Linux访问控制列表(Access Control List,简称ACL)
作者:尹正杰
版权声明:原创作品,谢绝转载!否则将追究法律责任。
一.ACL概述
ACL:Access Control List,实现灵活的权限管理
除了文件的所有者,所属组和其它人,可以对更多的用户设置权限
CentOS7 默认创建的xfs和ext4文件系统具有ACL功能
CentOS7 之前版本,默认手工创建的ext4文件系统无ACL功能,需手动增加
tune2fs –o acl /dev/sdb1
mount –o acl /dev/sdb1 /mnt/test
ACL生效顺序:所有者,自定义用户,自定义组,其他人
二.为jason用户对某个文件设置ACL权限
[root@node101.yinzhengjie.org.cn ~]# ll /data/
total
-rw-r--r--. jason devops Sep : jason.txt
-rw-r--r--. root devops Sep : root.txt
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# setfacl -m u:jason:- /data/root.txt #这里我们对jason用户设置的权限为空("-"),即无权限访问"/data/root.txt"文件。
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# ll /data/
total
-rw-r--r--. jason devops Sep : jason.txt
-rw-r--r--+ root devops Sep : root.txt #大家注意,该文件设置后属性后面的"."变成了"+",说明设置ACL权限啦
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt #我们可以使用该命令查看相应的ACL设置
getfacl: Removing leading '/' from absolute path names
# file: data/root.txt
# owner: root
# group: devops
user::rw-
user:jason:--- #我们发现jason用户对该文件的权限为0
group::r--
mask::r--
other::r-- [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# su -l jason
Last login: Tue Sep :: PDT on pts/
[jason@node101.yinzhengjie.org.cn ~]$
[jason@node101.yinzhengjie.org.cn ~]$ ll /data/root.txt
-rw-r--r--+ root devops Sep : /data/root.txt
[jason@node101.yinzhengjie.org.cn ~]$
[jason@node101.yinzhengjie.org.cn ~]$ cat /data/root.txt
cat: /data/root.txt: Permission denied
[jason@node101.yinzhengjie.org.cn ~]$
[jason@node101.yinzhengjie.org.cn ~]$ echo "尹正杰到此一游">> /data/root.txt
-bash: /data/root.txt: Permission denied
[jason@node101.yinzhengjie.org.cn ~]$
三.为属组对某个文件设置ACL权限
[root@node101.yinzhengjie.org.cn ~]# groupadd devops
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# id jason
uid=(jason) gid=(jason) groups=(jason)
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# usermod -G devops jason #为了测试,我们将jason用户加入devops组
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# id jason
uid=(jason) gid=(jason) groups=(jason),(devops)
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# ll /data/
total
-rw-r--r--. root root Oct : root.txt
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/
getfacl: Removing leading '/' from absolute path names
# file: data/
# owner: root
# group: root
# flags: --t
user::rwx
group::r-x
other::rwx [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt
getfacl: Removing leading '/' from absolute path names
# file: data/root.txt
# owner: root
# group: root
user::rw-
group::r--
other::r-- [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# su -l jason
Last login: Wed Oct :: CST on pts/
[jason@node101.yinzhengjie.org.cn ~]$
[jason@node101.yinzhengjie.org.cn ~]$ cat /data/root.txt
尹正杰到此一游
[jason@node101.yinzhengjie.org.cn ~]$
[jason@node101.yinzhengjie.org.cn ~]$ echo "jason到此一游" >> /data/root.txt #我们发现没有设置ACL权限无法写入数据。
-bash: /data/root.txt: Permission denied
[jason@node101.yinzhengjie.org.cn ~]$
[jason@node101.yinzhengjie.org.cn ~]$ exit
logout
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# setfacl -m g:devops:rw /data/root.txt #我们为devops组添加读写权限
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt
getfacl: Removing leading '/' from absolute path names
# file: data/root.txt
# owner: root
# group: root
user::rw-
group::r--
group:devops:rw-
mask::rw-
other::r-- [root@node101.yinzhengjie.org.cn ~]#
[jason@node101.yinzhengjie.org.cn ~]$ echo "jason到此一游" >> /data/root.txt #再次写入数据,发现数据写入成功啦!
