Linux 文件权限 ACL 权限 详解

最新推荐文章于 2024-07-08 22:09:55 发布
最新推荐文章于 2024-07-08 22:09:55 发布
阅读量501 收藏 4
点赞数 2
分类专栏: linux 基础 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56332061/article/details/127714405
版权

什么是 ACL 权限 ?

        场景带入

                #     某大牛在QQ群内直播讲解Linux系统的权限管理,讲解完之后,他在Linux系统中创

                        建了一个  /project 目录,里面存放的是课后参考资料。那么 /project 目录对于大牛

                        而言是所有者(那自然是了,人家创建的啊)拥有读写可执行(rwx)权限。

                     

                #      对于 QQ群内的所有用户他们都被 大牛 分配在一个所属组里面,也都拥有读写可执

                        行(rwx)权限。 QQ 群里的所有用户 就相当于来上 大牛老师的课的学生 。

                       

                #     而对于 QQ 群外的其他人,那么我们不给他访问/project 目录的任何权限,

                       你们这些 QQ 群外的人 肯定不能有权限啊,你们都不是 大牛老师的学生,当然不能

                       有对 资料的权限了!!

               #     综上 : / project 目录的所有者和所属组权限都是(rwx),其他人自然没有权限!!

               

                当你理解了上述场景后,问题来了 :

                现在呢,由于 大牛老师讲的太好了,就会有不少学生想要 听课,就是想来试听试听,当

                个旁听生,那么对于这些旁听生我们应该怎么理解呢 ?

                ===>>> 

                                 首先,这些旁听生 肯定先不是 QQ 群内的学生,就是 不是 大牛老师的学生,

                                 不然就不叫 旁听了,那也就是说 是属于  其他人 的那一项, 而 旁听生前来听

                                 课肯定也得需要学习资料 ( 也就是说需要对资料的权限  : r-x ) 

                                 你个旁听生 当然不能 有 w 权限了( 你不能对老师的学习资料 改来改去呀 )

                ===>>>  

                                 那我们说  旁听生 是势必属于 其他人的那一项的,那也就意味着 旁听生肯定

                                 是和 其他人的权限是一样的,但是 其他人的权限是 ----  是没有权限啊!!!

                                 而现在我们却想要  旁听生 拥有 r-x 的权限!!!

                                 这不就是 冲突 !!

                                 意味着我们要给 旁听生 分配 r-x 权限  并且 除了 旁听生的其他人权限是 无!

                                 

                                

                                 

                                  那么,为了解决这一冲突,我们就得开始 引入  ACL 权限了!!!

    ACL 权限 :  

                   官方  : 我们给指定的用户指定目录分配指定的权限,也就是 ACL 权限分配

    模拟场景  : 

           #      模拟学习资料 

[root@bogon ~]# mkdir /project
[root@bogon /]# ls -ld project
drwxr-xr-x. 2 root root 6 Nov  6 16:44 project
[root@bogon ~]# chmod 770 /project
[root@bogon ~]# ls -ld /project
drwxrwx---. 2 root root 6 Nov  6 16:44 /project
[root@bogon ~]# chown rhcsa:rhcsa /project
[root@bogon ~]# ls -ld /project
drwxrwx---. 2 rhcsa rhcsa 6 Nov  6 16:44 /project

                      / project  就相当于 学习资料 

                      我们创建了 学习资料 , 并且 修改了权限为 770 ( 让其他用户的权限为 0 )

                      暂时把 所属主和所属组 切换为 rhcsa : rhcsa (   暂时的) 

         #     模拟 人员  

[root@bogon ~]# useradd teacher
[root@bogon ~]# groupadd csagroup


[root@bogon ~]# useradd zhangsan
[root@bogon ~]# useradd lisi


[root@bogon ~]# useradd pangting

                  teacher  :          大牛 ( 老师 )

                  zhangsan , lisi  :   课堂里的学生( 也是 QQ 群里的学生  )   

                  csagroup  :     QQ 群   --  组 

                  pangting  :    旁听生  

           模拟 实际关系

[root@bogon ~]# chown teacher:csagroup /project
[root@bogon ~]# ls -ld /project
drwxrwx---. 2 teacher csagroup 6 Nov  6 16:44 /project


[root@bogon ~]# gpasswd -a zhangsan csagroup
Adding user zhangsan to group csagroup
[root@bogon ~]# gpasswd -a lisi csagroup
Adding user lisi to group csagroup

              刚才不是说了  rhcsa : rhcsa ( 只是暂时的 ,暂时也没啥用,就只是不想看见root 罢了)

              现在 对于 /project 的所属主 和 所属组 正式为 teacher 和  csagroup  

              把 学生 zhangsan  lisi  加入到 csagroup 里 !

