远程访问与控制

一、OpenSSH服务器4-1

SSH (Secure Shell)协议
是一种安全通道协议
对通信数据进行了加密处理，用于远程管理回

OpenSSH
服务名称: sshd
服务端主程序: /usr/sbin/sshd
服务端配置文件:/etc/ssh/sshd_config

ssh是建立在应用层和传输层的一个安全协议

SSH是什么？

SSH (secure Shell）是一种安全通道协议，主要用来实现字符界面的远程登录、远程、复制等功能。SSH协议对通信双方的数据传输进行了加密处理，其中包括用户登录时输入的用户口令，SSH 为建立在应用层和传输层基础上的安全协议。
网络
SSH客户<-—-----------------―――-―–>SSH服务端
数据传输是加密的，可以防止信息泄漏
数据传输是压缩的，可以提高传输速度

SSH客户端: Putty、Xshell、CRT、Mobaxterm、Finalshell

SSH服务端: OpenSSH
OpenSSH是实现SSH协议的开源软件项目，适用于各种UNIX、Linux操作系统。Centos 7系统默认已安装openssh相关软件包，并将sshd 服务添加为开机自启动。执行"systemctl start sshd"命令即可启动sshd 服务
sshd 服务默认使用的是TCP的22端口，安全协议版本sshv2，出来2之外还有1(有漏洞)sshd服务的默认配置文件是/etc/ssh/sshd_config
ssh_config和sshd_config都是ssh服务器的配置文件，二者区别在于前者是针对客户端的配置文件，后者则是针对服务端的配置文件。

ssh服务端主要包括两个服务功能ssh远程链接和sftp服务
作用:SSHD服务使用ssH协议可以用来进行远程控制，或在计算机之间传送文件。相比较之前用Telnet方式来传输文件要安全很多，因为 Telnet使用明文传输，SSH是加密传输。
服务名称:sshd
服务端主程序: /usr/sbin/sshd
服务端配置文件:/etc/ssh/sshd_config

远程管理linux系统基本上都要使用到ssh，原因很简单: telnet、FTP等传输方式是?以明文传送用户认证信息，本质上是不安全的，存在被网络窃听的危险。SSH (secure Shell)目前较可靠，是专为远程登录会话和其他网络服务提供安全性的协议。利用SSH协议可以有效防止远程管理过程中的信息泄露问题，透过SSH可以对所有传输的数据进行加密，也能够防止DNS欺骗和IP欺骗。
OpenSSH常用配置文件有两个/etc/ssh/ssh_config和/etc/sshd_config

ssh_config:为客户端配置文件，设置与客户端相关的应用可通过此文件实现。
sshd_config:为服务器端配置文件，设置与服务端相关的应用可通过此文件实现。

ssh远程登录方式

登录 方法一:
ssh[远程主机用户]@[远程服务器主机名或IP地址] -p port
当在Linux主机上远程连接另一台 Linux主机时，如当前所登录的用户是 root的话，当连接另一台主机时也是 用root用户登录时，可以直接使用ssh IP，端口默认即可，如果端口不是默认的情况下，需要使用-p 指定端口。

RSA算法基于一个十分简单的数论事实:将两个大素数相乘十分容易，但是想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。
登录方法二
ssh -l [远程主机用户名] [远程服务器主机名或IP地址] -p port

-l : -l选项，指定登录名称。
-p: -p 选项，指定登录端口（当服务端的端口非默认时，需要使用-p 指定端口进行登录)
注:第一次登录服务器时系统没有保存远程主机的信息，为了确认该主机身份会提示用户是否继续连接，输入yes
后登录，这时系统会将远程服务器信息写入用户主目录下的$HOME/.ssh/known_hosts文件中，下次再进行登录时因为保存有该主机信息就不会再提示了

