ACL

最新推荐文章于 2024-04-22 14:57:21 发布
最新推荐文章于 2024-04-22 14:57:21 发布
阅读量1.2k 收藏
点赞数
分类专栏: linux 文章标签: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011491148/article/details/45896685
版权

参考 ACL: Using Access Control List on Linux

What is ACL

ACL - Access Control List,用于在Linux文件系统传统的权限控制机制之外,提供更加精细化的文件权限控制。

对于一个文件而言,它有三组权限控制位,分别对应该文件的ownergroupother,即可以为这三类用户分别设置它们的readwriteexec权限。但在有些场景下,我们需要更加精细的权限控制,而光靠传统上述的权限机制可能无法实现。此时,我们可以借助ACL来实现。




配置系统

要使用ACL机制,首先要确保

  1. 文件系统的ACL选项打开:通过命令tune2fs -l <文件系统名>查看

    [root@ecs3 home]# tune2fs -l /dev/xvda1 | grep mount
    Last mounted on: /
    Default mount options: user_xattr acl
    Last mount time: Fri Dec 26 09:48:08 2014
    Maximum mount count: -1

  2. 安装了ACL工具:如果,命令getfaclsetfacl可以使用,说明ACL工具已经安装好了。




使用ACL

下面使用ACL来分别配置group和user的权限

配置group权限

假设:创建一个名为jack的用户和一个名为testgroup的群组,并将jack加入到testgroup中。

[root@quickstart tao2]# groupadd testgroup
[root@quickstart tao2]# useradd -d /home/jack -g testgroup jack



然后,我们希望使得testgroup中的用户对目录/home/cloudera具有rwx的权限(该目录本来的权限为wxrwxr-x cloudera cloudera,我们要针对testgroup加上写权限)。

[jack@quickstart home]# ll /home
total 36
drwxrwxr-x  29 cloudera cloudera   4096 May 21 01:05 cloudera
drwx------   4 jack     testgroup  4096 May 21 06:18 jack

可见,现在群组testgroup对目录/home/cloudera是没有写权限的。

setfacl

现在我们用setfacl命令来设置群组testgroup对目录/home/cloudera的权限,之后用命令getfacl来查看设置结果:

[root@quickstart home]# setfacl -m g:testgroup:wx /home/cloudera/
[root@quickstart home]# getfacl /home/cloudera/
getfacl: Removing leading '/' from absolute path names
# file: home/cloudera/
# owner: cloudera
# group: cloudera
user::rwx
group::rwx
group:testgroup:-wx
mask::rwx
other::r-x

关于setfacl命令的参数: -m 表示 modify, g:testgrouop:w中的g表示设置的类别是group,testgroup是被设置的群组名称,wx表示设置的目标权限。

现在测试一下jack能不能在目录/home/cloudera中创建一个文件:

[root@quickstart home]# su - jack
[jack@quickstart ~]$ touch /home/cloudera/newFile

用户jack确实可以在/home/cloudera中创建一个文件。


getfacl

关于getfacl的输出:前几行的意义很明显,讲讲最后三行的意义:

  • group:testgroup:-wx表示群组testgroup对目标文件的权限是wx
  • mask::rwx表示对目标文件(或目录)来说,除owner外的用户和群组对其最高权限为rwx
  • other::r-x是什么意思?


mask

如果我们将testgroup的权限设置为wx,同时将mask设置为r,那么testgroup对目标文件/目录就无法写入,因为mask限制了除owner外的用户和群组对目标文件/目录的最高权限

