setfacl维护文件访问权限

最新推荐文章于 2024-04-19 10:05:42 发布
最新推荐文章于 2024-04-19 10:05:42 发布
阅读量2.4k 收藏 1
点赞数
分类专栏: Linux OS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Smasegain/article/details/48261429
版权
一.说明
我们都知道Linux中可以通过chmod来维护文件的权限,但是文件的权限设置很有局限性。比如:小张有辆车(小张是属主,可以rwx),小张的老婆,爸妈都可以r-x(小张的老婆,爸妈和小张是属于同一个group),其他人只有r--的权限。但是小张又不能不给老婆面子,车也要给老丈人有r-x的权限,通过chmod就没有办法实现了(此处就认定他的老丈人为other)。所以Linux中又有一个Access Control List来维护一些非常规权限。

二.setfacl语法说明
setfacl用于设置文件的扩展权限(This utility sets Access Control Lists (ACLs) of files and directories.),同样也可以设置基本权限(设置基本权限不及chmod方便)。主要语法及参数说明如下:
Usage: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m, --modify=acl        修改文件当前的ACL(s),ACL中 必须包含权限,多个ACL可以以逗号(',')隔开;
-M, --modify-file=file  修改文件的ACL,ACL配置来源于配置文件或管道输入(每行最多一个ACL,#开头的整行为注释, 来源于标准输入的ACL用减号'-'表示);
-x, --remove=acl        删除文件的ACL记录,ACL条目仅不包含权限字段(必须包含uid/gid, 不能移除基本权限);
-X, --remove-file=file  删除文件的ACL,ACL配置来源于配置文件或管道输入(备注同-M)
-b, --remove-all        删除所有的 扩展ACL,基本的ACL条目(例如755)不会被移除
-k, --remove-default    删除默认的ACL
    --set=acl           按照acl指定的值完全重设ACL, 原配置会被覆盖;
    --set-file=file     从文件读取ACL并重新设置文件的ACL
    --mask              结合MASK重新计算实际生效的ACL( 仅针对owner和other以外的用户有效)
-n, --no-mask           不重新结合MASK值进行计算有效权限
-d, --default           操作默认ACL( 仅文件夹可用,普通文件不能没有默认ACLs)
-R, --recursive         递归修改所有子文件、文件夹的ACL
-L, --logical           logical walk, follow symbolic links(如果被查看对象时link则显示源文件的ACL)
-P, --physical          physical walk, do not follow symbolic links(如果被查看对象是link则不显示ACL)
    --restore=file      restore ACLs (inverse of `getfacl -R')
    --test              test mode (ACLs are not modified)
-v, --version           print version and exit
-h, --help              this help text
-- End of command line options. All remaining parameters are interpreted as file names, even if they start with a dash.

ACL条目设置方式(实际记录无需输入空格,perms字段可以是rwx的组合,也可以是一个数字):
[d[efault]:] [u[ser]:]uid [:perms]
指定特定用户(用户名和UID均可)的权限,如果uid空置则默认为文件属主
[d[efault]:] g[roup]:gid [:perms]
指定特定组(组名和GID均可)的权限,如果Gid空置则默认为文件属组
[d[efault]:] m[ask][:] [:perms]
有效权限的MASK
[d[efault]:] o[ther][:] [:perms]
other用户的权限
    
注意事项:
1).基础的ACL记录不能通过-x参数移除,即属主权限、属组权限,其他用户权限;
2).如果指定特定用户/组的ACL,则必须设置mask值,如果不设置将会把group的权限设置为UMASK;
3).设置默认ACL时owner,group,other三个基本ACL必须存在,如果不存在系统会自动添加;
4).为文件针对某个用户设置默认ACL时未设置mask,则会添加同默认ACL组的权限一直的MASK

