使用ACL控制对文件的访问

最新推荐文章于 2021-09-10 16:07:03 发布
最新推荐文章于 2021-09-10 16:07:03 发布
阅读量404 收藏
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39188549/article/details/119293072
版权
本文介绍了ACL(Access Control List)的概念,它允许为文件分配更细致的权限,超越了传统的所有者、组和其他用户的权限设定。内容涵盖了如何查看和使用ls、getfacl命令检查ACL权限,以及ACL的优先级规则。此外,还讲解了如何使用setfacl命令设置和管理ACL,以及如何通过默认ACL控制新文件和子目录的权限继承。
摘要由CSDN通过智能技术生成

文章目录

使用ACL控制对文件的访问

解释文件ACL

什么是ACL

  • ACL允许向文件分配细化权限。除标准的文件所有者、组所有者和其他文件权限之外, 还可向指定用户或指定组,以及 UID 或 GID 确定的用户和组授予权限。这些权限均应 用相同的权限标志:r -读取、w -写入、x-执行
  • 文件所有者可以在单个文件或目录上设置 ACL。新文件和子目录可以自动从父目录默 认 ACL (若已设置)中继承 ACL 设置。与常规文件的访问规则相似,父目录层次结构 需要至少设置其他用户执行权限 ,以便启用指定用户和指定组的访问权限

ACL 的支持

  • ACL需要文件系统的支持,XFS/ext3/ext4 等文件系统均内置了对 ACL 的支持,而在 较早版本中,应确认是否启用了对 ACL 的支持

使用 ls 命令查看 ACL 权限

  • Is -l命令仅输出最少的ACL设置详细信息:

  • [student@server0 ~]$ ll roster.txt

  • -rw-rwxr–+ 1 student student 48 Dec 5 00:47 roster.txt

  • 如果由10个字符组成的权限字符串的末尾是“+”,即表示此文件有相关联的 ACL 设 置。对用户 、组和其他的“rwx”标志解释如下:

  • 用户:显示用户 ACL 设置,其与标准的用户文件设置相同

  • 组:显示当前的 ACL 掩码设置,而不是组所有者设置

  • 其他:显示其他 ACL 设置,其与标准的其他文件设置相同

使用 getfacl 命令查看 ACL 权限

  • 查看文件 ACL
    • 要显示文件上的ACL设置,使用 getfacl file
    • 示例:使用 getfacl 命令查看 /run/log/journal 的子目录中的文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YHpd8wvQ-1627779386241)(C:\Users\Lenovo\Desktop\学习\笔记\Linux\查看目录ACL.png)]

ACL权限优先级

  • 在决定一个进程(正在运行的程序)能否访问文件时,将按以下规则匹配 ACL 权限:
    • ① 如果正在以文件所有者身份运行进程,则应用文件的用户ACL权限
    • ② 如果正在以指定用户 ACL 条目中列出的用户身份运行进程,则应用指定用户 ACL 权 限(只要掩码允许)
    • ③ 如果正在以与文件的组所有者相匹配的组身份运行进程,或者以具有显式指定组 ACL 条目的组身份运行进程,则应用相匹配的ACL权限(只要掩码允许)
    • ④ 否则,将应用文件的其他 ACL 权限

使用ACL保护文件安全

setfac

  • 使用 setfacl 添加、修改或删除文件和目录的 ACL 设置
  • ACL采用普通的权限文件系统表示法:(不允许使用数字加权法)
    • “r”表示读取权限
    • “w”表示写入权限
    • “x”表示执行权限
    • “-”(短划线)表示缺少相关权限
  • 在以递归方式设置 ACL 时,大写字母“X”可用于表示:如果文件还没有相关的执行 权限,则只应设置目录(而非常规文件)的执行权限。这一行为与 chmod 相同
#添加 user1 对 file1 具有 rw- 的 ACL 权限
setfacl -m u:user1:rw- file1
# 使用 -m 或 -M 选项设置 ACL。设置时,如果 name 留空,则它适用于文件所有者,否则,name 可以是用户名或 UID 值


#修改 g1 对 file1 具有 rw- 的 ACL 权限
setfacl -m g:g1:rw- file1

#通过 ACL,修改其他用户对 file1 不具有权限
setfacl -m o::- file1

#修改文件所有者和组 g2 对 file1 分别具有 rwx 和 rw- 的 ACL 权限
setfacl -m u::rwx,g:g2:rw- file1
#通过同一命令添加多个条目,并以逗号分隔