第一次登录会有提示

以后就不会有提示

第二种方式登录

登录信息都在里面

故障集
在平时工作中，有时候需要SSH登陆到别的Linux主机上去，但有时候SSH登陆会被禁止，并弹出如下类似提示:
The authenticity of host ‘192.168.10.9 (192.168.10.9)’ can’t be established.ECDSA key fingerprint is SHA256:AaGpHeEiRuXMy96oezzV6Toej5nJJmZIe/djqR7qCVk.ECDSA key fingerprint is MD5:78:a1:bl:1c:36:76:c7:34:54:87:cc:ea:51:3f:0c:24.Are you sure you want to continue connecting (yes/no) ? yes
warning: Permanently added '192.168.10.9’(ECDSA) to the list of known hosts.Authentication failed.
ssh会把你每个你访问过计算机的公钥(publickey)都记录在~/.ssh/known_hosts。当下次访问相同计算机时，OpenSSH会核对公钥。如果公钥不同，OpenSSH会发出警告，避免你受到DNS Hijack之类的攻击。
解决办法
1．使用ssh连接远程主机时加上"ssh -o strictHostKeyChecking=no”的选项，如下:
ssh -o strictHostKeyChecking=no 192.168.xxx.XXx
2.一个彻底去掉这个提示的方法是，修改/etc/ssh/ssh_config文件（或$HOME/.ssh/config)中的配置，添加如下两行配置:
strictHostKeychecking no
UserKnownHostsFile /dev/null

删除登录信息

用这种方式就不需要输yes了

原因:一台主机上有多个Linux系统，会经常切换，那么这些系统使用同一ip，登录过一次后就会把ssh信息记录在本地的~/.ssh/known_hsots文件中，切换该系统后再用ssh访问这台主机就会出现冲突警告，需要手动删除修改known_hsots里面的内容。

openssh服务包
要安装openssh四个安装包:
openssH软件包，提供了服务端后台程序和客户端工具，用来加密远程控件和文件传输过程中的数据，并由此来代替原来的类似服务Telnet或Ftp。
安装包:
OpenssH服务需要4个软件包。
openssh-5.3p1-114.el6_7.x86_64 #包含openssH服务器及客户端需要的核心文件。

openssh-clients-5.3p1-114.el6_7.x86_64 #0penssH客户端软件包。
openssh-server-5.3p1-114.el6_7.x86_64 #openssH服务器软件包。
openssh-askpass-5.3p1-114.el6_7.x86_64 #支持对话框窗口的显示，是一个基于x系统的

二、OpenSSH服务器4-2

服务监听选项
端口号、协议版本、监听IP地址

禁用反向解析
[root@localhost ~]# vi/etc/ssh/sshd_config

…

Port 22
ListenAddress 172.16.16.22

Protocol 2
UseDNS no

服务配置与管理

1.服务配置
#监听端口修改

实验设置SSHD监听端口号。
SSH预设使用22这个port，也可以使用多个port，即重复使用port 这个设定项!

例如想要开放SSHD端口为22和222，则多加一行内容为: Port 222即可。
然后重新启动SSHD这样就好了。建议修改port number为其它端口，防止别人暴力破解。
#ListenAddress监听地址
ListenAddress 0.0.0.0
设置SSHD服务器绑定的IP地址，0.0.0.0表示侦听所有地址
安全建议:如果主机不需要从公网ssh访问，可以把监听地址改为内网地址这个值可以写成本地IP地址，也可以写成所有地址，即0.0.0.0表示所有IP。
#Protocol 2
设置协议版本为SSH1或SSH2，SSH1存在漏洞与缺陷，选择SSH2
#UseDNS yes
一般来说，为了要判断客户端来源是正常合法的，因此会使用DNS去反查客户端的主机名，但通常在内网互连时，该基设置为no，因此使联机速度会快些.
注:禁用DNS反向解析，以提高服务器的响应速度

2.安全调优
####LoginGraceTime 2m
grace意思是系统给与多少秒来进行登录。（默认2分钟，0表示无限制)