三.getfacl语法说明
getfacl(get file access control lists),对于文件夹和文件,getfacl命令会显示出文件名,属主,属组,访问权限列表(ACLs)。对于文件夹还会显示default ACLs,普通文件是不能设置default ACLs的。getfacl输出内容及详细说明如下:
1:  # file: somedir/     -->文件名
2:  # owner: lisa        -->文件属主
3:  # group: staff       -->文件属组
x:  # flags:--t          -->特殊权限:suid,sgid,stick bit
4:  user::rwx            -->属主权限(外加属主权限,other权限一起统称为base permission,可以通过chmod修改也可以通过setfacl修改)
5:  user:joe:rwx               #effective:r-x         -->特定用户权限,受mask影响实际权限为r-x
6:  group::rwx                 #effective:r-x         -->属组权限,受umask影响实际为r-x
7:  group:cool:r-x       -->指定组权限
8:  mask:r-x             -->mask设置,影响除了ower和other外的所有用户/组的权限
9:  other:r-x
10:  default:user::rwx   -->直到14行为文件夹默认ACLs, 普通文件无此项
11:  default:user:joe:rwx       #effective:r-x
12:  default:group::r-x
13:  default:mask:r-x
14:  default:other:---
语法说明:
getfacl [-dRLPvh] file ...
--accesss:仅输出访问权限列表,不输出defaul ACLs;
-d:仅输出default ACLs;
--omit-header:不输出以#开始的行;
--skip-base:跳过仅包含base ACLs的文件;
-R:递归查看子文件/文件夹的ACLs;
--tabular:使用tabular格式显示:
--:参数结束符,后续所有的一破折号开头的值都不被看做参数;
-:如果文件名为破折号,则getfacl从标准输入读取文件名;

四.范例演示
1.sefacl修改chmod可修改的权限(个人认为还是chmod用起来更简单):
[root@node110 ~]# umask
0022
[root@node110 ~]# touch copy.sh
[root@node110 ~]# getfacl copy.sh
# file: copy.sh
# owner: root
# group: root
user::rw-
group::r--
other::r--

[root@node110 ~]# setfacl -m u::1,g::2,o::3 copy.sh-->( 等效于chmod 0123 copy.sh)
[root@node110 ~]# getfacl copy.sh 
# file: copy.sh
# owner: root
# group: root
user::--x
group::-w-
other::-wx

2.默认ACL设置:
[root@node110 ~]# getfacl van/
# file: van
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

[root@node110 ~]# setfacl -m d:u:oracle:5 van/
[root@node110 ~]# getfacl van/
# file: van
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:oracle:r-x( 此记录为添加项,其他默认ACL为系统参照base ACL自动添加,mask参照默认group权限添加)
default:group::r-x
default:mask::r-x
default:other::r-x
[root@node110 ~]# setfacl -m d:u:oracle:7 copy.sh
setfacl: copy.sh: Only directories can have default ACLs( 普通文件无法添加默认ACL)

3.移除van文件夹的默认ACL及其他ACL(base ACLs除外):
[root@node110 ~]# getfacl van/
# file: van/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:oracle:r-x
default:group::r-x
default:mask::r-x
default:other::r-x

[root@node110 ~]# setfacl -k van/(仅移除default ACLs)
[root@node110 ~]# getfacl van/
# file: van/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

[root@node110 ~]# setfacl -m u:oracle:7 van/
[root@node110 ~]# setfacl -m d:u:oracle:7 van/
[root@node110 ~]# getfacl van/
# file: van/
# owner: root
# group: root
user::rwx
user:oracle:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:oracle:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

[root@node110 ~]# setfacl -b van/(移除base ACLs以外的所有ACLs)
[root@node110 ~]# getfacl van/
# file: van/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x






