linux 网络acl,Linux中的acl

POSIX访问控制列表(ACL)

ACL：允许向文件分配细化的权限

文件所有者可以在单个文件或目录上设置ACL，新文件和子目录自动从父目录默认acl中继承acl设置

文件系统挂载选项

文件系统需要挂在已启用的ACL支持：XFS文件系统内置有ACL支持，在红帽7中ext4文件系统默认启用了acl选项，而在红帽早期版本中创建的ext4文件系统可能会通过挂载请求包含acl选项，或在超级块中设置此选项

查看和解释ACL权限

ls –l：仅输出最少的ACL设置详细信息

+：表示此文件有相关联的ACL设置

●使用chmod更改具有ACL的文件的组权限，则不会更改组所有者权限，而是更改acl掩码，若想要更改组所有者权限则使用setfacl –m g::perms file

查看文件acl :getfacl  file

1.打开注释条目：识别文件名、所有者、组所有者，若有其他标志，会出现第四行显示

2.用户条目：

3.组条目：

4.掩码：显示指定用户，组所有者和指定组提供的最大权限

5.其他条目：

查看目录acl：getfacl  /directory

1：打开注释条目：与文件acl权限相似

2:标准acl：与文件acl相似，区别：含有执行权限，以允许目录搜索权限

3.默认用户条目：默认指定用户将会自动获取应用到新文件或子目录的默认acl

4.默认组条目：指定组会自动获得默认acl

5.默认acl掩码条目：默认掩码为所有新建文件或目录提供最大权限

6.默认其他条目

●getfacl的输出可作为setfacl的输入，使用getfacl –R /directory生成目录及其内容的输出，将此输出传递给setfacl –set-file=file

Acl掩码：可授予指定用户、指定组的最大权限

若未显示设置时，会自动添加，也可从父目录默认掩码中继承默认掩码

Acl权限优先级：决定一个进程能否访问文件

若以文件所有者身份运行进程，则应用文件的用户acl权限

更改acl文件权限

Setfacl：添加、修改、删除文件或目录的标准acl

r:读取

w：写入

x:执行

-：缺少相关权限

X：以递归设置acl时，若文件还没有相关执行权限，则只应设置目录的执行权限

m:通过命令行添加新的acl或修改acl

R：以递归方式将acl应用到目录结构和文件上

x:删除特定acl条目，其他acl条目不受影响

b:删除文件或目录所有的acl，包括目录默认的acl

掩码只能在未设定其他acl的情况下删除，因此必须在最后删除

--set或 –set-file：完全替换文件的acl设置

添加或修改用户acl

setfacl–m u:username:rwx file若用户名为空，指文件的所有者，也可以是uid

添加或修改组acl或指定组acl

setfacl –m g:name:rwx file  name空，指组所有者 ，可以gid

设置明确的acl掩码

Setfacl -m m::r flie添加掩码值，为只读

-n或-m m::perms  避免重新计算掩码值

控制默认的acl文件权限

目录默认acl由所有新文件和新子目录自动继承

目录仍需要具备标准的acl才能进行访问权限，因为默认acl不会对目录实施访问权限控制，它们提供acl权限继承支持