权限管理——ACL权限

最新推荐文章于 2024-02-23 20:15:17 发布
最新推荐文章于 2024-02-23 20:15:17 发布
阅读量753 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hbs321123/article/details/38824115
版权

linux::acl 配置  

ACL(access control list)。主要的目的是在提供传统的 owner,group,others 的 read,write,execute 权限之外的细部权限设定。ACL 可以针对单一使用者, 单一档案或目录來进行 r,w,x 的权限规范。

1. 安装ACL
即使系统已经支持了ACL,通常系统是不会自动开启acl选项的,因此需要手动重新加载文件系统,开启acl选项:
[root@~ home]# mount –o remount , acl /home

后面的/ 是硬盘分区,-o后面的两个选项,分别表示重新加载根分区,和开启acl选项。当然,在重新加载文件系统时也可以指定文件系统类型:

[root@~ ]#    mount -t ext3 -o remount,acl /home

若没有提示错误,则表示重新加载成功。如果希望系统启动时自动开启ACL选项,可以在/etc/fstab文件中进行设置,找到希望开启ACL选项的文件系统对应行,在选项栏中加入",acl",保存退出。在下次启动系统时则将自动开启ACL选项。

/dev/hda2     /home   ext3     defaults ,acl 0 0 0

如上行中的红色部分,表明在根文件系统上自动开启ACL选项。
 
查看系统有哪些分区:
[root@www ~]# df -h
Filesystem                      Size    Used    Avail Use%      Mounted on
/dev/sda2                        3.8G    2.5G      1.2G  69%        /
/dev/sda3                      15G      172M    14G    2%        /home
/dev/sda1                        46M    11M      33M  25%      /boot
tmpfs                                    252M                252M  0%        /dev/shm
/dev/hdc                          3.7G  3.7G                100%    /mnt/cdrom

查看某个分区的ACl权限是否开启:
[root@www ~]# dumpe2fs -h /dev/sda1
dumpe2fs 1.39 (29-May-2006)
Filesystem volume name:    /boot
Last mounted on:                 
Filesystem UUID:                  51e86dc7-14a2-4fc4-9a4f-5297c3680b77
Filesystem magic number:  0xEF53
Filesystem revision #:      1 (dynamic)
Filesystem features:          has_journal ext_attr resize_inode dir_index filetype needs_recovery sparse_super
Default mount options:      user_xattr acl
Filesystem state:                clean
Errors behavior:                  Continue
......................

 
2.  ACL的基本用法。
ACL的主要命令有2个: getfaclsetfacl,下面分别对其进行简单介绍。

2.1 getfacl
用于获取文件的acl权限信息,基本用法如下(注意,即使该文件系统上没有开启ACL选项,getfacl命令仍然可用):

[root@~]# getfacl aclTest
# file: aclTest
# owner: edwin
# group: edwin
user::rwx
group::r-x
other::r-x



2.2 setfacl,
用于详细设置文件的访问权限,基本用法如下:

setfacl –[mxdb] file/dir
-m 建立一个ACL规则
-x 删除一个ACL规则
-b 删除全部的ACL规则
下面来看具体例子。

添加/修改ACL规则:-m选项,为用户guest和组guset设置aclTest目录的读写权限,并使用getfacl查看设置结果:

[root@~]# $ setfacl -m u:guest:rw,g:guest:rw aclTest/
[root@~]# $ getfacl aclTest/
# file: aclTest
# owner: zhou
# group: zhou
user::rwx
user:guest:rw-
group::r-x
group:guest:rw-
mask::rwx
other::r-x

可以看到,目录aclTest的ACL中多了3条规则(蓝色部分)。其中,user:guest:rw-和group:guest:rw-为我们设置的访问权限,而mask::rwx为自动添加的内容。

 ACL 在权限继承问题:
[root@~]#setfacl -m u:test:rwx /test
意为增加test用户 对/test目录拥有完全权限
[root@~]#setfacl -m d:u:tset:rwx /test
意为增加test用户 对/test目录拥有完全权限并且默认继承。 设置d: 参数是为文件夹及其下面所有新创建的子对象设置默认的acl 权限。也就是说 设置了d:参数后, 文件夹内所有新创建的文件都会与 /test拥有相同的ACL权限,这就是权限继承,/test文件夹下设置acl之前原有的对象不继承/test的ACL

当对一个用户设置默认继承权限后,如对文件夹/test ,为用户test设置默认继承权限setfacl -m d:u:test:rw /test 后,同时也为文件夹的owner 和group ,other group设置了默认继承权限。setfacl -x d:u:test /test 命令会删除test用户所有的acl包括继承权限。但不会删除 owner ,group 和other group的默认继承权限,setfacl -k /test 命令会去掉所有的默认继承ACL 。如果我们按照下面的顺序运行,结果会怎样?