       #   测验下场景

[root@bogon ~]# su - pangting
[pangting@bogon ~]$ cd /project
-bash: cd: /project: Permission denied

               我们不是有个 旁听生嘛,现在让他看看能不能进入到我们的学习资料里去!!

               ===>>>

                                在没有进行 ACL 之前 显然是不能的 !! 

                                没有权限访问 !!

               至此,这个模拟场景就是彻底实现了!! 

               然后就是 关于我们的正题 -----   ACL 对于上述场景 的应用了 !!!

设置 ACL 权限  :

              查看 ACL 权限  : 

              ===>>>      getfacl   文件名            

       展示出来的 就是  ACL 权限  !!! 

      待会儿操作的时候 就可以看到 其效果( 现在这个是 我们什么还没操作呢 ,可以作为对比) 

              设置 ACL  权限  :

               ===>>>        setfacl   文件名  

               选项  :

-m:设定 ACL 权限。
    
    如果是给予用户 ACL 权限,则使用 "u:用户名:权限"  格式赋予;
    如果是给予组 ACL 权限,则使用   "g:组名:权限"    格式赋予;

-x: 删除指定的 ACL 权限;

-b: 删除所有的 ACL 权限;

-d: 设定默认 ACL 权限。只对目录生效,指目录中新建立的文件拥有此默认权限;

-k: 删除默认 ACL 权限;

-R: 递归设定 ACL 权限。指设定的 ACL 权限会对目录下的所有子文件生效

                                

             场景实操 : 

[root@bogon project]# setfacl -m u:pangting:r-x /project

              上示 即是 我们使用  setfacl 命令 来对  旁听生  进行 ACL 权限操作 !

               #    使用了 - m 选项     用户名 :  pangting   设置的 权限是 r-x  

                     这一操作就完完全全解决了  我们前面 举例的  场景问题 !!!!

                     这就是  ACL 权限的作用  !!!!

               #   注意如下所示,如果某个目录或文件下有 + 标志,说明其具有 acl 权限。

               我们刚才设定了 ACL 权限,现在再 查看下 ACL 权限 看看有哪些变化 :

               那查看 ACL 权限 是要用 什么命令呢 ??

               ===>>>    自然是 gatfacl  

             现在看上示内容,再和之前的 gatfacl 做对比 ,就明显可以看到 当我们设置了 针对用户的

             ACL 权限后 就会 在  user 那一栏 里 多了 pangting  用户 和其所对应的 权限 r-x 

            #  我们在使用  pangting 用户 验证一下  :

[root@bogon project]# su - pangting
[pangting@bogon ~]$ cd /project
[pangting@bogon project]$

                   显然,当给  pangting 用户 设置了 ACL 权限分配 r-x 后 那么 pangting 用户即可以访问

                   到  / project  目录 !

             来试下 - x   选项 :  删除指定的权限  

[root@bogon project]# setfacl -x u:pangting /project
[root@bogon project]# su - pangting
[pangting@bogon ~]$ cd /project
-bash: cd: /project: Permission denied

                   那么这个时候,当 删除掉了 pangting 的 ACL 权限分配 后,此时就明显可以看到 

                   pangting  用户已经无法再对  / project 访问了 !!!