当使用者连上 SSH server之后，会出现输入密码的画面，在该画面中。在多久时间内没有成功连上SSHserver就强迫断线!若无单位则默认时间为秒。可以根据实际情况来修改实际
####PermitRootLogin yes实验
是否允许 root登入，默认是允许的，但是建议设定成no，真实的生产环境服务器，是不允许root账号直接登陆的，仅允许普通用户登录，需要用到root 用户再切换到root 用户。
案列
创建用户zhangsan、 lisi查询组
grep “wheel” /etc/group
gpasswd -a zhangsan wheel #zhangsan用户已加入 wheel组

开启pam模块
####PasswordAuthentication yes
密码验证当然是需要的!所以这里写yes，也可以设置为no，在真实的生产服务器上，根据不同安全级别要求，有的是设置不需要密码登陆的，通过认证的秘钥来登陆。
####PermitEmptyPasswords no
是否允许空密码的用户登录，默认为no，不允许空密码登录
####PrintLastLog yes
显示上次登入的信息!默认为yes

####MaxAuthTries 6
指定每个连接最大允许的认证次数。默认值是6 。
如果失败认证的次数超过这个数值的一半，连接将被强制断开，且会生成额外的失败日志消息默认3次
验证ssh -o NumberofPasswordPrompts=8 lisi@192.168.193.140

#######AllowUsers#####
当希望只允许或禁止某些用户登录时，可以使用 AllowUsers或DenyUsers配置，两者用法类似（注意不要同时使用）。
配置AllowUsers
例如，若只允许 zhangsan、wangwu用户登录,其他（lisi)用户拒绝登录

AllowUsers zhangsan@192.168.10.10 wangwu

DenyUsers lisi

黑白结论

扩展命令参数
ssh -o ConnectTimeout=3 -o ConnectionAttempts=5 -o PasswordAuthentication=no -o

StrictHostKeyChecking=no $ip" command "
#ConnectTimeout=3 连接超时时间，3秒
#ConnectionAttempts=5 连接失败后重试次数，5次
#PasswordAuthentication=no 不使用密码认证，没有互信直接退出
#StrictHostKeyChecking=no 自动信任主机并添加到known_hosts文件
例1
ssh -o StrictHostKeychecking=no root@192.168.10.0

改端口号（17行）

要关闭selinux否则会报错

重启sshd服务

2222端口成功登录

监听所有网段（19行）

所有的安全文件

2分钟不登录就会自动退出（48行）

root现在无法登陆，但普通用户可以登（49行）

没有密码时，可以通过公钥和秘钥来登录，改成no则不允许用户空密码登录（77行）

为no则不会调用pam模块（110行）

显示上次登录信息（120行）

改成no则不需要解析，内网中可以改为no

安全级别的事情
对未经过安全认证的RPM包进行安全检查

Linux用户方面的加固
设定密码策略20位

对用户密码强度的设定
对用户的登录次数进行限制

禁止ROOT用户远程登录
设置历史命令保存条数和账户超时时间

设置只有指定用户组才能使用su命令

切换到root用户
对Linux账户进行管理
对重要的文件进行锁定，即使ROOT用户也无法删除
建立日志服务器

四、秘钥验证

sshd 服务支持两种验证方式
1.密码验证:对服务器中本地系统用户的登录名称、密码进行验证。这种方式使用最为简便，但从客户端角度来看，正在连接的服务器有可能被假冒;从服务器角度来看，当遭遇密码穷举（暴力破解）攻击时防御能力比较弱。

⒉.密钥对验证:要求提供相匹配的密钥信息才能通过验证。通常先在客户端中创建一对密钥文件（公钥、私钥），然后将公钥文件放到服务器中的指定位置。远程登录时，系统将使用公钥、私钥进行加密/解密关联验证，大大增强了远程管理的安全性。该方式不易被假冒，且可以免交互登录，在 Shell中被广泛使用。
当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。对于安全性要求较高的服务器，建议将密码验证方式禁用，只允许启用密钥对验证方式;若没有特殊要求，则两种方式都可启用。
免密登录
ssh-agent bash #将公钥添加管理

