如何在Linux下设置访问控制列表来控制用户的权限
发布网友
发布时间:2022-04-21 04:10
我来回答
共2个回答
热心网友
时间:2023-07-21 14:23
ACL支持多种Linux文件系统,包括ext2, ext3, ext4, XFS, Btfrs, 等。如果你不确定你的文件系统是否支持ACL,请参考文档。
在文件系统使ACL生效
首先,我们需要安装工具来管理ACL。
Ubuntu/Debian 中:
$ sudo apt-get install acl
CentOS/Fedora/RHEL 中:
# yum -y install acl
Archlinux 中:
# pacman -S acl
出于演示目的,我将使用ubuntu server版本,其他版本类似。
安装ACL完成后,需要激活我们磁盘分区的ACL功能,这样我们才能使用它。
首先,我们检查ACL功能是否已经开启。
$ mount
你可以注意到,我的root分区中ACL属性已经开启。万一你没有开启,你需要编辑/etc/fstab文件,在你需要开启ACL的分区的选项前增加acl标记。
现在我们需要重新挂载分区(我喜欢完全重启,因为我不想丢失数据),如果你对其它分区开启ACL,你必须也重新挂载它。
$ sudo mount / -o remount
干的不错!现在我们已经在我们的系统中开启ACL,让我们开始和它一起工作。
ACL 范例
基础ACL通过两条命令管理:setfacl用于增加或者修改ACL,getfacl用于显示分配完的ACL。让我们来做一些测试。
我创建一个目录/shared给一个假设的用户,名叫freeuser
$ ls -lh /
我想要分享这个目录给其他两个用户test和test2,一个拥有完整权限,另一个只有读权限。
首先,为用户test设置ACL:
$ sudo setfacl -m u:test:rwx /shared
现在用户test可以随意创建文件夹,文件和访问在/shared目录下的任何地方。
现在我们增加只读权限给用户test2:
$ sudo setfacl -m u:test2:rx /shared
注意test2读取目录需要执行(x)权限
让我来解释下setfacl命令格式:
-m 表示修改ACL。你可以增加新的,或修改存在的ACLu: 表示用户。你可以使用 g 来设置组权限test 用户名:rwx 需要设置的权限。
现在让我向你展示如何读取ACL:
$ ls -lh /shared
你可以注意到,正常权限后多一个+标记。这表示ACL已经设置成功。要具体看一下ACL,我们需要运行:
$ sudo getfacl /shared
最后,如果你需要移除ACL:
$ sudo setfacl -x u:test /shared
如果你想要立即擦除所有ACL条目:
$ sudo setfacl -b /shared
最后,在设置了ACL文件或目录工作时,cp和mv命令会改变这些设置。在cp的情况下,需要添加“p”参数来复制ACL设置。如果这不可行,它将会展示一个警告。mv默认移动ACL设置,如果这也不可行,它也会向您展示一个警告。
热心网友
时间:2023-07-21 14:24
访问控制列表简称ACL(是Access Control List的缩写),可以针对用户来设置权限,设置ACL的命令是setfacl,下面是setfacl的指令用法介绍及最简单的u:用户名:权限(针对某个用户)设定。
[root@myhost〜]#setfacl [-bkRd] [{-m | -x} ACL参数] 文件或目录名
setfacl的选项与参数简介:
-m:设定后续的ACL参数给目标使用,不可与-x合用;
-x:删除后续的ACL参数,不可与-m合用;
-b:移除所有的ACL设定参数;
-k:删除默认的ACL参数
-R:递回设定ACL,亦即包括子目录都会被设定起来;
-d:设定『默认ACL参数』只对目录有效,在该目录新建的文件或文件夹会引用此预设值
上面谈到的是ACL的选项功能,那么如何设定ACL的权限呢。ACL权限的设定方法有很多,我们这里谈谈针对特定用户名的设定方式:
设定范例:u:用户名:rwx,例如针对myuser1的权限设定:
root@myhost〜]#touch acl_test1
[root@myhost〜]#ls -l acl_test1
-rw-r--r--. 1 root root 0 Jul 21 17:33 acl_test1
[root@myhost〜]#setfacl -m u:myuser1:rx acl_test1
[root@myhost〜]#ls -l acl_test1
-rw-r-xr--+ 1 root root 0 Jul 21 17:33 acl_test1
权限部分多了个+加号,而且与原本的权限644不同。然后输入命令:
getfacl acl_test1
就可以看到用户myuser1的权限是r-x。
[root@myhost〜]#setfacl -m u::rwx acl_test1
[root@myhost〜]#ls -l acl_test1
-rwxr-xr--+ 1 root root 0 Jul 21 17:33 acl_test1
设定值中的u后面没有用户名列表,代表设定该文件所有者,所以上面设定的是root的权限,root权限成rwx了
上述例子是最简单的ACL设定,利用u:用户名:权限的方式来设定,设定前加上-m这个选项。如果一个文件或目录设定了ACL参数后,他的权限部分就会多出一个+号了。