定义默认ACL控制策略------linux

定义默认ACL控制策略
 问题

1. 为目录 /public/ 设置ACL策略，使用户gelin01具有rwx权限
2. 在 /public/ 下创建子目录gdir1、文件gfile1，分别查看其ACL策略
3. 为目录 /public/ 设置可继承权限为“用户ht02具有rwx权限”
4. 在 /public/ 下创建子目录gdir2、文件gfile2，分别查看其ACL策略
5. 以用户ht02登入，做以下测试：
6. 对/public/目录是否有写入权限
7. 对/public/下的gdir2和gfile2是否有写入权限
8. 对/public/下的gdir1和gfile1是否有写入权限
    方案
   ACL默认策略，是一个可以继承的ACL策略。但需注意的是默认策略对目录本身是没有生效的，对于子目录子文件才开始生效。
    步骤
   实现此案例需要按照如下步骤进行。
   步骤一：为目录 /public/ 设置ACL策略，使用户gelin01具有rwx权限
   命令操作如下所示：
   [root@localhost ~]# id gelin01 //测试是否有gelin01用户
   uid=501(gelin01) gid=501(gelin01) 组=501(gelin01),502(tarena)
   [root@localhost ~]# mkdir /public //创建目录
   [root@localhost ~]# getfacl /public //查看ACL策略
   getfacl: Removing leading ‘/’ from absolute path names

file: public/

owner: root

group: root

user::rwx
group::r-x
other::r-x

[root@localhost ~]# setfacl -m u:gelin01:rwx /public //设置ACL策略
[root@localhost ~]# getfacl /public //查看ACL策略
getfacl: Removing leading ‘/’ from absolute path names

file: public/

owner: root

group: root

user::rwx
user:gelin01:rwx
group::r-x
mask::rwx
other::r-x
步骤二：在 /public/ 下创建子目录gdir1、文件gfile1，分别查看其ACL策略
命令操作如下所示：
[root@localhost ~]# mkdir /public/gdir1
[root@localhost ~]# touch /public/gfile1
[root@localhost ~]# getfacl /public/gdir1/
getfacl: Removing leading ‘/’ from absolute path names

file: public/gdir1/

owner: root

group: root

user::rwx
group::r-x
other::r-x

[root@localhost ~]# getfacl /public/gfile1
getfacl: Removing leading ‘/’ from absolute path names

file: public/gfile1

owner: root

group: root

user::rw-
group::r–
other::r–

[root@localhost ~]#
步骤三：为目录 /public/ 设置可继承权限为“用户ht02具有rwx权限”
命令操作如下所示：
[root@localhost ~]# id ht02 //查看ht02用户是否存在
id: ht02：无此用户
[root@localhost ~]# useradd ht02 //创建ht02用户
[root@localhost ~]# getfacl /public/
getfacl: Removing leading ‘/’ from absolute path names

file: public/

owner: root

group: root

user::rwx
user:gelin01:rwx
group::r-x
mask::rwx
other::r-x
[root@localhost ~]# setfacl -dm u:ht02:rwx /public //设置默认可继承ACL权限
[root@localhost ~]# getfacl /public/
getfacl: Removing leading ‘/’ from absolute path names

file: public/

owner: root

group: root

user::rwx
user:gelin01:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:ht02:rwx
default:group::r-x
default?:rwx
default:other::r-x

[root@localhost ~]#
步骤四：在 /public/ 下创建子目录gdir2、文件gfile2，分别查看其ACL策略
命令操作如下所示：
[root@localhost ~]# mkdir /public/gdir2
[root@localhost ~]# touch /public/gfile2
[root@localhost ~]# getfacl /public/gdir2
getfacl: Removing leading ‘/’ from absolute path names

file: public/gdir2

owner: root

group: root

user::rwx
user:ht02:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:ht02:rwx
default:group::r-x
default?:rwx
default:other::r-x

[root@localhost ~]# getfacl /public/gfile2
getfacl: Removing leading ‘/’ from absolute path names

file: public/gfile2

owner: root

group: root

user::rw-
user:ht02:rwx #effective:rw-
group::r-x #effective:r–
mask::rw-
other::r–

步骤五：以用户ht02登入，测试
切换目录身份，命令操作如下所示：
[root@localhost ~]# su - ht02
[ht02@localhost ~]$
对/public/目录是否有写入权限，命令操作如下所示：
[ht02@localhost ~]$ mkdir /public/htdir
mkdir: 无法创建目录"/public/htdir": 权限不够
[ht02@localhost ~]$ getfacl /public/
getfacl: Removing leading ‘/’ from absolute path names

file: public/

owner: root

group: root

user::rwx
user:gelin01:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:ht02:rwx
default:group::r-x
default?:rwx
default:other::r-x

[ht02@localhost ~]$
分析： 从这可以看出默认权限对目录本身没有生效，对子目录才开始继承生效。
对/public/下的gdir2和gfile2是否有写入权限，命令操作如下所示：
[ht02@localhost ~]$ mkdir /public/gdir2/htdir
[ht02@localhost ~]$ getfacl /public/gdir2/
getfacl: Removing leading ‘/’ from absolute path names

file: public/gdir2/

owner: root

group: root

user::rwx
user:ht02:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:ht02:rwx
default:group::r-x
default?:rwx
default:other::r-x

[ht02@localhost ~]$ ls -ld /public/gdir2/htdir/ //创建成功
drwxrwxr-x+ 2 ht02 ht02 4096 2月 27 16:53 /public/gdir2/htdir/
[ht02@localhost ~]$ getfacl /public/gfile2
getfacl: Removing leading ‘/’ from absolute path names

file: public/gfile2

owner: root

group: root

user::rw-
user:ht02:rwx #effective:rw-
group::r-x #effective:r–
mask::rw-
other::r–

[ht02@localhost ~]$
[ht02@localhost ~]$ echo 123456 > /public/gfile2 //测试写入
[ht02@localhost ~]$ cat /public/gfile2
123456
对/public/下的gdir1和gfile1是否有写入权限，命令操作如下所示：
[ht02@localhost ~]$ getfacl /public/gdir1 //可以看到ht02没有呢ACL权限
getfacl: Removing leading ‘/’ from absolute path names

file: public/gdir1

owner: root

group: root

user::rwx
group::r-x
other::r-x

[ht02@localhost ~]$ mkdir /public/gdir1/htdir
mkdir: 无法创建目录"/public/gdir1/htdir": 权限不够
[ht02@localhost ~]$ getfacl /public/gfile1 //可以看到ht02没有呢ACL权限
getfacl: Removing leading ‘/’ from absolute path names

file: public/gfile1

owner: root

group: root

user::rw-
group::r–
other::r–

[ht02@localhost ~]$ echo 123456 > /public/gfile1
-bash: /public/gfile1: 权限不够
[ht02@localhost ~]$