          #    来看下  -b   选项  :   删除所有的 ACL 权限 !!

                  我们再把刚才删除的 pangting 用户重新设置  ACL 权限 ;

                  我们再创建一个 新用户 pangting2  并且给它 设置 好 ACL 权限 ;

[root@bogon ~]# setfacl -m u:pangting:r-x /project 


[root@bogon ~]# useradd pangting2
[root@bogon ~]# setfacl -m u:pangting2:r-x /project

                   查看下 ACL 权限 :

[root@bogon ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: teacher
# group: csagroup
user::rwx
user:pangting:r-x
user:pangting2:r-x
group::rwx
mask::rwx
other::---

               - b  选项 :       

[root@bogon ~]# setfacl -b /project

                   删除所有 就不需要指定了,直接删除 目录 / project  就行 

               查看 ACL 权限 :

[root@bogon ~]# getfacl /project
getfacl: Removing leading '/' from absolute path names
# file: project
# owner: teacher
# group: csagroup
user::rwx
group::rwx
other::---

        #   -d选项  设定默认 ACL 权限

                              只对目录生效,指目录中新建立的文件拥有此默认权限。

                              就是说如果对 目录设定了 默认权限,那也就意味着 这个目录中的 文件 也就拥

                              有了此默认权限 !!

                        

               我们先看看没有对目录设定默认权限之前,目录 和 其下的文件的权限是什么样子?

               ===>>>

                                在目录 / project 里创建文件 

[root@bogon ~]# cd /project
[root@bogon project]# touch file1

 

                                 查看  / project 的权限 :

                ===>>>

              

                               再查看 file 1 的 文件权限 :

                 ===>>>  

                

              通过对比 : 

              ===>>  

                               目录 和 文件 的所属主 所属主 不一样; 权限也不一样 !!!

            那现在,我们就用下 这个  -d  选项 ,就会使得 目录里新建的文件也会拥有此默认权限 

            那怎么设置默认权限呢 ??

            ===>>>

                      setfacl   -d   -m u: xxx( 用户名)  xxx(一般权限)    目录名 (文件)

            ===>>>

           

             可以看到,设置默认权限成功后,使用 getfacl 查看的时候,下面就出现了 default !!

            然后,我们再在该目录下再新建一个文件,再查看下它的 ACL 权限 :

           

           直接可以看到的是,当目录设置了默认权限后,该目录再新建文件的时候,该文件会自动就

           和目录的权限保持一致!!

           并且 你可以看到的是 出现了    #   effective   !!

            由此,我们再 引出   #   effective 

            #   effective    :  这个指的是 有效权限 !!!

             那它咋来的呢 ??

            ===>>>

                               是根据 mask 来的!!    在上示结果中 :  mask 是  rw-  

                              effective  :   是和 mask  与    过之后的权限 !!

             

               以上示 : mask 是 rw-     也即是  110 

                               又由于  user  权限是 101  

                               所以其有效权限是  110( mask ) &  101 ( user )  ==  100 

                               所以,user  那一行的有效权限为 100  就是    r-- 

                               同理,又由于 group 权限为 rwx 也就是 111 

                               所以其有效权限为 : 110(mask) &  111 ( group )  ==  110 

                                所以 ,group 那一行的有效权限就是 110  即 rw- 

      #  -k 选项   :  删除默认权限 

                          

             我们删除了 默认权限后,再查看其权限,可以看到 已经没有 default 了 !!

            我们再在目录下创个文件 ,来看看这个文件还有没有 # effective 有效权限 !

           

              显然,再在 目录下创建新文件,已经没有了 有效权限!!!

     mask  :   最大有效权限 

                怎么设置 mask 的权限呢 ?

                ===>>>

setfacl -m m:权限 文件名

                 示例  :

[root@bogon project]# setfacl -m m:rwx file2

                 上示我们把 mask 的权限就设置成了 rwx 也就是  111  

                    :

                                需要清楚的是,当你把 mask 设置成 rwx 的时候也就是 111 的时候,那就意味

                                着 该文件不会再出现    #  effective  有限权限 !!

                                因为  任何权限和 mask ( 当被设置为 111 ) 都会是本身 !

                                所以不会显示    # effective   

                        

      拓展

                        我可以根据一个文件的 ACL 信息去设置 另一个文件的 ACL 信息 

                       ===>>>

                                       使用 getfacl 的输出 作为 setfacl 的输入 ( 管道符 )     

getfacl file-A | setacl --set-file=- file-B

                

                        示例  :

                                       这是 file1 的 ACL 信息 

[root@bogon project]# getfacl file1
# file: file1
# owner: root
# group: root
user::rw-
group::r--
other::r--

                                        这是 file2 的ACL 信息 


[root@bogon project]# getfacl file2
# file: file2
# owner: root
# group: root
user::rw-
user:pangting:r-x		#effective:r--
group::rwx			#effective:rw-
mask::rw-
other::---