[root@~]#setfacl -m d:g:tgroup:rwx /newdir
[root@~]#chmod 700 /newdir

su - test   用户test是tgroup 的成员

[root@~]#cd /newdir

结果就是permission denie, 所以如果chmod 和setfacl有权限冲突的话,需要首先设置chmod再设置setfacl

删除ACL规则:删除用户guest对目录aclTest的访问权限:

[root@~]# setfacl -x u:guest aclTest/
[root@~]# getfacl aclTest/
# file: aclTest
# owner: zhou
# group: zhou
user::rwx
group::r-x
group:guest:rw-
mask::rwx
other::r-x

可以看到,用户guest对于目录aclTest的访问权限已经完全删除了。注意,这里不能指定删除guest对aclTest的某一个权限,如setfacl -x u:guest:w aclTest/ 将提示参数错误。

删除文件的所有ACL规则:-b选项

[root@~]# setfacl -b aclTest/
[root@~]# getfacl aclTest/
# file: aclTest
# owner: zhou
# group: zhou
user::rwx
group::r-x
other::r-x

覆盖文件的原有ACL规则:--set选项。注意,-m选项只是修改已有的配置或是新增加一些,而--set选项和-m不同,它会把原有的ACL项全都删除,并用新的替代,需要注意的是--set选项的参数中一定要包含UGO的设置,不能象-m一样只是添加ACL就可以了。使用方法如下所示:

[root@~]# setfacl --set u::rwx,g::rx,o::rx,u:guest:rwx,g:guest:rwx aclTest/
[root@~]# getfacl aclTest/
# file: aclTest
# owner: zhou
# group: zhou
user::rwx
user:guest:rwx
group::r-x
group:guest:rwx
mask::rwx
other::r-x

如果在后面的参数中没有写明UGO参数,即u::rwx,g::rx,o::rx,系统将提示参数缺失。

另外,如果使用ls -l命令查看设置了ACL的文件,将会发现其访问权限位后面比一般文件多了一个+号:

[root@~]# ls -l
drwxrwx---+ 2 zhou zhou 4096 2009-03-18 19:29 aclTest

mask

如果说ACL的优先级高于UGO,那么mask就是一个名副其实的最后一道防线。它决定了一个用户/组能够得到的最大的权限。这样我们在不改变已有ACL的定义的基础上,可以临时提高或是降低安全级别:

[root@~]# setfacl -m mask::r aclTest/
[root@~]# getfacl aclTest/
# file: aclTest
# owner: zhou
# group: zhou
user::rwx
user:guest:rwx                #effective:r--
group::r-x                      #effective:r--
group:guest:rwx              #effective:r--
mask::r--
other::r-x

可以看到,在我们将mask访问权限设置为只读时,mask行以上的ACL权限,除文件所有者外,都变成了只读,即#effective:r--所标识的实际权限。这就为临时改变整体权限和迅速恢复提供了便利。mask只对其他用户和组的权限有影响,对owner和other的权限是没有任何影响的。在使用了ACL的情况下,group的权限显示的就是当前的mask。通常我们把 mask设置成rwx,以不阻止任何的单个ACL项。到此为止,我们已经可以轻而易举地解决本文开头提出的问题了,只需要使用ACL为四组用户设置相应权限即可。最终设置结果如下:

[root@~]# getfacl aclTest/
# file: aclTest
# owner: zhou
# group: zhou
user::---
group::---
group:groupA:rwx
group:groupB:rw-
group:groupC:r--
group:groupD:---
mask::rwx
other::---
SandyHu88
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
go-acl:golang项目的基本访问控制抽象
06-10
go-acl 访问控制层对象,提供用于管理组和操作的基本接口。 销售宣传 我的图书馆提供: 跟踪操作和组的结构 提供简单的 ACL 方法Grant 、 Revoke 、 Can 、 Not和Clear 它不是: 连接到任何数据源(直接或抽象) 用法 使用我的库非常简单: import "github.com/cdelorme/go-acl" 包名是acl ,你可以通过以下方式获得一个新的 Acl: anAcl := acl.Acl{} 您可以通过以下方式授予一项或多项权限: anAcl.Grant("Admin", "Read", "Write", "Execute", "Water the flowers") 您可以通过以下方式撤销一项或多项权限: anAcl.Revoke("Admin", "Water the flowers") 您可以使用以下命令清除组(例如
thinkPHP5 ACL用户权限模块用法详解
10-19
在PHP框架中,thinkPHP5提供了一种灵活的权限管理机制——ACL(Access Control List),用于实现对用户操作的精细化权限控制。下面将详细介绍如何在thinkPHP5中使用ACL用户权限模块。 首先,我们需要建立相关的...
Linux--ACL权限管理
最新发布
2201_75455485的博客
02-23 832
ACL(Access Control List,访问控制列表),它提供了比传统的UGO(用户、组、其他)权限更灵活的权限设置方式。
acl权限
m0_61060496的博客
09-10 740
1,为何要使用acl权限 我们已知的文件管理者有三种:属主,属组,其他。当这三种不满足我们所需要的权限,我们应该考虑使用一种新的权限,就是acl权限 例:一个文件file.txt 属主:root 权限rwx 属组: as 权限rwx 其他:无权限 现在有一个用户user只能读和执行权限,没有修改权限,即user对文件file的权限为rx,我们不能把user加到属主或者属组里面,这就可以使用acl权限。 2,查看acl权限 ...
在 Linux 上给用户赋予指定目录的读写权限
热门推荐
skykingf的专栏
05-08 4万+
转自 https://linux.cn/article-8487-1.html 在上篇文章中我们向您展示了如何在 Linux 上创建一个共享目录。这次,我们会为您介绍如何将 Linux 上指定目录的读写权限赋予用户。 有两种方法可以实现这个目标:第一种是 使用 ACL (访问控制列表) ,第二种是创建用户组来管理文件权限,下面会一一介绍。 为了完成这个教程,我们
Linux acl命令,实现文件权限管理
football98的专栏
01-09 1073
setfacl - 设置文件访问控制列表的命令 格式1:setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] file... 格式2:setfacl --restore=file 描述    setfacl 用来在命令里设置acl.    选项-m和-x后面跟acl规则。多条acl规则以逗号(,)隔开。选
2022年数据库安全管理权限管理.pptx
11-03
在2022年的背景下,随着数字化进程的加速,数据库中的信息价值日益凸显,因此权限管理成为数据库安全的关键组成部分。本篇将详细阐述数据库权限管理的各个方面,以"Exam"数据库为例,探讨如何确保数据的安全性。 ...
权限管理-ACL权限-简介与开启
08-21
本篇文章将详细介绍第八章“权限管理”中的第一节内容——ACL权限,包括其基本概念、如何开启及管理ACL权限等方面。 #### 8.1 ACL权限 ##### 8.1.1 ACL权限简介与开启 **ACL(访问控制列表)**是一种扩展的文件权限...
lotus domino 权限资料--綜合權限說明,权限级别——共七级详细说明
03-04
总结,Lotus Domino 的权限系统提供了一套全面而精细的权限管理机制,通过理解不同权限级别、用户类型、角色以及管理服务器的设置,可以实现安全且灵活的协作环境。对于大型组织或敏感数据管理,这些功能尤为重要,...
运维安全管理——数据中心的内部防御门户.pptx
10-13
【运维安全管理——数据中心的内部防御门户】 在当前的数字化代,数据中心的安全管理至关重要,因为它们是企业信息系统的核心,存储着大量的关键数据。然而,传统的运维模式存在诸多问题,容易引发安全风险,例如...
权限管理-ACL权限-最大有效权限删除
董坤的博客
06-19 1181
1.最大有效权限 mask是用来指定最大有效权限的。如果我给用户赋予了ACL权限,是需要和mask的权限"相与"才能得到用户的真正权限 小提示: 相与:两个都为真才是真 举个栗子: 比如mask为rwx 用户st为r-x 用户st的真实的权限是那自己本身的权限(r-x)和mask的权限(rwx)相与得到的权限才是用户st真正的权限。 因为这里的mask的权限是rwx,所以在这里是没有多大意义的,所以可以修改mask的权限来控制acl权限的大小。 ...