         
司马松儆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux文件目录权限备份和恢复
09-23
`getfacl`和`setfacl`命令是Linux中用于管理文件和目录访问控制列表(Access Control List, ACL)的工具,它们允许用户超越传统的用户、组和其他权限模型,提供更精细的权限控制。在本文中,我们将详细探讨这两个...
系统权限管理.docx
02-28
总的来说,系统权限管理是Linux系统安全的基础,通过这些工具和机制,可以有效地保护系统资源,防止未经授权的访问和操作,同时允许有权限用户进行必要的系统维护和管理。正确理解和使用这些权限管理方法,对于...
linux命令 chomd 333,Linuxchmod命令的用法汇总
weixin_42357256的博客
04-28 340
Linux命令中,chmod命令的用法与chattr命令有些相似,但相对而言chmod命令只是改变文件读写、执行权限文件权限主要还是通过chattr命令来完成,下面小编就给大家介绍下Linux中chmod命令的用法。文件或目录的访问权限分为只读,只写和可执行三种。以文件为例,只读权限表示只允许读其内容,而禁止对其做任何的更改操作。可执行权限表示允许将该文件作为一个程序执行。文件被创建时,文件所有...
Linux命令之精确控制文件访问权限setfacl
二木成林
06-12 5992
`setfacl` 命令可以更加精确的控制文件权限的分配,比如让某一个用户对某一个文件具有某种权限。`setfacl` 的全称是 `set file access control list`,即”设置文件访问控制列表“。
setfacl --restore=file_bak /path/to/file 这个路径怎么设置
最新发布
zengliguang的专栏
04-19 335
命令中的路径时,请确保提供的是目标文件或目录的绝对、正确、可访问的路径,并根据需要处理特殊字符。如果您仍然遇到问题,请检查命令执行的输出、系统日志或权限设置,以确定是否存在其他阻碍恢复 ACL 的因素。命令的用户必须具有修改目标文件(或目录)ACL权限。是您要恢复访问控制列表(ACL)的目标文件或目录的实际路径。: 如果路径中包含空格、括号、引号等特殊字符,需要适当引用或转义。: 确保路径准确无误,不存在拼写错误、多余的目录层级或缺失的部分。命令来验证路径的有效性和文件(或目录)的存在。
Linux文件权限策略setfacl命令
清醒云思的博客
08-12 1642
本文介绍了Linux中使用setfacl命令来管理文件和目录的权限策略。setfacl命令允许用户添加、删除和修改文件和目录的权限,并根据用户、组、用户组和其他条件来定义权限。文章给出了setfacl命令的语法和示例,以及如何使用getfacl命令列出当前文件和目录的所有权限,并使用setfacl -u username:username命令删除所有权限。此外,文章还提到了setfacl命令的其他选项和完整语法。要了解更多相关信息,请参阅Linux文档或相关文档。
Linux的ACL(扩展权限)规划:setfacl、getfacl
Thewei666的博客
02-14 2702
ACL是Access Control List的英文缩写,中文译为访问控制列表,主要目的是提供传统的属主、所属群组、其他人的读、写、执行权限之外的详细权限设置。ACL可以直接针对单一用户、单一文件或目录来进行r、w、x的权限设置,对于需要特殊权限的使用状况非常有帮助用户(user):可以针对用户来设置权限用户组(group):可以针对用户组为对象来设置权限默认属性(umask):还可以针对在该目录下建立新文件/目录时,规范新数据的默认权限
Linux 权限管理
第九系艾文
08-09 733
Linux 权限管理
增强Linux文件系统的访问控制功能.pdf
09-06
`setfacl`用于设置文件或目录的ACL,可以指定用户或组的访问权限;`getfacl`则用于查看当前的ACL设置。 4. **ACL的结构**:ACL通常包含一组规则,每个规则指定一个用户或组以及对应的访问权限。这些规则按照优先级...
文件强制位冒险位、ACL访问控制列表
10-18
这些机制允许管理员对文件和目录的访问权限进行更精细的控制。 强制位(Set-User-ID, Set-Group-ID)和冒险位(Sticky Bit)是传统Unix/Linux权限系统中的扩展,主要应用于可执行文件。强制位可以使得一个普通用户...
Linux系统配置及服务管理_第03章_用户权限.doc
11-24
总结来说,Linux系统的权限管理包括基本权限ACL、特殊权限文件属性,这些都是云服务环境中确保数据安全和访问控制的重要工具。理解和熟练运用这些机制,有助于构建和维护安全的云计算环境。
