Linux 系统访问控制列表ACL

常见的文件系统的一般权限(rwx)、特殊权限(SUID,SGID,STICK)、隐藏权限(chattr)其实有个共性——权限是针对某一类用户设置的。而如果希望对某个指定的用户进行单独的权限控制,那么就需要用文件的访问控制列表来实现啦。基于普通文件或目录设置文件访问控制列表(Access Control Lists,ACL)访问控制策略,通俗来说就是设置指定的特定用户或用户组对某个文件的操作权限。另外如果对某个目录设置了访问控制策略,那么子文件则继承其访问策略,而若对文件设置了访问控制策略则不再继承上级目录的控制策略。

如何设置ACL(文件控制访问列表)

获取文件控制访问列表的方式为:
getfacl FileName
设定文件控制访问列表的命令为setfacl,如果加上-m,就表示设定访问权限,-x表示取消访问权限:
setfacl -m u:USERNAME:MODE FileName
setfacl -m g:GROUPNAME:MODE FileName
如果是取消权限,则无需指定具体的权限,只指定用户名或组名即可:
setfacl -x u:USERNAME:MODE FileName
setfacl -x g:GROUPNAME:MODE FileName
setfacl -b FileName 取消对该文件上的所有ACL权限。

其它:

对用户设置权限实例
#setfacl -m u:username:rw- /test.txt       //普通的文件
#setfacl -Rm d:u:username:rw- /test/       //对目录设置

对组设置权限
#setfacl -m g:group:r-- /test.txt
#setfacl -m d:g:group:r-- /test/

查看权限
#getfacl filename/directory  //文件或目录名

常用的ls命令是看不到访问控制列表信息的,但是却可以看到文件的权限最后一个点(.)变成了加号(+),而这就意味着这个文件已经被设置有了ACL访问策略。

[root@rhel7 rusky]# ll
total 8
drwxrwxr-x+ 2 lxjtest users 6 Jul 21 02:33 lxjtest_mkdirtest
drwxrwxrwt+ 2 rusky rusky 6 Jul 20 21:58 testSticky
[rusky@localhost ~]$ cd /root/
-bash: cd: /root/: Permission denied
[rusky@localhost ~]$ su -
Password:
Last login: Mon Nov :: CST on pts/
[root@localhost ~]# setfacl -Rm u:rusky:rwx /root/
[root@localhost ~]# su - rusky
Last login: Mon Nov :: CST on pts/
[rusky@localhost ~]$ cd /root/
[rusky@localhost root]$ cat anaconda-ks.cfg [rusky@localhost root]$ ls -ld /root/
dr-xrwx---+ root root Nov : /root/
getfacl命令用于显示文件的ACL规则,格式为:"getfacl 文件名称"。
[root@localhost ~]# getfacl /root/
getfacl: Removing leading '/' from absolute path names
# file: root/
# owner: root
# group: root
user::r-x
user:rusky:rwx
group::r-x
mask::rwx
other::---
上一篇:基础003_V7-Memory Resources


下一篇:Python 数据库连接池DButils