在客户端操作ssh-add

构建密钥对验证的SSH（根据不同的用户创建不同的公钥秘钥）

1.公钥和私钥的关系:
在非对称加密技术中，有两种密钥，分为私钥和公钥，私钥是密钥对所有者持有，不可公布，公钥是密钥对持有者公布给他人的。
公钥用来给数据加密，用公钥加密的数据只能使用私钥解
构建密钥对验证的SSH原理
首先ssh通过加密算法在客户端产生密钥对（公钥和私钥)，公钥发送给服务器端，自己保留私钥，如果要想连接到带有公钥的SSH服务器，客户端SSH软件就会向SSH服务器发出请求，请求用联机的用户密钥进行安全验证。SSH服务器收到请求之后，会先在该SSH服务器上连接的用户的家目录下寻找事先放上去的对应用户的公用密钥，然后把它和连接的ssH客户端发送过来的公用密钥进行比较。如果两个密钥一致，SSH服务器就用公钥加密"质询"( challenge)并把它发送给ssH客户端。
当密码验证、密钥对验证都启用时，服务器将优先使用密钥对验证。可根据实际情况设置验证方式。

vim/etc/ssh/sshd_config
PasswordAuthentication yes #启用密码验证
PubkeyAuthentication yes #启用密钥对验证
AuthorizedKeysFile .ssh/authorized_keys #指定公钥库文件

配置密钥对验证
1.在客户端创建密钥对
通过ssh-keygen.工具为当前用户创建密钥对文件。可用的加密算法为RSA、ECDSA或DSA等（ ssh-keygen命令的“-t"选项用于指定算法类型)。
useradd admin
echo "123123"l passwd --stdin admin

su - admin
ssh-keygen -t ecdsa
Generating public/private ecdsa key pair.
Enter file in which to save the key ( /home/ admin/ .ssh/id_ecdsa) : #指定私钥位置，直接回车使用默认位置
Created directory ’ /home/admin/ .ssh’. #生成的私钥、公钥文件默认存放在宿主目录中的隐藏目录.ssh/下Enter passphrase (empty for no passphrase) : #设置私钥的密码
Enter same passphrase again : #确认输入
ls -l ~ / .ssh/id_ecdsa*
#id_ecdsa是私钥文件，权限默认为600; id_ecdsa.pub是公钥文件，用来提供给SSH服务器

2.将公钥文件.上传至服务器
scp ~/.ssh/id_ecdsa.pub root@192.168.80.10 : / opt

或
#此方法可直接在服务器的/home/zhangsan/.ssh/目录中导入公钥文本cd ~/ .ssh/
ssh-copy-id -i id_ ecdsa.pub zhangsan@192.168.80.10

3.在服务器中导入公钥文本
mkdir /home/zhangsan/.ssh/
cat /opt/id_ecdsa.pub >> /home/zhangsan/.ssh/authorized_keys
cat/home/zhangsan/.ssh /authorized_ keys
4.在客户端使用密钥对验证
ssh zhangsan@192.168.80.10
Enter passphrase for key ’ /home/admin/.ssh/id_ecdsa’ : #输入私钥的密码

5.在客户机设置ssh代理功能，实现免交互登录;

ssh-agent bash #开启ssh代理功能
ssh-add #添加大秘钥到ssh-agent缓存
Enter passphrase for/home/admin/.ssh/id_ecdsa : #输入私钥的密码
ssh zhangsan@192.168.80.10