[jason@node101.yinzhengjie.org.cn ~]$
[jason@node101.yinzhengjie.org.cn ~]$ cat /data/root.txt
尹正杰到此一游
jason到此一游
[jason@node101.yinzhengjie.org.cn ~]$
四.将一个文件的权限复制给另一个文件权限
[root@node101.yinzhengjie.org.cn ~]# setfacl -m u:jason:rw /data/root.txt
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt
getfacl: Removing leading '/' from absolute path names
# file: data/root.txt
# owner: root
# group: root
user::rw-
user:jason:rw-
group::r--
group:devops:rw-
mask::rw-
other::r-- [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# touch /data/a.txt
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt
getfacl: Removing leading '/' from absolute path names
# file: data/a.txt
# owner: root
# group: root
user::rw-
group::r--
other::r-- [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt | setfacl --set-file=- /data/a.txt #将/data/root.txt文件权限复制给/data/a.txt文件
getfacl: Removing leading '/' from absolute path names
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt
getfacl: Removing leading '/' from absolute path names
# file: data/a.txt
# owner: root
# group: root
user::rw-
user:jason:rw-
group::r--
group:devops:rw-
mask::rw-
other::r-- [root@node101.yinzhengjie.org.cn ~]#
五.清除ACL权限
1>.清除指定用户的ACL权限
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt
getfacl: Removing leading '/' from absolute path names
# file: data/a.txt
# owner: root
# group: root
user::rw-
user:jason:rw-
group::r--
group:devops:rw-
mask::rw-
other::r-- [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# setfacl -x u:jason /data/a.txt #清除jason用户的ACL权限。
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt
getfacl: Removing leading '/' from absolute path names
# file: data/a.txt
# owner: root
# group: root
user::rw-
group::r--
group:devops:rw-
mask::rw-
other::r-- [root@node101.yinzhengjie.org.cn ~]#
2>.清除指定组的ACL权限
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt
getfacl: Removing leading '/' from absolute path names
# file: data/a.txt
# owner: root
# group: root
user::rw-
group::r--
group:devops:rw-
mask::rw-
other::r-- [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# setfacl -x g:devops /data/a.txt #仅仅清除掉devops组的ACL权限
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/a.txt
getfacl: Removing leading '/' from absolute path names
# file: data/a.txt
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r-- [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]#
3>.清除所有ACL权限
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt
getfacl: Removing leading '/' from absolute path names
# file: data/root.txt
# owner: root
# group: root
user::rw-
user:jason:rw-
group::r--
group:devops:rw-
mask::rw-
other::r-- [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# setfacl -b /data/root.txt #清除所有ACL权限
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt
getfacl: Removing leading '/' from absolute path names
# file: data/root.txt
# owner: root
# group: root
user::rw-
group::r--
other::r-- [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]#
六.访问控制列表的注意事项
1>.mask只影响除所有者和other的之外的人和组的最大权限
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt
getfacl: Removing leading '/' from absolute path names
# file: data/root.txt
# owner: root
# group: root
user::rw-
group::r--
other::r-- [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# setfacl -m mask::rw /data/root.txt #mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(Effective Permission),用户和组的设置必须存在于mask权限设定范围内才会生效。
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt
getfacl: Removing leading '/' from absolute path names
# file: data/root.txt
# owner: root
# group: root
user::rw-
group::r--
mask::rw-
other::r-- [root@node101.yinzhengjie.org.cn ~]#
2>.--set选项会把原来又的ACL选项都删除,用新的替代,需要注意的是一定要包含UGO的设置,不能像-m一样只是添加ACL就可以
[root@node101.yinzhengjie.org.cn ~]# setfacl -b /data/root.txt
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt
getfacl: Removing leading '/' from absolute path names
# file: data/root.txt
# owner: root
# group: root
user::rw-
group::r--
other::--- [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# setfacl --set u::rw,u:jason:rw,g::r,o::- /data/root.txt
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# getfacl /data/root.txt
getfacl: Removing leading '/' from absolute path names
# file: data/root.txt
# owner: root
# group: root
user::rw-
user:jason:rw-
group::r--
mask::rw-
other::--- [root@node101.yinzhengjie.org.cn ~]#
3>.备份和恢复ACL(主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息)
[root@node101.yinzhengjie.org.cn ~]# getfacl -R /data/ > acl.txt #备份某个目录的文件ACL权限
getfacl: Removing leading '/' from absolute path names
[root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# cat acl.txt #查看备份目录的ACL权限信息
# file: data/
# owner: root
# group: root
# flags: --t
user::rwx
group::r-x
other::rwx # file: data//root.txt
# owner: root
# group: root
user::rw-
user:jason:rw-
group::r--
mask::rw-
other::--- # file: data//a.txt
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r-- [root@node101.yinzhengjie.org.cn ~]#
[root@node101.yinzhengjie.org.cn ~]# setfacl -R --set-file=acl.txt /data/ #恢复指定目录的ACL权限
[root@node101.yinzhengjie.org.cn ~]#
七.小试牛刀
>.在/testdir/dir里创建新文件自动属于webs组,组apps的成员如tomcat能对这些新文件有读写权限,组dbs的成员如:mysql只能对新文件有读权限,其它用户(不属于webs,apps,dbs)不能访问这个文件夹 >.备份/testdir/dir里所有文件的ACL权限到/root/acl.txt中,清除/test/dir中所有ACL权限,最后还原ACL权限。