权限管理ACL权限--最大有效权限删除
qq_46363011的博客
07-01 784
1、最大有效权限maskmask是用来指定最大有效权限的。如果我给用户赋予了acl权限,是需要和mask的权限“相与”才能得到用户的真正权限。2、修改最大有效权限#setfacl -m m:rx 文件名 -------- 设定mask权限为r-x,使用“m:权限“格式3、删除acl权限#setfacl -x u:用户名 文件名 -------- 删除指定用户acl权限#setfacl -x g:组名 文件名 --------- 删除指定用户组的acl权限#setfacl -b 文件名 ----------
linux怎么删除acl权限,Linux命令之ACL权限
weixin_31000553的博客
05-02 2818
ACL是Access Control List的缩写,主要的目的是在提供传统的owner,group,others的read,write,execute权限之外的局部权限设定。ACL可以针对单个用户,单个文件或目录来进行r,w,x的权限设定,特别适用于需要特殊权限的使用情况。简单地来说,ACL就是可以设置特定用户用户组对于一个文件/目录的操作权限。首先要查看系统是否支持ACL,具体的操作步骤如图...
ZooKeeper设置ACL权限控制,删除权限
萌兔兔MMQ!!
11-21 2785
因为zookeeper会默认启动这几个具有world和cdrwa权限的znode,“/” “/zookeeper” “/zookeeper/config"和”/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限。好了,到这里,才是真正的解决了这个未授权访问漏洞问题了。
Linux系统中的特殊权限以及权限的优先级比较
weixin_47738793的博客
10-17 1106
stickyid 粘制位 针对目录: 如果一个目录stickyid开启,那么这个目录中的文件,只能被文件所有人删除 chmod o+t dir eg: mkdir /pub chmod 777 /pub su - westos ----> touch /pub/westosfile exit su - otherusername --------> touch /pub/usernamefile rm -fr /pub/usernamefile #可以删除 rm -fr /
linux acl权限机制,Linux ACL权限安全策略
weixin_35133814的博客
04-29 181
Linux中是有自己的权限系统的,比如常用的755,655这样的权限。如果需要满足更高级的权限,比如我们需要让/root/test.file这个文件可以被一个普通账号test有所有权限的话,可以单独设置具体的权限,这里需要应用到ACL权限策略。在Linux的2.6内核版本中已经自带了ACL的安全策略如果想要启用的话非常简单。vi /etc/fstab可以看到基本的磁盘分区表,如:LABEL=/...
ACL最大有效权限删除-linux34
哥哥的CSDN博客集
12-30 2501
ACL最大有效权限删除上节我们学习了ALC权限的查看与设定,这节课我们继续学习ACL的mask权限删除命令。 一、最大有效权限mask 首先我们用getfacl命令查看上节课我们学习建立的project目录,如图: ACL权限查看 图中有个mask选项,就是ACL的最大有效权限。mask是用来指定最大有效权限的。如果我们给用户赋予了ACL权限,是需要和mask的权限逻辑”相与”才能得到
2020-09-10详谈ACL权限
flysening的博客
09-10 382
ACL 是什么 ACL的全称是 Access Control List (访问控制列表) ,一个针对文件/目录的访问控制列表。它在UGO权限管理的基础上为文件系统提供一个额外的、更灵活的权限管理机制。它被设计为UNIX文件权限管理的一个补充。ACL允许你给任何的用户用户组设置任何文件/目录的访问权限。 本文的演示环境为 ubuntu 16.04。 ACL有什么用 既然是作为UGO权限管理的补充,ACL自然要有UGO办不到或者很难办到的本事,例如: 可以针对用户来设置权限 可以针对用户组来设置权
十七、高级权限setfacl、su与sudo
作者的博客园已搬家到CSDN,访问博客园主页将默认跳转至CSDN
10-30 558
今日内容: 1、高级权限 setfacl 2、sudo su sudo 一、高级权限setfacl 概念:可以更精确的控制权限的分配 PS:chmod命令可以把权限分为u,g,o三个组,而setfacl可以对每一个文件、目录设置更精确的文件权限,可针对单一用户、单一文件、单一目录来进行r,w,x的权限控制,对需要特殊权限的使用状况有一定帮助。 [root@peng ~]# getfacl 1.txt #查看用户、组、其他人对文件的权限 # file: 1.txt # owner:.
MIS系统权限设计原理详解与RBAC/ACL模型应用
权限设计原理》深入探讨了在MIS系统中实施有效的权限...总结来说,《权限设计原理》详细讲述了权限设计的基础理论、关键模型如RBAC和ACL,以及在实际项目中的应用策略,为网页设计师提供了全面的权限管理框架参考。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值