法一：创建rsa加密方式 第一个：回车，第二个：123456，第三个：123456

在~/.ssh/目录下进行，把公钥发送给192.168.193.160的root用户

192.168.193.160的root

登录192.168.193.160的root用户输入秘钥，登陆成功

法二：

ecdsa加密, 所有：后都为回车，测试不需要密码就可登陆

不需要输密码即可登录

五、使用SSH客户端程序2-1

ssh命令——远程安全登录
ssh user@host
scp命令——远程安全复制
格式1: scp user@host:file1 file2
格式2: scp file1 user@host:file2

sftp命令——安全FTP上下载
sftp user@host

scp复制

安全性复制
scp: scp是secure copy的简写，用于在Linux下进行远程拷贝文件的命令，而且scp传输是加密的。
1.###本地文件复制到服务器###
scp sheng root@192.168.100.141:/opt

2.####复制服务器的文件到本地###
scp root@192.168.100.141:/opt/test/ ./

3.####本地目录复制到服务器####
scp -r 1234/ root@192.168.100.141: /opt

sftp
安全性传输sftp
sftp是Secure File Transfer
Protocol的缩写，安全文件传送协议。可以为传输文件提供一种安全的网络的加密方法。

sftp与 ftp有着几乎一样的语法和功能。SFTP 为SSH的其中一部分，其实在SSH软件包中，已经包含了一个叫 作SFTP(Secure File Transfer Protocol)的安全文件信息传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程（端口号默认是22）来完成相应的连接和答复操作所以，使用SFTP是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时，可以使用SFTP代替FTP
sftp root@192.168.10.10 #登陆到服务器

get下载
get anaconda-ks.cfg /home/

上传
put abc.txt #默认时会上传的/root

put abc.txt / home/
查看可用命令
help #查看sftp可使用的命令和用途

查看可用命令l
help #查看sftp可使用的命令和用途打印服务器当前位置
pwd #打印当前服务器所在位置
lpwd #打印当前本地位置
切换目录、查看文件
cd #切换服务器上的目录
ls #查看当前目录下文件列表
下载文件、退出sftp
get #下载文件
get -r #下载目录
quit #退出sftp
put #上传文件
退出命令: quit、 exit、 bye都可以

安全性复制文件（本地文件到服务器）

服务器文件到本地

安全复制本地文件夹到服务器

上传

下载

六、TCP WRAPPERS 访问控制

TCP wrappers访问控制
TCP wrappers ( TCP封套)
在Linux系统中，许多网络服务针对客户端提供了访问控制机制，如Samba、BIND、HTTPD、OpenSSH 等TCP wrappers 将TCP服务程序"包裹"起来，代为监听TCP服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序。
[root@localhost opt]# rpm -q tcp_wrappers #一般系统会默认安装
tcp_wrappers-7.6-77.el7.x86_64 #该软件包提供了执行程序 tcpd和共享链接库文件 libwrap.so.*
TCP wrapper 保护机制:通常由其他网络服务程序调用libwrap.so. * 链接库比如sshd
[root@localhost opt]# ldd /usr/sbin/sshd | grep "libwrap” #使用ldd命令可以查看程序的共享库
libwrap.so.0 =>/lib64/libwrap.so.0 (0x00007fc35d8f8000)

TCP wrappers访问控制
TCP wrappers ( TCP封套)
将TCP服务程序"包裹"起来，代为监听TCP服务程序的端口，增加了一个安全检测过程，外来的连接请求必须先通过这层安全检测，获得许可后才能访问真正的服务程序。
大多数Linux发行版，TCP Wrappers是默认提供的功能。rpm -q tcp_wrappers

TCP Wrappers保护机制的两种实现方式
1.直接使用tcpd程序对其他服务程序进行保护，需要运行tcpd程序。

2.由其他网络服务程序调用libwrap.so.* 链接库,不需要运行tcpd程序。此方式的应用更加广泛，也更有效率。
使用ldd命令可以查看程序的libwrap.so.* 链接库

ldd $ (which ssh)

语法格式:<服务程序列表>:<客户端地址列表>
(1)服务程序列表服务程序列表可分为以下几类。
ALL:代表所有的服务。 单个服务程序:如"vsftpd"。 多个服务程序组成的列表:如"vsftpd , sshd"

