linux目录默认mask,灵活运用Linux中的文件/目录访问控制机制（下）

《灵活运用Linux中的文件/目录访问控制机制(上)》通过实例详细介绍了UGO和ACL两种机制的原理及UGO的使用，本文将介绍ACL的命令及使用方法。

ACL的基本命令

ACL的主要命令有2个：getfacl和setfacl。Getfacl用于或取文件或者目录的ACL权限信息，而setfacl则用于设置文件或者目录的ACL权限信息。下面分别对他们的使用进行简单介绍。

Getfacl-获取ACL权限信息

getfacl命令用于获取文件的ACL权限信息，其基本用法为：getfacl [文件/目录名]。

举个例子，首先，使用touch命令先建立一个测试文件acl_test：

$ touch file acl_test

然后，使用ls命令来查看该文件的权限访问属性，发现其并没有加入acl权限，因为没有出现“+”符号：

$ ls -l acl_test

-rw-rw-r-- 1 gavin gavin 0 12-20 11:49 acl_test

接着，使用getfacl命令来获取文件的ACL权限信息，得到如下结果：

$ getfacl acl_test

# file: acl_test

# owner: gavin

# group: gavin

user::rw-

group::rw-

other::r—

值得注意的是：即使该文件系统上没有开启ACL选项，getfacl命令仍然可用，不过只显示默认的文件访问权限，即与ls -l显示的内容相似。

Setfacl-设置ACL权限

为了设置文件的ACL权限，需要使用setfacl命令来详细设置文件的访问权限，其基本用法如下：

setfacl –[参数] [文件/目录]，其常用的参数及作用如下所示：

-m：建立一个ACL规则

-x：删除一个ACL规则

-b：删除全部的ACL规则

-set：覆盖ACL规则

下面来详细介绍如何使用setfacl来设置文件/目录的ACL权限。

(1)添加/修改ACL规则

需要使用-m选项来进行操作。

举个例子，使用该命令为用户gavin和组test设置acl_test文件的读写权限，并使用getfacl查看设置结果：

$ setfacl -m u:gavin:rw,g:test:r acl_test

$ getfacl acl_test

# file: acl_test

# owner: gavin

# group: gavin

user::rw-

user:gavin:rw-　　group::rw-

group:test:r--　　mask::rw-　　other::r—

在上面的命令示例中，可以清楚地看到加粗部分user:gavin、group:test、mask这3个ACL Entry的出现，表明对文件进行了ACL权限设置，否则，不会出现该标识。为了进一步验证，我们使用ls-l来查看该文件的权限位中是否多了“+”这个标识位，如下所示：

$ ls -l acl_test

-rw-rw-r--+ 1 gavin gavin 0 12-20 11:49 acl_test

其中，user:gavin、group:test为我们设置的访问权限，而mask::rw为自动添加的内容。

(2)删除ACL规则

使用-x选项可以方便地删除指定用户对指定文件/目录的访问权限。

以下示例删除用户gavin对文件acl_test的访问权限：

$ setfacl -x u:gavin acl_test

$ getfacl acl_test

# file: acl_test

# owner: gavin

# group: gavin

user::rw-

group::rw-

group:test:r--

mask::rw-

other::r--

$ ls -l acl_test

-rw-rw-r--+ 1 gavin gavin 0 12-20 11:49 acl_test

通过上述2段ACL权限显示的对比可以清楚地看到：用户gavin对于文件acl_test的访问权限已经完全删除了，表现为user:gavin:rw-已经不存在了。这里提醒注意的是：我们不能够通过setfacl命令来指定删除用户/组对文件/目录的某一个特定权限(如r、w或者x)。同时，也可以看到，使用ls-l命令显示文件的9个权限位还是没有改变，因为改变的只是ACL权限，而不是最基本的user、group和others权限。

(3)删除文件/目录的所有ACL规则

使用-b选项可以删除文件/目录的ACL权限。如下命令将删除文件acl_test的所有ACL权限。可以看到，使用getfacl命令来查看是，mask项已经消失，即该文件已经没有了所有的ACL权限：

$ setfacl -b acl_test

$ getfacl acl_test

# file: acl_test

# owner: gavin

# group: gavin

user::rw-

group::rw-

other::r—

(4)覆盖文件的原有ACL规则

需要使用--set选项。此处需要强调一下-m选项和--set选项的区别：-m选项只是修改已有的配置或是新增加一些；而--set选项和-m不同，它会把原有的ACL项全都删除，并用新的替代。另外，--set选项的参数中一定要包含UGO的设置，不能象-m一样只是添加ACL就可以了。

