如下,我们看一看 /root 目录的权限。
afei@ubuntu:~$ su root
Password:
root@ubuntu:/home/afei#
root@ubuntu:/home/afei# cd /
root@ubuntu:/#
root@ubuntu:/#
root@ubuntu:/# ls -ld /root
drwx------ 5 root root 4096 Oct 17 07:21 /root
root@ubuntu:/#
可以看到 /root 目录的属主为 root 属组为 root 且只有属主 root 对目录具有读写访问权限。
此时, afei 用户是无法进入该目录的。
如果我们如果想让其他用户可以进入 /root 目录,按照我们前面了解的方法,第一种方法是设置 /root 目录的其他用户权限为 rwx ,第二种方法是将 /root 的属组权限修改为 rwx ,然后再将 afei 用户加入到 root 用户组中。这两者方法显然不符合安全性的要求。
这时我们可以使用访问控制列表来对文件或目录进行设置。
例如,要使 afei 用户可以进入到 /root ,可以进行以下配置:
root@ubuntu:/#
root@ubuntu:/# getfacl -R root > rootHomeAclBk.acl
设置 acl 规则前,先将原先的 acl 规则备份起来,用于恢复,避免误操作
root@ubuntu:/#
root@ubuntu:/# setfacl -Rm u:afei:rwx ./root
对 afei 用户设置对 /root 目录的 rwx 权限
root@ubuntu:/#
root@ubuntu:/# exit
exit
afei@ubuntu:~$ cd /root
afei@ubuntu:/root$
成功访问
此时可以使用 getfacl 来查看已经设置成功的 acl 规则
afei@ubuntu:/root$ getfacl /root
getfacl: Removing leading '/' from absolute path names
# file: root
# owner: root
# group: root
user::rwx
user:afei:rwx
group::---
mask::rwx
other::---
解读:
ACL是由一系列的Access Entry所组成的,每一条Access Entry定义了特定的类别可以对文件拥有的操作权限。Access Entry有三个组成部分:Entry tag type, qualifier (optional), permission。
我们先来看一下最重要的Entry tag type,它有以下几个类型:
ACL_USER_OBJ:相当于Linux里file_owner的permission
ACL_USER:定义了额外的用户可以对此文件拥有的permission
ACL_GROUP_OBJ:相当于Linux里group的permission
ACL_GROUP:定义了额外的组可以对此文件拥有的permission
ACL_MASK:定义了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大权限 (这个我下面还会专门讨论)
ACL_OTHER:相当于Linux里other的permission
/root 目录 getfacl 得到的 acl 规则解读如下:
user::rwx 定义了ACL_USER_OBJ, 说明file owner拥有read and write permission
user:afei:rwx 定义了ACL_USER,这样用户 afei 就拥有了对文件的读写权限
group::--- 可以定义ACL_GROUP_OBJ,对文件的权限
mask::rwx 定义了ACL_MASK的权限为read write eXecute
other::--- 定义了ACL_OTHER没有任何权限
对应到我们的案例,mask 字段的值表示,当前用户 afei 对 /root 目录具有 rwx 权限
根据以上案例,我们可以得出这样一个推理结论:当文件或者目录设置了针对用户或者组的 acl 规则时,acl 规则会将原本的属主、属组规则覆盖。
实验完之后,我们回到 root 用户,将 /root 目录原本的 acl 进行恢复:
root@ubuntu:/# setfacl --restore rootHomeAclBk.acl
恢复 /root 目录原本的 acl 规则
root@ubuntu:/#
root@ubuntu:/# getfacl ./root
# file: root
# owner: root
# group: root
user::rwx
group::---
other::---
tips:
mount -o remount, acl [mount point]
- 如果用chmod命令改变Linux file permission的时候相应的ACL值也会改变,反之改变ACL的值,相应的file permission也会改变。