[root@quickstart home]# setfacl -b cloudera/
[root@quickstart home]# setfacl -m g:testgroup:wx,mask:r cloudera/
[root@quickstart home]# su - jack
[jack@quickstart ~]$ cd /home
[jack@quickstart home]$ touch cloudera/x
touch: cannot touch `cloudera/x': Permission denied
[jack@quickstart home]$ getfacl cloudera/
# file: cloudera/
# owner: cloudera
# group: cloudera
user::rwx
group::---
group:testgroup:-wx     #effective:---
mask::r--
other::r-x
LambdaCC
关注
专栏目录
萌新的acl实验
weixin_52695650的博客
12-16 1005
题目 建立拓扑及网段 配置IP地址 R1:interface GigabitEthernet0/0/0 ip address 11.1.1.1 255.255.255.0 interface GigabitEthernet0/0/1 ip address 11.1.4.1 255.255.255.0 R2:interface GigabitEthernet0/0/0 ip address 11.1.4.2 255.255.255.0 interface GigabitEthernet0/0/1 ip a
访问控制(ACL)原理详解
最新发布
可惜已不在
09-03 1284
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
Linux ACL
weixin_34275734的博客
12-24 184
为什么80%的码农都做不了架构师?>>> ...
ACL访问控制列表,基于流量抓取
10-19
ACL,即访问控制列表,是网络管理中一种重要的安全机制,用于实现对网络流量的精细化控制。ACL的基本工作原理是通过一系列预定义的规则来决定数据包是否可以通过网络设备,以此来分配带宽资源,保障局域网的安全。 ...
基于ACL会议模板的Latex双栏中文模板
02-23
在本文中,我们将深入探讨如何使用基于ACL会议模板的LaTeX双栏中文模板来创建专业且规范的学术论文。ACL(Association for Computational Linguistics)是计算语言学领域的重要会议,其提供的模板旨在确保论文格式的...
H3C_ACL包过滤基础配置案例
04-18
**H3C ACL包过滤基础配置案例详解** 在H3C网络设备中,访问控制列表(ACL)是一种重要的网络安全和流量管理工具,用于定义网络流量的过滤规则。本文档将详细讲解一个基于H3C设备的ACL包过滤基础配置案例,适用于H3...
H3C交换机 典型配置举例-6W100-ACL典型配置举例
08-04
"H3C交换机典型配置举例-6W100-ACL典型配置举例" 本文将详细介绍H3C交换机中的ACL(Access Control List,访问控制列表)典型配置举例,包括允许指定的主机访问网络和拒绝指定的主机访问网络两种配置举例。 首先,...
ACL 进行网络流量的控制1
08-08
ACL 进行网络流量的控制 知识点一:什么是 IP ACL? IP ACL(IP 访问控制列表或 IP 访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。 知识点二:IP ACL 的...
ACL(访问控制列表,Access Control Lists)
Nove1205的博客
04-22 3397
ACL(访问控制列表)相关知识点
访问控制模型ACL和RBAC
热门推荐
Laurence的技术博客
06-30 2万+
1.ACL  ACL是最早也是最基本的一种访问控制机制,它的原理非常简单:每一项资源,都配有一个列表,这个列表记录的就是哪些用户可以对这项资源执行CRUD中的那些操作。当系统试图访问这项资源时,会首先检查这个列表中是否有关于当前用户的访问权限,从而确定当前用户可否执行相应的操作。总得来说,ACL是一种面向资源的访问控制模型,它的机制是围绕“资源”展开的。  The relative simplic
什么是ACL
weixin_33862993的博客
06-21 342
ACL 是一种路由器配置脚本,它根据从数据包报头中发现的条件来控制路由器应该允许还是拒绝数据包通过。ACL 是 Cisco IOS 软件中最常用的功能之一。ACL 还可用于选择要以其它方式分析、转发或处理的流量类型。 当每个数据包经过关联有 ACL 的接口时,都会与 ACL 中的语句从上到下一行一行进行比对,以便发现符合该传入数据包的模式。ACL 使用允许或拒绝规则...
ACL(访问控制列表)
weixin_55609860的博客
03-22 1143
文章目录一、ACL是什么?1.概念2.应用/作用3.工作原理4.ACL种类5.ACL的应用原则和规则二、配置实验 一、ACL是什么? 1.概念 访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全,这里就引出了通信四元素:源地址,目标地址,源端口。目标端口,根据预先设置的规则对包进行过滤。 2.应用/作用 在入口上:数
Linux_Acl命令
with的博客
11-26 285
ACL简介
sdlyjzh的专栏
06-10 5723
ACL简介定义访问控制列表ACL(Access Control List)是由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。ACL的基本原理ACL负责管理用户配置的所有规则,并提供报文匹配规则的算法。ACL的规则管理每个ACL作为一个规则组,可以包含多个规则。规则通过规则ID(rule-id)来标识,规则ID可以由用户进行配置,也可以由系统自动根据
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值