(1)服务程序列表
ALL:代表所有的服务。
单个服务程序:如"vsftpd" 。
多个服务程序组成的列表:如"vsftpd,sshd"。

(2)客户端地址列表
ALL:代表任何客户端地址。

LOCAL:代表本机地址。
多个地址以逗号分隔
允许使用通配符"*“和”?"，前者代表任意长度字符，后者仅代表一个字符网段地址，如"192.168.80.”或者192.168.80.0/255.255.255.0
区域地址，如". benet.com"[匹配benet.com域中的所有主机。

访问控制的基本原则
首先检查/etc/hosts.allow文件，如果找到相匹配的策略，则允许访问;

否则继续检查/etc/hosts.deny文件，如果找到相匹配的策略，则拒绝访问;

如果检查上述两个文件都找不到相匹配的策略，则允许访问
“允许所有，拒绝个别”
只需在/etc/ hosts . deny文件中添加相应的拒绝策略

“允许个别，拒绝所有"
除了在/etc/hosts . allow中添加允许策略之外，还需要在/etc/hosts/deny文件中设置"ALL:ALL"的拒绝策略。
实例:
若只希望从IP地址为12.0.0.1的主机或者位于192.168.80.0/24网段的主机访问sshd服务，其他地址被拒绝。 vi /etc/ hosts.allow
sshd: 12.0.0.1,192.168.80.*

vi /etc/ hosts.deny
sshd:ALL
sshd,htpd:ALL

优先级最高的是公钥，然后是黑白名单

拒绝访问192.168.193.160

允许访问所有

总结
简单的说，SSH是一种网络协议，主要用于客户端与远程主机的安全链接和交互。

安全链接的过程是:
1.远程主机端收到客户端的登陆请求时先发送自己的公饼给客户端

2.客户端用拿到的公钥加密用户名和密码，然后发送给远程主机
3.远程主机用自己的密钥解密收到的用户名和密码，然后校验用户名和密码是否正确，如果正确则登陆成功。

2.客户端免密登陆远程主机《Linux就该这么学》
如果只是通过第一步，以后的每次登陆都需要输入登陆密码，非常麻烦。幸运的是SSH提供了公钥登陆（免密登陆)
公钥登录的流程如下:
1.客户端在自己本地生成一对公钥密钥文件，然后将公钥存储在远程主机上

2.客户端登陆时，远程主机会随机生成一串字符串发送给客户端
3.客户端用自己的密钥将收到的字符串加密，并返回给远程主机
4.远程主机利用公钥解密收到的加密字符串，如果解密成功并且与发送的一致则直接免密登陆

补充：ACL

getfacl 命令用于查看文件或目录当前设定的 ACL 权限信息。该命令的基本格式为：

[root@localhost ~]# getfacl 文件名

setfacl 命令可直接设定用户或群组对指定文件的访问权限。此命令的基本格式为：

[root@localhost ~]# setfacl 选项 文件名

选项	功能
-m 参数	设定 ACL 权限。如果是给予用户 ACL 权限，参数则使用 “u:用户名:权限” 的格式，例如 setfacl -m u:st:rx /project 表示设定 st 用户对 project 目录具有 rx 权限；如果是给予组 ACL 权限，参数则使用 “g:组名:权限” 格式，例如 setfacl -m g:tgroup:rx /project 表示设定群组 tgroup 对 project 目录具有 rx 权限。
-x 参数	删除指定用户（参数使用 u:用户名）或群组（参数使用 g:群组名）的 ACL 权限，例如 setfacl -x u:st /project 表示删除 st 用户对 project 目录的 ACL 权限。
-b	删除所有的 ACL 权限，例如 setfacl -b /project 表示删除有关 project 目录的所有 ACL 权限。
-d	设定默认 ACL 权限，命令格式为 “setfacl -m d:u:用户名:权限 文件名”（如果是群组，则使用 d:g:群组名:权限），只对目录生效，指目录中新建立的文件拥有此默认权限，例如 setfacl -m d:u:st:rx /project 表示 st 用户对 project 目录中新建立的文件拥有 rx 权限。
-R	递归设定 ACL 权限，指设定的 ACL 权限会对目录下的所有子文件生效，命令格式为 “setfacl -m u:用户名:权限 -R 文件名”（群组使用 g:群组名:权限），例如 setfacl -m u:st:rx -R /project 表示 st 用户对已存在于 project 目录中的子文件和子目录拥有 rx 权限。
-k	删除默认 ACL 权限。