                              现在我们使用 命令 使得 file1 可以变为 file2 的ACL 信息 

              ===>>>

[root@bogon project]# getfacl file2 | setfacl --set-file=- file1

                                 然后查看 file1 的ACL 信息有没有变化 

               ===>>>

[root@bogon project]# getfacl file1
# file: file1
# owner: root
# group: root
user::rw-
user:pangting:r-x		#effective:r--
group::rwx			#effective:rw-
mask::rw-
other::---

                                显然,此时的 file 1 的 ACL 全新变的 和 file2 的一模一样了 !!!!                      

三毛与海子
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux权限管理之设置ACL权限
Verne_Lin的博客
02-10 1171
PS:一个用户既不属于文件的所有者u,所属组人员g也不属于其他人o,那么他想访问服务器里面的文件则需要给他设置ACL权限,这样他才有访问该文件权限。 1、查看分区 ACL 权限是否开启:dump2fs ①、查看当前系统有哪些分区:df -h      ②、查看指定分区详细文件信息:dumpe2fs -h 分区路径   下面是查看 根分区/ 的详细文件信息      2、开启分区...
linux系统文件权限管理之 ‘ACL
灬紫荆灬
11-26 426
一 ACL 权限简介 Linux 下用户对文件的操作权限有 r-读, w-写, x-可执行三种,而对linux 下的文件而言,用户身份分为:所有者, 所属组, 其它人, 且文件的所有者,所属组都只能是一个,所以在对文件分配用户的使用权限时,只能对这三种身份进行分配rwx 权限Linux 主要作为服务器系统使用,用户众多.所以在实际使用场景中,这三种身份并不能很好地实现资源权限分配问题,所以就有了...
Linux用户权限ACL权限
s1429583654的博客
09-28 2183
ACL权限的设置与解释以及使用
LinuxACL权限
qq_33441128的博客
04-03 1247
linuxacl权限,访问控制表
Linux文件权限ACL控制
weixin_42688499的博客
04-17 2001
目录 1、文件权限相关 1.1、相关概念 1.2、chmod命令(权限修改) 1.3、chown(改所有者/所属组) chgrp(改所属组)-à身份修改 1.4、默认权限和反掩码umask 1.5、特殊权限位(SUID/SGID/Sticky bit) 1.5.1、SUID 1.5.2、SGID 1.5.3、Sticky bit (粘滞位) 1.5.4、写保护特殊权限(硬写保护+i和软写保护+a) 2、使用ACL控制对文件的访问 2.1、查看(getfacl命令) 2.2、设置
linux权限管理之ACL权限管理
qq_41566366的博客
02-04 1620
知识点: 查看某个目录权限 : getfacl 目录名 。 目录权限分两大块,一块是该目录本身的权限,一块是default,新建子目录会继承default权限。如果没有设置默认权限,那么就不会有default权限 default只针对目录,文件不存在default权限,也不存在继承目录的default权限 仅修改某个目录权限:sudo setfacl -m u:用户:权限(如r/rx/rwx) 目录名 递归的修改/新增某个目录及其所有子目录权限:sudo setfacl -m u:用户:权限(如.
linux权限ACL权限
weixin_38061373的博客
05-15 1133
linux权限ACL权限的设置应用
详解如何备份及恢复 Linux 文件权限
09-15
Linux系统管理中,文件权限是非常关键的,它们决定了用户和用户组对文件和目录的操作权限。不正确的权限设置可能导致安全问题或者系统功能异常。本文将深入探讨如何备份和恢复Linux文件权限,以应对可能出现的问题...
08-Linux权限设置
07-12
"Linux权限设置详解" Linux权限设置是Linux系统中的一项重要功能,用于控制用户对文件和目录的访问权限。在Linux系统中,文件和目录的权限是通过Access Control List(ACL)来实现的。ACL是一个表,记录着文件或...
