Linux 档案权限的新功能 Access Control Lists

来源：CnLinux.net

ACL(Access Control Lists)

传统的 Unix like 档案系统只能针对 user/group/other 来对档案设定权限(无法针对各别的使用者,群组来设定),而 ACL 可以针对各别的使用者/群组来设定权限.

Step 0:检查你的核心是否有支持 ACL 的功能

并不是每一个版本的核心都有支持 ACL 的功能,最简单的方式就是检查目前核心是否有支持.

#cat /boot/config-kernel-version | grep -i ext3

CONFIG_EXT3_FS=m

CONFIG_EXT3_IDEX=y

CONFIG_EXT3_FS_XATTR_SHARING=y

CONFIG_EXT3_FS_XATTR_USER=y

CONFIG_EXT3_FS_XATTR_TRUSTED=y

CONFIG_EXT3_FS_ACL=y

此时如果能看到上叙几项功能已经编译至核心中,那你的 ext3 档案系统已经有支持 ACL 的功能

如果没有那请自己编译一个含有上叙功能的模块吧!!这些功能在编译核心选项中的 File systems 下都可以找到.

如果你在编译核心时找不到上叙功能的模块,请至 ACL 的官方网站来安装 Kernel Patch

<http://acl.bestbits.at/>

Step 1:挂载扇区

你可以用下列的方式挂载扇区

#mount -t ext3 -o acl /dev/sda1 /fs1

你也可以直接写在 /etc/fstab 档案中,这样就可以在开机后支持 ACL 的功能

#vi /etc/fstab

-----------------------------------------------------------------------

..........略...................

LABEL=/fs1 /fs1 ext3 acl 1 2

-----------------------------------------------------------------------

Step 2:设定 ACL 的权限

ACL 可以针对下面四种权限来设定

1.个别的使用者

2.个别的群组

3. effective mask 的权限.

4.其它的使用者

下面是个别的说明

1.个别的使用者

假设 user1 user2 user3的使用者都以建立,或者用下面的方式来建立

root 登入系统

[root@unsvr root]#adduser user1

[root@unsvr root]#adduser user2

[root@unsvr root]#adduser user3

[root@unsvr root]#passwd user1

[root@unsvr root]#passwd user2

[root@unsvr root]#passwd user3

mount 一个 ext3 档案系统至目录 /fs1

[root@unsvr root]#mount -t ext3 -o acl /dev/sda1 /fs1

ex:user1 建立的档案开读写的权限给 user2

[root@unsvr root]#chmod -R 777 /fs1

让所有的使用者都能新增档案进入目录的权限

user1 登入系统

[user1@unsvr user1]# cd /fs1

[user1@unsvr fs1]# echo "Create by user1" > user1.txt

[user1@unsvr fs1]# chmod go-r user1.txt

[user1@unsvr fs1]# ll user1.txt

-rw------- 1 user1 user1 17 Jul 14 22:11 user1.txt

此时除了 user1 有读写的权限外没有其它人有读写 user1.txt 的权限(root 除外)

user2 登入系统

[user2@unsvr user2]# cd /fs1

[user2@unsvr fs1]# cat user1.txt

cat : user1.txt Permission denied

user1 登入系统

[user1@unsvr fs1]# setfacl -m u:user2:rw user1.txt

修改权限让 user2 有这个档案的读写权限

看一下他的档案属性变化

[user1@unsvr fs1]# ll

-rw-rw-r--+ 1 user1 user1 10 Feb 16 13:52 user1.txt

你会看到后面多了一个 "+" 表示这个档案有使用 ACL 的属性设定

再用指令 getfacl 来看 ACL 的档案属性设定为何

[user1@unsvr fs1]# getfacl user1.txt

# file: user1.txt

# owner: user1

# group: user1

user::rw-

user:user2:rw-

group::rw-

mask::rw-

other::r--

可以看到 user2 有权限读写这个档案.

user2 登入系统

[user2@unsvr user2]# cd /fs1

[user2@unsvr fs1]# cat user1.txt

Create by user1

user2 可以读取 user1.txt 档案了

[user2@unsvr fs1]# echo "Modify by user2" >> user1.txt

[user2@unsvr fs1]# cat user1.txt

Create by user1

Modify by user2

user2 也可以修改 user1.txt 档案了

user3 登入系统

[user3@unsvr user3]# cd /fs1

[user3@unsvr fs1]# cat user1.txt

cat : user1.txt Permission denied

除了 user1,user2 外没有其它人有读写 user1.txt 的权限(root 除外)

2.个别的群组

ACL 的个别群组权限设定就如同之前个别的使用者方法一样,不过群组的权限设定还要先设定 /etc/group,所以我们要做下列的练习要先做些设定.

