ACL实现灵活的权限管理

ACL实现灵活的权限管理

除了文件的所有者,所属组和其它人,可以对更多的用户设置权限

CentOS7当中,无论是操作系统安装时还是之后手工创建的文件系统(xfsext4)均会开启ACL功能。

CentOS6及之前的版本,仅操作系统安装时创建的文件系统才会默认开启ACL,手工创建的文件系统,需要手工开启ACL功能。

mount -o acl /dev/sda7  取消的方式,重新挂载时不指定即可

tune2fs -o acl /dev/sda7 取消的方式 tune2fs -o ^acl /dev/sda7

 

ACL权限判断的顺序

先判断是否是文件的OWNER,如果是,则执行OWNER的权限后结束,如果不是OWNER,则判断是否是ACLUSER,如果是则执行USER权限后结束,如果不是ACLUSER, 则判断是否属于GROUPACL GROUP,如果是,则取最大权限。如果不属于任何GROUP,则执行OTHER

所有人->ACLuser>所有组和ACLgroup->其他人

ACL实现灵活的权限管理

将文件f1的所属人权限改为,将文件f1 ACL里的user :liubei权限设为rwx,切换到liubei用户下,此时该用户对f1文件啥都不能做,说明文件的ower权限大于ACLuser权限。

ACL实现灵活的权限管理

将文件f1 acluser:guanyu的权限设为,将acl里的group:guanyu的权限设为rw-,进入guanyu用户下,此时不能查看修改文件f1,所以acluser权限大于group权限。

ACL实现灵活的权限管理

文件f1的组权限为aclgroupguanyu的权限为rwx,切换到guanyu用户下,能查看修改执行文件

ACL实现灵活的权限管理

文件f1组权限为rwx,aclgroup:guanyu权限为rw-,切换到guanyu用户下,此时能执行文件。

所以如果不是ACLUSER, 则判断是否属于GROUPACL GROUP,如果是,则取最大权限。

 

为多用户或者组的文件和目录赋予访问权限rwx:

setfacl -m u:liubei:— f1  设置ACL USER

setfacl -m g:shuguo:rwx f1  设置ACL GROUP

setfacl -M acl.txt f1[dir1](将一个文件的ACL,导入到另一个文件中)

acl.txt 内容来自getfacl f1 > acl.txt,如下

# file: fstab

# owner: root

# group: root

user::rw-

user:zhangfei:rwx

group::r–

mask::rwx

other::r–

ACL实现灵活的权限管理

setfacl -Rm u:zhangfei:rwx acltest/   递归设置

setfacl -m mask:rwx f1 设置mask的权限

chmod g=rwx f1 一旦设置了ACL权限后,原有的文件GROUP不可再更改,使用chmod g=即修改ACL MASK(用ll命令显示的文件组权限变为mask

ACL MASK随着新的ACL设置会被重置,重置的标准是让该文件上的所有ACL及文件原GROUP上的权限都有效。

ACL实现灵活的权限管理

给文件f1的组权限设成rwx,但文件f1 ACL里组权限还是原本的rw-,而mask权限变为rwx,切换到guanyu用户下,执行文件f1,权限被拒绝。

ACL实现灵活的权限管理

原本文件f1 ACLmask权限为rwx,当把文件组权限改为时,可以发现组权限并没有发生变化,而mask权限变为,所以当文件设置了ACL权限后,原有的文件GROUP不可再更改,使用chmod g=即修改ACL MASK

ACL实现灵活的权限管理

mask权限为时,ACL中的user权限和group权限都会受到作用(除了owner,mask权限会约束到ACLusergroup权限,两者(maskACL USERmaskACL group)权限取并集。

最好最后设置mask,是为了保障每一条ACL都能够生效。

 

setfacl -x u:liubei f1  单独去除一条ACL权限

setfacl -X aclrm.txt f1[ f2 f3 *](批量删除ACL:先创建一个文件在里面写入你所要删除的ACL,格式如下图)

aclrm.txt 内容如下

u:liubei

g:shuguo

ACL实现灵活的权限管理

setfacl -b f1 去除该文件上ACL属性(文件中mask也被删掉了)。

setfacl -m d:u:guanyu:rwx dir1  设置ACL默认权限,仅影响新创建的文件及目录,不影响当前。

ACL实现灵活的权限管理

 

ACL实现灵活的权限管理

此时进入guanyu用户下,进入/app/acltest/dir1,但是不能创建文件,说明guanyu用户是以其他身份来访问dir1目录的。

ACL实现灵活的权限管理

回到root用户下,发现之后在dir1中创建的文件和目录都默认有ACL属性。

ACL实现灵活的权限管理

再切到guanyu用户下,进入dir1123目录中,发现能够创建文件了,而且文件也有默认ACL属性。说明guanyu用户此时拥有 setfacl -m d u:guanyu:rwx dir1 命令新增加acl user的权限,也说明该命令对当前目录不会生效,对子目录以下的有效。

setfacl -m u:guanyu:rwx dir1(setfacl -m d u:guanyu:rwx dir1 后面再敲setfacl -m u:guanyu:rwx dir1(两者顺序可以颠倒)就可以在当前目录也生效)

setfacl -x d:sunquan d11 删除一条默认权限

setfacl -k d1 删除全部默认权限

setfacl -b d1 删除ACL属性

 

备份和恢复ACL

getfacl -R /tmp/dir1 > acl.txt  将目录下的所有文件的ACL属性备份到文件

setfacl -R -b /tmp/dir1 清除目录下所有文件的ACL属性

setfacl -R –set-file=acl.txt /tmp/dir1   通过文件还原ACL属性的方法1

setfacl –restore acl.txt    通过文件还原ACL属性的方法2

 

 

原创文章,作者:fuming,如若转载,请注明出处:http://www.178linux.com/82811

(0)
fumingfuming
上一篇 2017-07-27
下一篇 2017-07-27

相关推荐

  • DNS服务和搭建

    DNS服务:        名字解析        DNS 服务        实现主从服务器        实现子域        实现view  …

    2017-04-16
  • 马哥教育网络班22期+第13周作业

    week13 1、建立samba共享,共享目录为/data,要求:(描述完整的过程)   1)共享名为shared,工作组为magedu;   2)添加组develop,添加用户gentoo,centos和ubuntu,其中gentoo和centos以develop为附加组,ubuntu不属于develop组;密码均为…

    Linux干货 2016-11-21
  • 第二周作业

    新建 Microsoft Word 文档.docx

    Linux干货 2016-12-13
  • CentOS6.7上编译安装Apache2.2和Apache2.4

    centos6.7上如何编译安装Apache2.2和Apache2.4

    Linux干货 2016-05-29
  • 脚本实现httpd创建虚拟主机

    概述 本文使用脚本实现基于主机名的虚拟主机按需创建: 脚本可接受参数,提供独立站点目录; 生成独立站点首页; 脚本可接受参数,参数虚拟主机名称; 每虚拟使用单独的配置文件; 脚本可接受参数,参数虚拟主机名称; 环境 系统基于CentOS7.2,并通过yum安装httpd 2.4.6 建议关闭防火墙和selinux。 演示   客户机将域名解析写入/…

    Linux干货 2016-10-08
  • CentOS启动流程排错

    grub legacy CentOS 6启动流程: POST –> Boot Sequence(BIOS) –> Boot Loader –> Kernel(ramdisk) –> rootfs –> switchroot –> /sbin/init …

    Linux干货 2016-09-13