setfacl 设置特定目录的权限Linux
半僧
11-22 1953
创建用户:useradd readonly 删除用户:userdel readonly 修改密码:passwd readonly 添加用户文件的只读r权限: setfacl -m u:readonly:r /data/software 删除用户文件权限 setfacl -x user:readonly /data/software/ 添加文件查看权限: getfacl /data...
Linux文件权限
qq_43511217的博客
01-04 154
1.文件权限存在的意义 系统最底层安全设定的方法之一 保证文件可以被可用的用户作相应的操作 2.文件权限的查看 ls -l file ls -ld dir ll file ll -d dir ##ls -l 等同于 ll 3.文件权限的读取 - |rw-r--r--.| 1| root| root |0| Jan 3 09:40 |file [1]...
linux中setfacl命令,Linux 中的Setfacl命令
weixin_36059505的博客
05-10 432
setfacl命令是用来在命令行里设置ACL(访问控制列表)。在命令行里,一系列的命令跟随以一系列的文件名。选项-b,--remove-all:删除所有扩展的acl规则,基本的acl规则(所有者,群组,其他)将被保留。-k,--remove-default:删除缺省的acl规则。如果没有缺省规则,将不提示。-n,--no-mask:不要重新计算有效权限setfacl默认会重新计算ACL mask...
【Linux】C9
WORLD.EXE
03-29 4119
设置权限umask 设置默认权限 umask永久生效 访问控制列表(acl) 查看用户acl权限:getfacl 文件路径 设置用户alc权限setfacl -m u:用户名:权限 文件路径 删除acl权限文件上所有acl权限):setfacl -b 文件路径 删除acl权限(某一用户acl权限):setfacl -x u:用户文件路径 删除现有acl的某个权限setfacl -m 练习 精确匹配权限 find 路径 -perm 权限数值/-权限数值...
Linux文件ACL(FACL)解析
zhouzhuo_CSUFT的博客
05-03 870
文件ACL针对特定用户指定权限的规则,比UGO规则更灵活 设置ACL权限setfacl 参数 -b,--remove-all:删除所有扩展的acl规则,基本的acl规则(所有者,群组,其他)将被保留。 -k,--remove-default:删除缺省的acl规则。如果没有缺省规则,将不提示。 -d,--default:设定默认的acl规则。 -m:修改一个...
Linux常用命令——setfacl命令
AI的博客
01-25 1347
文件permission的最后多了一个+号,当任何一个文件拥有了ACL_USER或者ACL_GROUP的值以后我们就可以称它为ACL文件,这个+号就是用来提示我们的。首先我们还是要讲一下设置ACL文件的格式,从上面的例子中我们可以看到每一个Access Entry都是由三个被:号分隔开的字段所组成,第一个就是Entry tag type。如果用chmod命令改变Linux file permission的时候相应的ACL值也会改变,反之改变ACL的值,相应的file permission也会改变。
Linux命令 -文件权限配置的深入(chown/chmod/setfacl)
qq_50929489的博客
09-23 1793
Linux命令 -文件权限配置的深入(chown/chmod/setfacl)
hive执行结果moveTask操作失败 setfacl: Permission denied
dingyufei的博客
02-25 3113
Apache Hive 2.1.0 ,在执行"INSERT OVERWRITE TABLE ...... select "或者 "insert overwrite directory /tmp/data/hive-test "操作,如果生成的结果文件是多个时,执行结果文件moveTask操作会失败。最新的Apache Hive 2.1.1版本同样有该问题;Apache Hive 1.2.1版本的h...
删除setfacl权限
08-05
你可以使用setfacl命令的选项来删除setfacl权限。...如果acl规则并不完全匹配文件权限位,setfacl将会修改文件权限位使其尽可能的反应acl规则,并会向standard error发送错误消息,以大于0的状态返回。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值