Linux 访问控制列表(Access Control List)

已于 2024-09-10 17:34:49 修改
阅读量1.3k 收藏 17
点赞数 20
分类专栏: 系统优化 Linux 文章标签: linux 运维 服务器
于 2024-09-10 17:31:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frostlulu/article/details/142104041
版权

在Linux中,目录或文件的权限是针对的所有者(owner),所属组(group),其他人(others)这3种类别来设置的。这种根据类别控制权限的方法无法精确控制每个用户的行为。为了解决这个问题,Linux引入了访问控制列表(Access Control Lists,简称 ACL),它可以进行精确的权限控制。

文章目录

一、访问控制列表简介

访问控制列表的功能是由acl包实现的,其中包含了设置、修改、删除和查看ACL的工具。

ACL权限总共有2种:
1. access ACLs,可以设置在目录或文件上
2. default ACLs,仅可以设置在目录上
如果目录中的文件没有显式设置ACLs,那么则会继承目录的ACLs。

二、访问控制列表设置示例

ACL通过setfacl工具进行权限的设置、修改和删除。设置的类别有4种:
• 设置某个用户的ACL
• 设置某个组的ACL
• 设置其他人的ACL
• 设置ACL的掩码(权限上限)

设置完成后可以通过getfacl工具查看ACL的具体规则。

2.1 设置某个用户的ACL

这里用root用户在/tmp目录下新建一个file.txt,要求权限如下,所有者:rwx,所属组:rw,其他人:r

touch file.txt
chmod u=rwx,g=rwx,o=r file.txt
ls -l file.txt

在这里插入图片描述

现有一个用户userA,要求其没有任何权限。而此文件即使是others也有读的权限,即仅针对userA限制文件权限,此时只能通过ACL实现。使用setfacl命令为userA设置权限,其语法为:setfacl -m u:user:perms file

setfacl -m u:userA:--- file.txt

在这里插入图片描述
命令的选项解释如下:

  • -m 代表修改/设置权限,常用的选项还有-x 删除ACL,-b清除所有ACL
  • u:userA:—,这是规则组合,u代表用户,userA是用户名,也可以用uid代替,—对应rwx权限,这里要求无任何权限,因此是—
  • file.txt 文件名

设置完成后可以使用getfacl file.txt来查看文件上的ACLs:

getfacls file.txt

在这里插入图片描述
红框处的userA:—代表userA对此文件没有任何权限

切换到userA测试一下

ls -l file.txt
cat file.txt

在这里插入图片描述
可以看到文件的所有者,所属组,其他人都有r的权限,但是userA却无法查看文件内容。同时文件权限的最后多了一个+号,这意味着文件设置了ACL。

2.2 设置组或其他人的的ACL

组的ACL设置和用户设置类似,只是影响范围由用户扩展到组,需要变化的部分只有规则组合,u:user:perms需要变为g:group:perms。其中g代表组,group为组名或gid,perms对应具体的rwx权限。例如:

setfacl -m g:root:rxw file.txt

设置其他人的ACL,只需要将规则组合部分变为o:perms,这里o代表others,perms代表具体的权限。

2.3 清除ACL

使用setfacl的-x选项可以清除指定ACL规则,其格式和设置的语法很像,只是没有了perms部分,例如清除userA在file.txt上的ACL:

setfacl -x u:userA file.txt
getfacl file.txt

在这里插入图片描述

通过getfacl可以看到ACL规则已经被清除

或者,使用-b选项清除指定文件或目录上所有的ACL规则:

setfacl -b file.txt

在这里插入图片描述

2.4 设置掩码

掩码可以看作ACL规则权限的上限设置,你设置所有的ACLs规则都会和掩码进行交集运算,只有在掩码范围内的权限才会生效。

首先我们将userA的属组修改为root

usermod -g root userA

在这里插入图片描述
我们设置ACLs属组的权限为rw:

setfacl -m g:root:rw file.txt
getfacl file.txt

在这里插入图片描述
注意此时root组的权限和mask都是rw-。

下面我们将mask修改为r,修改掩码的语法将规则部分修改为m:perms

setfacl -m m:r file.txt
getfacl file.txt

在这里插入图片描述
可以看到组的权限依然是rw,但是后面多了一行注释effective:r–,表示只有r生效,这是因为下面的mask被修改为r–,所以最高权限只能是r–。这个掩码规则会应用到所有的组和用户ACLs上(这里仅演示了组)。

