day9:访问控制列表ACL

如下,我们看一看 /root 目录的权限。

afei@ubuntu:~$ su root
Password: 
root@ubuntu:/home/afei# 
root@ubuntu:/home/afei# cd /
root@ubuntu:/# 
root@ubuntu:/# 
root@ubuntu:/# ls -ld /root
drwx------ 5 root root 4096 Oct 17 07:21 /root
root@ubuntu:/# 

可以看到 /root 目录的属主为 root 属组为 root 且只有属主 root 对目录具有读写访问权限。

此时, afei 用户是无法进入该目录的。

如果我们如果想让其他用户可以进入 /root 目录,按照我们前面了解的方法,第一种方法是设置 /root 目录的其他用户权限为 rwx ,第二种方法是将 /root 的属组权限修改为 rwx ,然后再将 afei 用户加入到 root 用户组中。这两者方法显然不符合安全性的要求。

这时我们可以使用访问控制列表来对文件或目录进行设置。

例如,要使 afei 用户可以进入到 /root ,可以进行以下配置:

root@ubuntu:/# 
root@ubuntu:/# getfacl -R root > rootHomeAclBk.acl
设置 acl 规则前,先将原先的 acl 规则备份起来,用于恢复,避免误操作
root@ubuntu:/# 
root@ubuntu:/# setfacl -Rm u:afei:rwx ./root
对 afei 用户设置对 /root 目录的 rwx 权限
root@ubuntu:/# 
root@ubuntu:/# exit
exit
afei@ubuntu:~$ cd /root
afei@ubuntu:/root$ 
成功访问

此时可以使用 getfacl 来查看已经设置成功的 acl 规则

afei@ubuntu:/root$ getfacl /root
getfacl: Removing leading '/' from absolute path names
# file: root
# owner: root
# group: root
user::rwx
user:afei:rwx
group::---
mask::rwx
other::---

解读:

ACL是由一系列的Access Entry所组成的,每一条Access Entry定义了特定的类别可以对文件拥有的操作权限。Access Entry有三个组成部分:Entry tag type, qualifier (optional), permission。

我们先来看一下最重要的Entry tag type,它有以下几个类型:

ACL_USER_OBJ:相当于Linux里file_owner的permission
ACL_USER:定义了额外的用户可以对此文件拥有的permission
ACL_GROUP_OBJ:相当于Linux里group的permission
ACL_GROUP:定义了额外的组可以对此文件拥有的permission
ACL_MASK:定义了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大权限 (这个我下面还会专门讨论)
ACL_OTHER:相当于Linux里other的permission

/root 目录 getfacl 得到的 acl 规则解读如下:

user::rwx       定义了ACL_USER_OBJ, 说明file owner拥有read and write permission
user:afei:rwx   定义了ACL_USER,这样用户 afei 就拥有了对文件的读写权限
group::---      可以定义ACL_GROUP_OBJ,对文件的权限
mask::rwx       定义了ACL_MASK的权限为read write eXecute
other::---      定义了ACL_OTHER没有任何权限

对应到我们的案例,mask 字段的值表示,当前用户 afei 对 /root 目录具有 rwx 权限

根据以上案例,我们可以得出这样一个推理结论:当文件或者目录设置了针对用户或者组的 acl 规则时,acl 规则会将原本的属主、属组规则覆盖。

实验完之后,我们回到 root 用户,将 /root 目录原本的 acl 进行恢复:

root@ubuntu:/# setfacl --restore rootHomeAclBk.acl 
恢复 /root 目录原本的 acl 规则
root@ubuntu:/# 
root@ubuntu:/# getfacl ./root
# file: root
# owner: root
# group: root
user::rwx
group::---
other::---

tips:

  • mv命令将会默认地移动文件的ACL属性,同样如果操作不允许的情况下会给出警告。
  • 如果你的文件系统不支持ACL的话,你也许需要重新mount你的file system:

mount -o remount, acl [mount point]

  • 如果用chmod命令改变Linux file permission的时候相应的ACL值也会改变,反之改变ACL的值,相应的file permission也会改变。

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值