以下示例该选项的使用方法：

$ setfacl --set u::rw,g::rw,o::r,u:gavin:rwx,g:test:rx acl_test

$ getfacl acl_test

# file: acl_test

# owner: gavin

# group: gavin

user::rw-

user:gavin:rwx

group::rw-

group:test:r-x

mask::rwx

other::r--

$ ls -l acl_test

-rw-rwxr--+ 1 gavin gavin 0 12-20 11:49 acl_test

这里需要提醒注意的是：上述acl_test文件的权限标识位中的group的rwx权限，并不是表明acl_test文件所属用户的用户组对其有x权限，实际上只具有rw权限，而是因为在group:test:r-x中指定了test这个组具有x权限，所以ACL机制在这个标识位上进行了体现，在实际的应用中要特别注意，切记不要弄混淆了。

(5)其他选项

除了上述介绍的4类用法外，setfacl还可以使用如下一些选项，如下表，供大家在实际使用中参考：

选项说明

-M从文件中获取待修改的ACL权限

-X从文件中获取待删除的ACL权限

-d设置默认的ACL权限

-k删除默认的ACL权限

-R递归地设置ACL权限

--restore从文件恢复ACL权限

为目录创建默认ACL

在日常的使用过程中，经常是通过对目录来设定ACL权限来满足应用的需求，而很少仅仅通过设置特定的文件来实现，因为这样做比较繁琐和低效。因此，下面就介绍如何来为目录创建默认的ACL。

如果希望在一个目录中新建的文件和目录都使用同一个预定的ACL，那么我们可以使用默认ACL(DefaultACL)。在对一个目录设置了默认的ACL以后，每个在目录中创建的文件都会自动继承目录的默认ACL作为自己的ACL。

具体的设置命令为： setfacl -d [目录名]。

下面的例子对新建的test目录进行ACL权限设置，并在其中新建了test1和test2文件，来看看默认ACL的设置情况。

首先，对文件夹test进行ACL权限查看如下：

$ getfacl test

# file: test

# owner: gavin

# group: gavin

user::rwx

group::rwx

other::r-x

接着，对其进行权限设置如下：

$ setfacl -d -m g:test:r test

$ getfacl test

# file: test

# owner: gavin

# group: gavin

user::rwx

group::rwx

other::r-x

default:user::rwx

default:group::rwx

default:group:test:r--

default:mask::rwx

default:other::r-x

可以看到，经过setfacl设置后，该文件夹的权限增加了以default开始的几项，表明设置成功。

然后，建立两个新的文件，然后查看他们的ACL权限信息如下：

$ touch test1 test2

$ getfacl test1

# file: test1

# owner: gavin

# group: gavin

user::rw-

group::rwx                      #effective:rw-

group:test:r--

mask::rw-

other::r--

$ getfacl test2

# file: test2

# owner: gavin

# group: gavin

user::rw-

group::rwx                      #effective:rw-

group:test:r--

mask::rw-

other::r--

可以清楚地看到：文件test1和test2自动继承了test设置的ACL。

备份和恢复ACL

目前，Linux系统中的主要的文件操作命令，如cp、mv、ls等都支持ACL。因此，在基本的文件／目录操作中可以很好地保持文件／目录的ACL权限。然而，有一些其它的命令，比如tar(文件归档)等常见的备份工具是不会保留目录和文件的ACL信息的。因此，如果希望备份和恢复带有ACL的文件和目录，那么可以先把ACL备份到一个文件里，待操作完成以后，则可以使用--restore选项来恢复这个文件／目录中保存的ACL信息。

下面给出一个具体的例子来进行说明。

(1)获取文件acl_test的ACL权限

$ getfacl acl_test

# file: acl_test

# owner: gavin

# group: gavin

user::rwx

user:test:r--

group::---

mask::r--

other::---

(2)将该文件的ACL权限保存至acl_test.acl文件中并进行查看

$ getfacl acl_test > acl_test.acl

$ cat acl_test.acl

# file: acl_test

# owner: gavin

# group: gavin

user::rwx

user:test:r--

group::---

mask::r--

other::---

(3)使用tar命令进行文件操作，并查看生成文件acl.tar的ACL权限，发现其并不具备ACL权限

$ tar czvf acl.tar acl_test

acl_test

$ getfacl acl.tar

# file: acl.tar

# owner: gavin

# group: gavin

user::rw-

group::rw-

other::r--

(4)删除acl_test文件，并释放acl.tar，查看其ACL权限，发现经过tar命令后，acl_test文件不在具备第(１)步显示的任何ACL权限，表明tar命令不能保持文件的ACL权限

$ rm -rf acl_test

$ tar -xzvf acl.tar

acl_test

$ getfacl acl_test

# file: acl_test

# owner: gavin

# group: gavin

user::rwx

group::r--

other::---

(5)使用命令从文件恢复acl_test的ACL权限，进行查看，表明成功恢复。

$ setfacl --restore acl_test.acl

$ getfacl acl_test

# file: acl_test

# owner: gavin

# group: gavin

user::rwx

user:test:r--

group::---

mask::r--

other::---