2.5 设置默认ACL

设置默认的ACL规则,只需要将规则组合前面的字母替换为d,且只能应用在目录上,当在目录上设置ACL时,其下的文件都会继承,如果在文件上设置ACL,则会覆盖所属目录的ACL规则。对于目录,普通的目录权限一般就足够了,通常不会使用ACL控制。

新建一个目录acldir,默认其他人的权限设置为r-x:

mkdir acldir
setfacl -m d:o:r-x acldir

在这里插入图片描述
这里只是演示了设置方法,这里目录本身对于其他人的权限是other:—。即使设置default:other::r-x,依然是无法进入目录或查看内容的。这里列举的权限是从上到下依次生效的。

V1ncent Chen
关注
专栏目录
Linux文件系统访问控制列表
m0_74282605的博客
02-14 280
当我们以某个用户的身份去登录我们的系统的时候,系统会给该用户返回一个shell进程,当该用户在访问某个文件的时候,一定是以该进程去访问文件的,这个进程的属主就是该用户,这个进程的属组就是该用户的基本组,该进程在访问文件的时候是以该用户的身份去访问的。一个有扩展属性的文件,权限位的最后一位有一个+号,这表示该文件有文件访问控制列表,文件访问控制列表里用的是文件的扩展属性,且此种文件在进行复制或归档的时候,文件的额外访问控制权限可能无法复制或归档,除非使用特殊的选项或命令。
文件访问控制列表
qiyeshi的博客
10-07 493
文件访问控制列表 一般权限、特殊权限、隐藏权限其实有一个共性—权限是针对某一类用户设置的。如果希望对某个指定的用户进行单独的权限控制,就需要用到文件的访问控制列表(ACL)了。通俗来讲,基于普通文件或目录设置ACL其实就是针对指定的用户或用户组设置文件或目录的操作权限。另外,如果针对某个目录设置了ACL,则目录中的文件会继承其ACL;若针对文件设置了ACL,则文件不再继承其所在目录的ACL。 se...
Linux 访问控制列表(access control list)
夜微凉的博客
05-08 1033
Linux 访问控制列表
开心的小包子
02-25 445
简介 随着应用的发展,传统的Linux文件系统权限控制无法适应复杂的控制需求,而ACL的出现,则是为了扩展Linux的文件权限控制,以实现更为复杂的权限控制需求。其可以针对任意的用户和用户组进行权限分配(只有root用户和以定义ACL),以及默认权限分配。 类型 针对文件所有者分配 针对文件所属的组群分配 针对额外用户分配 针对额外组群分配 其他用户分配 最大访问权限 查看ACL ge...
50. 文件权限- 文件系统访问控制列表(ACL,Access Control List
纽雪澳诺加海美德的博客
02-18 986
开篇词 尽管 chmod 命令已经足够强力,但它无法对权限进行更精细的分配,所以 Linux 提供了一些灵活的命令以为特定用户或组指定权限。从 Linux 内核 2.6 开始,我们可以给用户或组分配更细粒度的权限。   开始之前 在我们开始之前,我们要确保我们所使用的系统是基于 2.6 或以上的内核: uname -r   获取文件 ACL 我们可以使用 getfacl 命...
ACL(Access Control List访问控制列表:可以基于3层、4层的数据做过滤
miaomiaojinxin的博客
09-27 2068
1.ACL(Access Control List访问控制列表:可以基于3层、4层的数据做过滤。 ACL的工作原理(匹配规则): 按照从上到下依次匹配; 如果有一条一旦匹配完成,就不再进行后续报文的匹配; 隐含的一条是拒绝所有; ACL中最少要有一条允许的条目,否则没有意义; 2.ACL的分类:标准ACL和扩展ACL (1)标准访问控制列表 基于源IP地址过滤数据包 标准访问控制列表访问控制列...
Linux网络操作系统基础:访问控制列表ACL和sudo用法.pptx
06-16
Linux系统中,访问控制列表Access Control List,简称ACL)是一种高级的权限管理系统,它扩展了传统Unix-like系统中基于属主、属组和其他用户的权限模型。在没有ACL技术之前,用户只能通过chmod、chown和chgrp等...
