: -s-

user::rwx

user:james:---

group::r-x

group:sodor:rwx

mask::rwx

other::r-x

default:user::rwx

default:group::r-x

default:group:sodor:rwx

default:mask::rwx

default:other::r-x

linux用户权限 -> ACL访问控制的更多相关文章

  1. linux用户权限相关内容查看

    linux用户权限相关内容查看 1   用户信息 创建用户一个名为 webuser 的账号,并填写相应的信息: root@iZ94fabhqhuZ:~# adduser webuser Adding ...

  2. linux用户管理,linux用户口令管理,linux用户组管理,linux用户权限管理详解

    linux用户管理 http://www.qq210.com/shoutu/android 用户账号的添加(新加用户需添加用户口令) :增加用户账号就是在/etc/passwd文件中为新用户增加一条记 ...

  3. Linux - 用户权限相关命令

    用户权限相关命令 目标 用户 和 权限 的基本概念 用户管理 终端命令 组管理 终端命令 修改权限 终端命令 01. 用户 和 权限 的基本概念 1.1 基本概念 用户 是 Linux 系统工作中重要 ...

  4. Linux用户权限指令, 定时任务等指令

    一. 网卡配置详解 网络配置文件: /etc/sysconfig/network 网络接口配置文件: /etc/sysconfig/network-scripts/ifcfg-INTERFACE_NA ...

  5. linux用户权限 -> 系统用户管理

    用户基本概述: Linux用户属于多用户操作系统,在windows中,可以创建多个用户,但不允许同一时间多个用户进行系统登陆,但是Linux可以同时支持多个用户同时登陆操作系统,登陆后互相之间并不影响 ...

  6. 大数据之Linux用户权限设置

    用户 是Linux系统工作中重要的一环, 用户管理包括 用户 与 组 管理,在Linux系统中, 不论是由本级或是远程登录系统, 每个系统都必须拥有一个账号, 并且对于不同的系统资源拥有不同的使用权限 ...

  7. linux用户权限、系统信息相关命令(待学)

    用户权限相关命令 目标 用户 和 权限 的基本概念 用户管理 终端命令 组管理 终端命令 修改权限 终端命令 01.用户和权限的基本概念 1.1 基本概念 用户 是Linux系统工作中重要的一环, 用 ...

  8. linux用户权限 -> 系统基本权限

    比如rwxr-xr-x linux中正是这9个权限位来控制文件属主(User).属组(Group).其他用户(Other)基础权限. 用户对资源来说, 有三种角色 User(u): 属主用户(文件所有 ...

  9. 10.Linux用户权限

    1.权限基本概述 1. 什么是权限? 我们可以把它理解为操作系统对用户能够执行的功能所设立的限制,主要用于约束用户能对系统所做的操作,以及内容访问的范围,或者说,权限是指某个特定的用户具有特定的系统资 ...

随机推荐

  1. kafka-connect-hive Sink插件入门指南

    kafka-connect-hive是基于kafka-connect平台实现的hive数据读取和写入插件,主要由source.sink两部分组成,source部分完成hive表数据的读取任务,kafk ...

  2. Java EE之JSTL(下)

    3.使用国际化和格式化标签库(FMT命名空间) 如果你希望创建部署在Web上,并面向庞大的国际化用户的企业级Java应用程序,那么你最终需要为世界的特定区域进行应用程序本地化.这将通过国际化实现(通常 ...

  3. idea中Hibernate错误:无法解析表

    idea中Hibernate错误:无法解析表 这种情况主要是在idea中使用hibernate自定义注解,idea无法检查数据源 this inspecton controls whether the ...

  4. BZOJ 2140 稳定婚姻

    2140: 稳定婚姻 Description 我国的离婚率连续7年上升,今年的头两季,平均每天有近5000对夫妇离婚,大城市的离婚率上升最快,有研究婚姻问题的专家认为,是与简化离婚手续有关. 25岁的 ...

  5. 【agc003D】Anticube

    Portal --> agc003D Description 给你\(n\)个数,要从里面选出最多的数满足这些选出来的数中任意两个数的乘积都不是立方数 Solution (为什么感觉最近这种解法 ...

  6. python之旅:面向对象之继承与派生

    一 初识继承 编写类时,并非总要从空白开始.如果你要编写的类正好是另一个现成类的特殊版本,可使用继承来减少代码冗余,子类会“遗传”父类的属性,从而解决代码重用问题 什么是继承 继承是一种创建新类的方式 ...

  7. Java入门:创建多个对象

    当使用一个类实例化多个对象时,多个对象之间是什么关系?他们各自的数据会不会发生混淆?这次课跟大家讲解一下这个问题.学完本次课,大家应该对对象在内存中的表示方式有一个初步的了解,为理解更深入的面向对象概 ...

  8. Docker入门与应用系列(二)镜像管理

    1.1 什么是镜像 简单说,Docker镜像是一个不包含Linux内核而又精简的Linux操作系统. 1.2 镜像从哪里来 Docker Hub是由Docker公司负责维护的公共注册中心,包含大量的容 ...

  9. vue中import xxx from 和 import {xxx} from的区别

    1.import xxx from import FunName from ‘../xxx’ 对应js中的引用: export defualt function FunName() { return ...

  10. jubeeeeeat

    http://cdqz.openjudge.cn/2016/0003/ 总时间限制: 1000ms 内存限制: 256000kB 描述 众所周知,LZF很喜欢打一个叫Jubeat的游戏.这是个音乐游戏 ...