#修改 file1 的 ACL 掩码为 r--
setfacl -m m::r-- file1


#将 file2 的 ACL 权限设置与 file1 一致
getfacl file1 | setfacl --set-file=- file2
#--set-file 接受文件或 stdin 中的输入,短划线作为占位符指定了 stdin 的使用。这里中,设置 file1 的 ACL 查看结果作为 file2 的ACL设置的输入

#设置目录 dir1 的文件所有者 ACL 权限为 rw-,并递归到子文件和子目录中
setfacl -R -m u::rw- dir1
#使用 -R 选项实现递归,涉及执行权限时注意使用 X,并且区分递归和继承

#删除 user1 对 file1 的 ACL 权限
setfacl -x u:user1 file1
#使用 -x 选项删除某条 ACL 权限,支持使用逗号分隔多个条目

#删除 file1 的所有 ACL 权限
setfacl -b file1
#使用 -x 选项删除指定用户和组的 ACL 权限以及掩码也可以实现同样效果

控制默认ACL文件权限

  • 目录可以设置默认ACL,这些ACL会由所有新文件和新子目录自动继承。可以针对各个 标准 ACL 设置来设置默认 ACL 权限,其中包括默认掩码。
  • 注意:目录本身还需要有 ACL 权限进行访问权限控制,默认ACL不会对当前目录生效,仅 提供权限继承的效果
#添加默认ACL
setfacl -m d:u:<name>:<rwx> <directory/file>