假设 user1 user2 user3的使用者以及 group1 group2 群组都已建立,或者用下面的方式来建立

root 登入系统

[root@unsvr root]#adduser user1

[root@unsvr root]#adduser user2

[root@unsvr root]#adduser user3

[root@unsvr root]#passwd user1

[root@unsvr root]#passwd user2

[root@unsvr root]#passwd user3

设定群组

[root@unsvr root]#groupadd group1

[root@unsvr root]#groupadd group2

[root@unsvr root]#vi /etc/group

-----------------------------------------------------------------------

..................

group1:x:503:user1,user2

group2:x:504:user3

-----------------------------------------------------------------------

user1 user2 属于 group1 群组

user3 属于 group2 群组

mount 一个 ext3 档案系统至目录 /fs1

[root@unsvr root]#mount -t ext3 -o acl /dev/sda1 /fs1

ex:user1 想将他的档案分享给 group1 的人读写的权限.

user1 登入系统

[user1@unsvr user1]# cd /fs1

[user1@unsvr fs1]# echo "Create by group1's user1" > group1.txt

[user1@unsvr fs1]# chmod go-r user1.txt

[user1@unsvr fs1]# ll user1.txt

-rw------- 1 user1 user1 17 Jul 14 22:11 group1.txt

此时除了 user1 有读写的权限外没有其它人有读写 user1.txt 的权限(root 除外)

user2 登入系统

[user2@unsvr user2]# cd /fs1

[user2@unsvr fs1]# cat group1.txt

cat : group1.txt Permission denied

user1 登入系统

[user1@unsvr fs1]# setfacl -m g:group1:rw user1.txt

设定 group1 有权限读写这个档案.

note:

看一下他的档案属性变化

[user1@unsvr fs1]# ll

-rw-rw-r--+ 1 user1 user1 10 Feb 16 13:52 group1.txt

你会看到后面多了一个 "+" 表示这个档案有使用 ACL 的属性设定

再用指令 getfacl 来看 ACL 的档案属性设定为何

[user1@unsvr fs1]# getfacl group1.txt

# file: group1.txt

# owner: user1

# group: user1

user::rw-

group::rw-

group1:group1:rw-

mask::rw-

other::---

可以看到 group1 群组的人有权限读写这个档案.

user2 登入系统

[user2@unsvr user2]# cd /fs1

[user2@unsvr fs1]# cat group1.txt

Create by group1's user1

user2(group1 群组的人包括 user1 user2) 可以读取 group1.txt 档案了

[user2@unsvr fs1]# echo "Modify by group1's user2" >> group1.txt

[user2@unsvr fs1]# cat group1.txt

Create by group1's user1

Modify by group1's user2

user2(group1 群组的人包括 user1 user2) 也可以修改 group1.txt 档案了

user3 登入系统

[user3@unsvr user3]# cd /fs1

[user3@unsvr fs1]# cat group1.txt

cat : group1.txt Permission denied

除了 user1,user2(group1 群组的人包括 user1 user2) 外没有其它人有读写 group1.txt 的权限(root 除外)

3. effective mask 的权限.

这时 user1 想将刚才的权限暂时移除,就可以用下面的方式来设定

[user1@unsvr fs1]# setfacl -m m:--- user1.txt

[user1@unsvr fs1]# getfacl user1.txt

# file: user1.txt

# owner: user1

# group: user1

user::rw-

user:user2:rw- #effective:---

group::rw- #effective:---

mask::---

other::---

[user1@unsvr fs1]# setfacl -m m:--- group1.txt

[user1@unsvr fs1]# getfacl group1.txt

# file: group1.txt

# owner: user1

# group: user1

user::rw-

group::rw- #effective:---

group1:group1:rw- #effective:---

mask::rw-

other::---

这种 effective mask 的设定会影响到个别的使用者,群组,和使用者群组.

4.其它的使用者的权限设定

[user1@unsvr fs1]#setfacl -m o:rw user1.txt

他的设定就如同下面的一般权限设定

[user1@unsvr fs1]# chmod o+rw user1.txt

目录权限的设定

对目录而言:

可读(r):对目录而言单独有此权限是没有用的,还要同时有x的权限.才能有 ls 读取目录的内容.

可写(w): 对目录而言单独有此权限是没有用的,还要同时有x的权限.才能有cp,move,touch目录内的档案.