Linux系统中文件访问控制列表在权限管理中的应用.pdf
09-06
文件访问控制列表Access Control List,ACL)是Linux系统中的一种权限管理机制,它能够对单一用户单一文件或目录进行细粒度的权限控制设置。ACL机制可以与基于文件权限位的权限控制机制兼容,最大限度地保障Linux...
linux 访问控制列表
最新发布
04-04
Linux访问控制列表Access Control List,ACL)是一种用于在文件系统上设置更精细的权限控制的机制。它可以允许或拒绝特定用户或用户组对文件或目录进行读、写、执行等操作。 ACL提供了比传统的基于所有者、所属组...
Linux访问控制列表Access Control List,简称ACL)
weixin_30949361的博客
08-17 311
          Linux访问控制列表Access Control List,简称ACL)                                            作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任。 一.ACL概述   ACL:Access Control List,实现灵活的权限管理     除了文件的所有者,所属组...
LinuxAccess Control List
MWI
10-14 129
基础参数 [quote][root@www ~]# setfacl [-bkRd] [{-m|-x} acl參數] 目標檔名 選項與參數: -m :設定後續的 acl 參數給檔案使用,不可與 -x 合用; -x :刪除後續的 acl 參數,不可與 -m 合用; -b :移除所有的 ACL 設定參數; -k :移除預設的 ACL 參數,關於所謂的『預設』參數於後續範例中介紹; -R :...
linux环境下的访问控制,Linux文件系统访问控制列表
weixin_42521058的博客
05-13 818
Linux文件系统访问控制列表详解我们系统中的某用户在系统中所创建的文件的属主和属组分别是该用户的属主和基本组。普通用户无法更改文件的属主和属组,因为普通用户没有相应的权限,无法执行chown命令。当我们以某个用户的身份去登录我们的系统的时候,系统会给该用户返回一个shell进程,当该用户在访问某个文件的时候,一定是以该进程去访问文件的,这个进程的属主就是该用户,这个进程的属组就是该用户的基本组,...
Linux 学习笔记---访问控制列表
某技术爱好者的专栏
02-12 705
Linux学习笔记---访问控制列表
Linux访问控制列表ACL
oldboy1999的博客
12-21 1510
Linux访问控制列表ACL
Linux具体权限规划之ACL(Access Control List)
依然那霖哥
03-30 1502
ACL机制涉及两条命令:setfacl 、getfacl ACL来源 owner,group,othre搭配的三种权限rwx中,没办法针对单一用户或者某个组。 ACL可以针对单一用户、单一文件或者目录进行rwx权限设置。 用mount命令查看根目录挂载的分区好,再用dumpe2fs命令查看该分区的superblock内容确定是否支持acl,一般都支持的了。 j
linux 用户规划,Linux具体权限规划之ACL(Access Control List)
weixin_39631649的博客
04-29 104
ACL机制涉及两条命令:setfacl 、getfaclACL来源owner,group,othre搭配的三种权限rwx中,没办法针对单一用户或者某个组。ACL可以针对单一用户、单一文件或者目录进行rwx权限设置。用mount命令查看根目录挂载的分区好,再用dumpe2fs命令查看该分区的superblock内容确定是否支持acl,一般都支持的了。jammgit@jammg:~$ sudo dum...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值