#删除默认ACL
setfacl -x d:u:<name> <directory/file>

添加默认ACL
setfacl -m d:u:: <directory/file>

#删除默认ACL
setfacl -x d:u: <directory/file>

qq_39188549
关注
专栏目录
使用基本ACL限制公司网络访问.rar
02-17
2、学习目标:配置交换机基础环境,配置路由器基础环境,配置基本ACL访问控制 3、应用场景:使用基本ACL限制公司网络访问 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了实验的...
Linux系统下的文件权限查看及修改
Sunny_Future的博客
10-10 3429
本次博文主要讲解文件权限及其修改、系统默认权限的设定、文件访问控制acl列表)和几个特殊权限。
文件的权限和访问控制列表(ACL
Eumenides_s的博客
09-21 2718
个人博客地址:http://www.pojun.tech/ 欢迎访问前言   文件的权限以及访问控制列表贯穿在整个的Linux使用过程中。我们知道,在Linux 中一切皆文件,因而文件的权限,就自然而然地成为了Linux使用过程中需要频繁接触到的知识内容。而文件权限这一部分地内容,又非常地复杂,因为我们将在这篇文章当中详细地介绍文件的权限,加深自己的理解,同时留作备忘。 本文将通过以下几个方面的
linux文件访问控制acl列表)
赵泳智的博客
01-03 1485
0.acl的定义 acl=access control 指定特殊的用户对特殊的文件有特殊的权限 当“.”变成“+”标示开启了acl访问控制列表 注意:当文件/目录有权限列表时,ls -l能看到的权限是假的 [zyz@localhost ~]$ getfacl /home/zyz/ getfacl: Removing leading '/' from absolute path names #...
配置 Linux 的访问控制列表(ACL)
liangdapo的专栏
02-10 3230
使用拥有权限控制的Liunx,工作是一件轻松的任务。它可以定义任何user,group和other的权限。无论是在桌面电脑或者不会有很多用户的虚拟Linux实例,或者当用户不愿意分享他们之间的文件时,这样的工作是很棒的。然而,如果你是在一个大型组织,你运行了NFS或者Samba服务给不同的用户,然后你将会需要灵活的挑选并设置很多复杂的配置和权限去满足你的组织不同的需求。 Linux(和其他U
如何通过acl 让其他组的某个用户拥有读写权限
chizhi3352的博客
04-22 593
环境如下: 用户1:test1 组test1 用户2:test2 组test2 通过test1在/tmp下创建文件text touch test1.txt 查看权限: ls -al test1.txt 权限如下: -rw-rw-r-- 切换到test2用户尝试修改test...
使用扩展ACL限制公司网络访问.rar
02-17
2、学习目标:配置路由器接口,配置高级ACL控制访问 3、应用场景:使用扩展ACL限制公司网络访问 4、特点:Word文档提供了实验的详细过程,包括每一步骤的操作命令和截图,并给出了实验的topo文件(包括配置信息) 5...
使用Cacls命令设置服务器文件访问权限
10-01
### 使用Cacls命令设置服务器文件访问权限 #### 一、Cacls命令简介 Cacls(Check Access List)命令是Windows操作系统中的一个实用工具,用于管理文件或目录的访问控制列表(Access Control List, ACL)。通过...
acl.zip_ACL_权限控制
09-21
1. **ACL的定义**:访问控制列表是一系列规则,它指定特定主体(如用户、组或进程)对特定对象(如文件、目录或网络服务)的访问权限。这些权限通常包括读取、写入、执行等操作。 2. **主体与对象**:主体是请求...
访问控制列表-初识ACL
01-03
### 访问控制列表(ACL)详解 #### ACL概述 访问控制列表(Access Control List,简称ACL)在网络安全领域扮演着至关重要的角色。它本质上是一种报文过滤工具,通过一系列预定义的规则来决定哪些数据包可以进入网络...
tcping常用方法
识途老码
09-05 7521
tcping常用方法
linux文件可以设置下载权限吗,linux文件权限说明(四)ACL-当前安全设置不允许下载该文件...
weixin_39873456的博客
04-29 1953
Linux文件权限一般针对的都是(user,group,others)三种身份,那么有没有单纯针对一个或多个用户或者一个或多个用户组的权限设定呢,这里就要提到ACL机制了。ACL(Access Control List)主要用于:针对一个或多个用户单独设置权限。针对一个或多个用户组单独设置权限。针对目录设置指定的用户或用户组在该目录下新建文件或目录时的默认权限。ACL的启用:首先我们可以利用df命...
acl访问权限控制
xayddxjsjxywuhui的博客
04-07 1892
ACL文件访问控制列表 如何检查Linux系统中的ACL支持? 在继续下一步之前,你应确保ACL在现有的内核和已挂载的文件系统上得到支持。 1. 检查内核是否支持ACL。 运行下面这个命令,检查是否为文件系统提供ACL支持,是否有POSIX_ACL=Y选项(如果出现的是N,而不是Y,那么这意味着内核并不支持ACL,需要重新加以编译)。
acl权限
m0_61060496的博客
09-10 765
1,为何要使用acl权限 我们已知的文件管理者有三种:属主,属组,其他。当这三种不满足我们所需要的权限时,我们应该考虑使用一种新的权限,就是acl权限 例:一个文件file.txt 属主:root 权限rwx 属组: as 权限rwx 其他:无权限 现在有一个用户user只能读和执行权限,没有修改权限,即user对文件file的权限为rx,我们不能把user加到属主或者属组里面,这时就可以使用acl权限。 2,查看acl权限 ...
RHCE——使用访问控制列表(ACL控制文件访问
Mq_Go的博客
08-09 389
ACL的优先级对权限判定的时候 先看身份 ACL–>特殊权限–>u–>g–>o当文件文件夹有ACL设定时当查看时 文件后面会有一个“+”号 # yum -y install acl 第一种使用方式 setfacl -m u:wode:r-- /ttmp/aaa setfacl -m u:dewo:rw- /ttmp/aaa getfacl -x u:wode /tmp/
windows组策略与ACL访问控制列表
热门推荐
Shanfenglan's blog
08-21 27万+
什么是组策略 组策略与工作组没关系,它是许多策略的集合,组策略的组代表的是一组或者说多个,并不代表工作组的组。例如本地安全策略就是组策略的一部分。 ou是组织单元,组策略可以下发给ou可以给域可以给站点等。优先级ou最高一次递减。 但子ou的优先级比父ou高(默认情况)。 组策略相当于一张任务计划书。可以分配给不同的部门。 组策略大体分为如下几种: 域内组策略 在DC直接在服务器管理下面点的那个“组策略管理”即可管理域内组策略,这个组策略只对域内的主机有用。 命令行的命令为gpmc.msc。 它的作用是
ACL阻断QQ的访问列表,经测试有效
02-02 273
阻断QQ的访问列表,经测试有效access-list 106 deny udp 172.16.0.0 0.0.255.255 any eq 4000access-list 106 deny udp 172.16.0.0 0.0.255.255 any eq 8000access-list 106 deny tcp 172.16.0.0 0.0.255.255 any eq 8000access
linux acl权限机制,ACL权限是什么,Linux ACL访问控制权限(包含开启方式)
weixin_30306507的博客
04-29 283
Linux 系统传统的权限控制方式,无非是利用 3 种身份(文件所有者,所属群组,其他用户),并分别搭配 3 种权限(读 r,写 w,访问 x)。比如,我们可以通过 ls -l 命令查看当前目录中所有文件的详细信息,其中就包含对各文件的权限设置:[root@localhost ~]# ls -ltotal 36drwxr-xr-x. 2 root root 4096 Apr 15 16:33 De...
Linux启动文件访问控制ACL
最新发布
08-22
Linux的Access Control List (ACL) 是一种更为细致和灵活的文件权限管理机制,它允许用户对文件和目录设置自定义的访问权限,而不仅仅是传统的用户组权限。不同于传统的POSIX权限系统(如rwx),ACL支持针对每个用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值