可执行(x): 具有 cd (change directory)进入目录的权限

所以我们要针对 x 的权限来搭配 rw 使用

root 登入系统

[root@unsvr root]#adduser user1

[root@unsvr root]#adduser user2

[root@unsvr root]#passwd user1

[root@unsvr root]#passwd user2

mount 一个 ext3 档案系统至目录 /fs1

[root@unsvr root]#mkdir /fs1

[root@unsvr root]#mount -t ext3 -o acl /dev/sda1 /fs1

[root@unsvr root]#chmod o-rwx /fs1

不希望所有的使用者都能进入目录,新增档案等的权限

ex:/fs1 目录开放进入读写的权限给 user1

root 登入系统

[root@unsvr root]#setfacl -m u:user1:rwx /fs1

[root@unsvr root]#getfacl /fs1

# file: fs1

# owner: root

# group: root

user::rwx

user:user1:rwx

group::---

mask::--x

other::---

user1 登入系统

[user1@unsvr user1]# cd /fs1

[user1@unsvr fs1]# echo "Create by user1" > user1.txt

[user1@unsvr fs1]# ll user1.txt

-rw------- 1 user1 user1 17 Jul 14 22:11 user1.txt

此时除了 user1 有进入目录,读写档案的权限外没有其它人有进入目录,读写档案的权限

user2 登入系统

[user2@unsvr user2]# cd /fs1

-bash:cd /fs1 :Permission denied

只有 user1 有进入目录读写档案的权限

Step3:预设的 ACLs 权限

通常在建立档案的时候,预设的权限是决定在 umask (umask 定义在 /etc/bashrc),而 umask 只能依据特权使用者(root 的umask 为022,)或者非特权使用者(非特权使用者为002)来限定,无法依据目录来设定.而 ACL 可以针对目录来设定预设权限.

ex:将目录 /fs1 的预设权限设定成只有 user 本身能读写执行(rwx).

[root@unsvr fs1]#setfacl -d -m u::rwx /fs1

[root@unsvr fs1]#setfacl -d -m g::0 /fs1

[root@unsvr fs1]#setfacl -d -m o::0 /fs1

[root@unsvr fs1]#getfacl /fs1

# file: fs1

# owner: root

# group: root

user::rwx

group::r-x

other::r-x

default:user::rwx

default:group::---

default:other::---

可以看到 default 的权限已经变了,现在来建立一个档案看看

[root@unsvr fs1]#echo "default perms" > default.txt

[root@unsvr fs1]#ll

-rw--------- 1 root root 15 Jul 27 10:53 root.default

可以看到权限真的只有 user 本身有 rw 的权限,那 x 怎么不见了,那是因为 root.default 并不是一个执行档.

Step4:ACL 的权限移除

如果要将刚才练习的 acl 权限移除时,可以用下面指令来移除

[user1@unsvr fs1]# getfacl user1.txt

# file: user1.txt

# owner: user1

# group: user1

user::rw-

user:user2:rw-

group::rw-

mask::rw-

other::r--

可以看到 user2 有权限读写这个档案.

[user1@unsvr fs1]#setfacl -x u:user2 user1.txt

[user1@unsvr fs1]# getfacl user1.txt

# file: user1.txt

# owner: user1

# group: user1

user::rw-

group::rw-

mask::rw-

other::r--

可以看到 user2 的权限已经移除了.

Step5:其它范例

1.Copying the ACL of one file to another

#getfacl file1 | setfacl --set-file=- file2

2.Copying the access ACL into the Default ACL

#getfacl -a dir | setfacl -d -M -dir

Step6:setfacl 的参数使用方式

#setfacl [-bkndRLP] { -m|-M|-x|-X ...} file ...

{ -m|-M|-x|-X ...} 使用方式

#setfacl -m (rules) (files)

-m 代表是要 modify 权限设定

#setfacl -x (rules) (files)

-x 代表要 remove 权限设定

rules 的使用方式可以分成下列几种格式

u:(uid):(perms)

依使用者来设定来设定权限

g:(gid):(perms)

依群组来设定来设定权限

m:(perms)

依 effective mask 来设定来设定权限

o:(perms)

依其它来设定来设定权限

针对 other group 来设定权限

[-bkndRLP..] 参数使用方式

-b , --remove-all

Remove all extended ACL entries

-k, --remove-default

Remove the Default ACL.

-n , --no-mask

Do not recalculate the effective rights mask

--mask

Do recalculate the effective rights mask

-d, --default

All operations apply to the Default ACL.

--restore=file

Restore a permission backup created by 'getfacl -R' or similar.

--test

Test mode

-R, --recursive

Apply operations to all files and directories recursively.

-L, --logical

Logical walk,follow symbolic links

-P, --physical

Physical walk,skip all symbolic links.

• ·pragma指令简介
• ·使用VC6进行ADO编程，使用SQL SERV
• ·Linux Grup恢复
• ·在jsp里定义函数
• ·JavaBeans技术的应用
• ·JSP动作指令 [转]
• ·当iBatis遇到了Spring
• ·JSP内建对象（二）
• ·JSP内建对象（一）
• ·C#之消息队列的简要说明----自学笔记