setfacl -m：给用户或群组添加 ACL 权限

回归上一节案例，解决方案如下：

• 老师使用 root 用户，并作为 /project 的所有者，对 project 目录拥有 rwx 权限；
• 新建 tgroup 群组，并作为 project 目录的所属组，包含本班所有的班级学员（假定只有 zhangsan 和 lisi），拥有对 project 的 rwx 权限；
• 将其他用户访问 project 目录的权限设定为 0（也就是 —）。
• 对于试听学员 st 来说，我们对其设定 ACL 权限，令该用户对 project 拥有 rx 权限。

具体的设置命令如下：可以看到，通过设定 ACL 权限，我们可以单独给 st 用户分配 r-x 权限，而无需给 st 用户设定任何身份。

setfacl -d：设定默认 ACL 权限

既然已经对 project 目录设定了 ACL 权限，那么，如果在这个目录中新建一些子文件和子目录，这些文件是否会继承父目录的 ACL 权限呢？执行以下命令进行验证：

[root@localhost /]# cd project
[root@localhost project]# touch abc
[root@localhost project]# mkdir d1
#在/project目录中新建了abc文件和d1目录
[root@localhost project]#ll
总用量4
-rw-r–r-- 1 root root 01月19 05:20 abc
drwxr-xr-x 2 root root 4096 1月19 05:20 d1

可以看到，这两个新建立的文件权限位后面并没有 “+”，表示它们没有继承 ACL 权限。这说明，后建立的子文件或子目录，并不会继承父目录的 ACL 权限。
当然，我们可以手工给这两个文件分配 ACL 权限，但是如果在目录中再新建文件，都要手工指定，则显得过于麻烦。这时就需要用到默认 ACL 权限。

例如，给 project 文件设定 st 用户访问 rx 的默认 ACL 权限，可执行如下指令：大家发现了吗？原先的 abc 和 d1 还是没有 ACL 权限，因为默认 ACL 权限是针对新建立的文件生效的。
setfacl -k 命令

[root@localhost /]# setfacl -k project

通过此命令，即可删除 project 目录的默认 ACL 权限，读者可自行通过 getfacl 命令查看。
递归 ACL 权限指的是父目录在设定 ACL 权限时，所有的子文件和子目录也会拥有相同的 ACL 权限。

注意，默认 ACL 权限指的是针对父目录中后续建立的文件和目录会继承父目录的 ACL 权限；递归 ACL 权限指的是针对父目录中已经存在的所有子文件和子目录会继承父目录的 ACL 权限。

setfacl -x：删除指定的 ACL 权限

使用 setfacl -x

[root@localhost /]# setfacl -x u:st project
#删除指定用户和用户组的ACL权限
[root@localhost /]# getfacl project
# file:project
# owner: root
# group: tgroup
user::rwx
group::rwx
group:tgroup2:rwx
mask::rwx
other::—
#st用户的权限已被删除

setfacl -b：删除指定文件的所有 ACL 权限

此命令可删除所有与指定文件或目录相关的 ACL 权限。例如，现在我们删除一切与 project 目录相关的 ACL 权限，执行命令如下：

[root@localhost /]# setfacl -b project
#会删除文件的所有ACL权限
[root@localhost /]# getfacl project
#file: project
#owner: root
# group: tgroup
user::rwx
group::rwx
other::—
#所有ACL权限已被删除