Linux应用技术:ACL访问控制.pptx
05-25
项目4 管理用户和用户...删除ACL权限;练习2;删除ACL权限;*ACL的mask权限;ACL的mask权限演示;*mask权限验证;思考;课堂活动验证&结论;*ACL的有效权限演示;ACL的有效权限验证;默认权限(拓展选学);默认权限;默认权限验证
ACL权限设置.pdf
07-10
**ACL权限设置详解** ACL(Access Control List,访问控制列表)是一种更为精细的权限管理系统,它扩展了传统Unix-like操作系统的权限模型,允许为单个用户或用户组设置额外的访问权限,而不仅仅是所有者、组和其他...
Linux 操作系统详解
11-14
1. SetUID:当一个程序具有SetUID权限时,它将以文件所有者的权限而非运行它的用户权限运行。这对于需要临时提升权限的程序(如`passwd`)很有用。 2. 设定SetUID:使用`chmod u+s file`可为文件添加SetUID标志。 3....
LinuxACL权限
qq_57289939的博客
06-14 1043
setfacl 选项 文件名 --- 设定ACL权限。getfacle 文件名 --- 查看ACL权限。所有者和所属组权限和其他人权限是770,然后创建一个旁听用户。--- setfacl -m u:用户名:权限 指定文件名。--- setfacl -m g:组名:权限 指定文件名。将/project目录的其他人权限改为(r-x)之后的权限才是用户的真正权限,一般默认mask。系统的权限管理,讲解完之后,他在一个公有的。,与我们所设定的权限相与就是我们设定的权限。)的权限,这时候我们该怎么办呢?
Linux——使用ACL控制对文件的访问
weixin_61895606的博客
03-22 414
使用ACL控制对文件的访问
LinuxLinux权限管理——ACL权限
qq_36926037的博客
08-11 520
文章目录一、ACL权限简介与开启1.1 ACL权限简介1.2 查看分区ACL权限是否开启dumpe2fs1.3 开启分区ACL权限1.3.1 临时开启分区ACL权限mount1.3.2 永久开启分区ACL权限二、查看、设定ACL权限2.1 设定ACL权限setfacl -m2.2 查看ACL权限getfacl三、最大有效权限、删除ACL权限3.1 最大有效权限3.2 删除ACL权限3.2.1 删除指定ACL权限setfacle -x3.2.1 删除文件或目录所有ACL权限setfacle -b四、默认ACL
Linux--ACL权限管理
2201_75455485的博客
02-23 777
ACL(Access Control List,访问控制列表),它提供了比传统的UGO(用户、组、其他)权限更灵活的权限设置方式。
Linux权限管理之ACL权限
sunfeizhi的专栏
09-02 940
一、ACL权限简介与开启         ACL权限是一种为某个或某些用户特殊设置的权限,这种权限不收到所有者、所属组、其他用户这三种权限设置的限制,即可以脱离它们而单独设置权限ACL权限就是为了解决这三种权限不能实现的一些特殊情况而出现的。         ACL权限不是某个目录上支持的特性,而是分区(即文件系统)所支持的特性。使用dumpe2fs命令查看某个分区是否支持ACL权限。d
解析Linux权限管理:ACL 权限
m0_74282605的博客
08-18 272
如果希望备份和恢复带有 ACL 权限文件和目录,可以先把 ACL 权限信息备份到一个文件里,然后再用 -restore 选项来恢复这些信息。o::- 是另一个需要注意的地方,其完整的写法是 other::-,就像 u::rw 的完整写法是 user::rw- 一样。它在UGO权限管理的基础上为文件系统提供一个额外的、更灵活的权限管理机制。有添加就有删除,我们可以通过 setfacl 命令的 -x 选项来删除指定用户或组的 ACL 权限,还可以通过 -b 选项来清除文件和目录上所有的 ACL 权限
Linux】进程间通信——匿名管道
最新发布
2201_76024104的博客
07-08 1143
1.:一个进程需要将它的数据发送给另一个进程,比如我们有两个进程,一个负责获取数据,另一个负责处理数据,这时第一个进程就要将获取到的数据交给第二个进程2.:多个进程间共享同样的资源3.:一个进程需要给其他进程发送消息,通知他们发生了某种事件4.:有些事件需要完全控制另一个进程,比如我们在使用gdb调试时,gdb就是一个进程,它控制了我们要调试的进程进程之前是有互相传递信息的需求,但是,一个进程不可能去另一个进程的地址空间中取信息,所以这就要求操作系统去提供一块交换数据的空间来供进程之间使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值