Linux基础_ACL权限、mask值

acl权限在什么情况下使用:
当要给一个用户与文件的属主、属组、其他*限都不同的时候使用。也就是说,这个用户对应于这个文件不属于三个身份中的任何一种,是属于第四种身份,那么我们就需要使用acl权限去给他赋予单独的权限。

facl ——文件的访问控制列表

使用facl:

 getfacl 文件名			//查看文件的facl权限
 setfacl -m u:用户名:权限 文件名			//修改当前文件的acl权限
 ll  文件名
 -rwxrwxrw-+ 1 jack root 86 Jun 13 15:53  文件名     //在低11个字符处若有“+”,则说名文件有acl权限。
 setfacl -x u:jack 文件名         //删除jack对文件的属主权
 setfacl -b 文件名     //移除所有用户、组、其他的权限

setfacl其他用法:

用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m,       --modify-acl 更改文件的访问控制列表
-M,       --modify-file=file 从文件读取访问控制列表条目更改
-x,       --remove=acl 根据文件中访问控制列表移除条目
-X,       --remove-file=file 从文件读取访问控制列表条目并删除
-b,       --remove-all 删除所有扩展访问控制列表条目
-k,       --remove-default 移除默认访问控制列表
          --set=acl 设定替换当前的文件访问控制列表
          --set-file=file 从文件中读取访问控制列表条目设定
          --mask 重新计算有效权限掩码
-n,       --no-mask 不重新计算有效权限掩码
-d,       --default 应用到默认访问控制列表的操作
-R,       --recursive 递归操作子目录
-L,       --logical 依照系统逻辑,跟随符号链接
-P,       --physical 依照自然逻辑,不跟随符号链接
          --restore=file 恢复访问控制列表,和“getfacl -R”作用相反
          --test 测试模式,并不真正修改访问控制列表属性
-v,       --version           显示版本并退出
-h,       --help              显示本帮助信息

实例:

[root@erhou ~]# getfacl file1
# file: file1
# owner: jack
# group: root
user::rwx
group::rwx
other::rw-
[root@erhou ~]# setfacl -m u:tom:rx file1
[root@erhou ~]# ll file1
-rwxrwxrw-+ 1 jack root 86 Jun 13 15:53 file1
[root@erhou ~]# getfacl file1
# file: file1
# owner: jack
# group: root
user::rwx
user:tom:r-x
group::rwx
mask::rwx
other::rw-
[root@erhou ~]# setfacl -x u:tom file1
[root@erhou ~]# ll file1
-rwxrwxrw-+ 1 jack root 86 Jun 13 15:53 file1
[root@erhou ~]# getfacl file1
# file: file1
# owner: jack
# group: root
user::rwx
group::rwx
mask::rwx
other::rw-
[root@erhou ~]# setfacl -b file1
[root@erhou ~]# ll file1
-rwxrwxrw- 1 jack root 86 Jun 13 15:53 file1
[root@erhou ~]# getfacl file1
# file: file1
# owner: jack
# group: root
user::rwx
group::rwx
other::rw-

mask 权限,指的是用户或群组能拥有的最大 ACL 权限,也就是说,给用户或群组设定的 ACL 权限不能超过 mask 规定的权限范围,超出部分做无效处理。

举个例子,如果像上面命令那样,给 tom用户赋予访问 file1的 r-x 权限,此时并不能说明 tom 用户就拥有了对该文件的读和访问权限,还需要和 mask 权限对比,r-x 确实是在 rwx 范围内,这时才能说 tom用户拥有 r-x 权限。

需要注意的是,这里将权限进行对比的过程,实则是将两权限做“按位相与”运算,最终得出的值,即为 tom用户有效的 ACL 权限。这里以读(r)权限为例,做相与操作的结果如表 1 所示:

读权限做相与操作

A 	B 	and
r 	r 	r
r 	- 	-
- 	r 	-
- 	- 	-

但是,如果把 mask 权限改为 r–,再和 tom 用户的权限 r-x 比对(r-- 和 r-w 做与运算),由于 r-w 超出 r-- 的权限范围,因此 tom 用户最终只有 r 权限,手动赋予的 w 权限无效。这就是在设定 ACL 权限时 mask 权限的作用。

大家可以这样理解 mask 权限的功能,它将用户或群组所设定的 ACL 权限限制在 mask 规定的范围内,超出部分直接失效。

mask 权限可以使用 setfacl 命令手动更改,比如,更改 file1文件 mask 权限值为 r-x,可执行如下命令:

[root@ergou ~]# setfacl -m m:rx file1
#设定mask权限为r-x,使用"m:权限"格式

[root@ergou ~]# getfacl file1
#file:file1
#owner: jack
#group: root
user::rwx
group::rwx
mask::r-x  <--mask权限变为r-x
other::---

不过,我们一般不更改 mask 权限,只要赋予 mask 最大权限(也就是 rwx),则给用户或群组设定的 ACL 权限本身就是有效的。

上一篇:ACL访问控制列表


下一篇:ACL相关知识