为文件设置ACL访问控制列表

最新推荐文章于 2021-04-29 14:22:08 发布

weixin_33912445

最新推荐文章于 2021-04-29 14:22:08 发布

阅读量313

点赞数

文章标签：大数据 python 开发工具

原文链接：http://blog.51cto.com/jiaxiaolei/1951221

版权

最近在学习Glusterfs,其中有涉及到文件的访问控制，所以就简单记录个笔记。

1 命令帮助

setfacl是用来设置文件访问控制的命令：

[jiaxiaol@scops-buildsvr test]$ which setfacl
/usr/bin/setfacl

[jiaxiaol@scops-buildsvr ~]$ setfacl --help
setfacl 2.2.49 -- set file access control lists
Usage: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
  -m, --modify=acl        modify the current ACL(s) of file(s)
  -M, --modify-file=file  read ACL entries to modify from file
  -x, --remove=acl        remove entries from the ACL(s) of file(s)
  -X, --remove-file=file  read ACL entries to remove from file
  -b, --remove-all        remove all extended ACL entries
  -k, --remove-default    remove the default ACL
      --set=acl           set the ACL of file(s), replacing the current ACL
      --set-file=file     read ACL entries to set from file
      --mask              do recalculate the effective rights mask
  -n, --no-mask           don't recalculate the effective rights mask
  -d, --default           operations apply to the default ACL
  -R, --recursive         recurse into subdirectories
  -L, --logical           logical walk, follow symbolic links
  -P, --physical          physical walk, do not follow symbolic links
      --restore=file      restore ACLs (inverse of `getfacl -R')
      --test              test mode (ACLs are not modified)
  -v, --version           print version and exit
  -h, --help              this help text

-b,--remove-all：删除所有扩展的acl规则，基本的acl规则(所有者，群组，其他）将被保留。
-k,--remove-default：删除缺省的acl规则。如果没有缺省规则，将不提示。
-n，--no-mask：不要重新计算有效权限。setfacl默认会重新计算ACL mask，除非mask被明确的制定。
--mask：重新计算有效权限，即使ACL mask被明确指定。
-d，--default：设定默认的acl规则。
--restore=file：从文件恢复备份的acl规则（这些文件可由getfacl -R产生）。通过这种机制可以恢复整个目录树的acl规则。此参数不能和除--test以外的任何参数一同执行。
--test：测试模式，不会改变任何文件的acl规则，操作后的acl规格将被列出。 -R，--recursive：递归的对所有文件及目录进行操作。
-L，--logical：跟踪符号链接，默认情况下只跟踪符号链接文件，跳过符号链接目录。
-P，--physical：跳过所有符号链接，包括符号链接文件。
--version：输出setfacl的版本号并退出。
--help：输出帮助信息。
--：标识命令行参数结束，其后的所有参数都将被认为是文件名
-：如果文件名是-，则setfacl将从标准输入读取文件名。

setfacl 后面可以接的命令格式有：

[d[efault]:] [u[ser]:]uid [:permissions] 指定用户的权限，文件所有者的权限（如果uid没有指定）。
[d[efault]:] g[roup]:gid [:permissions] 指定群组的权限，文件所有群组的权限（如果gid未指定）
[d[efault]:] m[ask][:] [:permissions] 有效权限掩码
[d[efault]:] o[ther] [:permissions] 其他的权限

对于uid和gid，可以指定一个数字，也可指定一个名字。permissions代表各种权限的组合：读-r写-w执行-x，执行只适合目录和一些可执行的文件,permissions也可设置为八进制格式。

getfacl是用来查看文件访问控制列表的命令

[jiaxiaol@scops-buildsvr test]$ getfacl --help
getfacl 2.2.49 -- get file access control lists
Usage: getfacl [-aceEsRLPtpndvh] file ...
  -a,  --access           display the file access control list only
  -d, --default           display the default access control list only
  -c, --omit-header       do not display the comment header
  -e, --all-effective     print all effective rights
  -E, --no-effective      print no effective rights
  -s, --skip-base         skip files that only have the base entries
  -R, --recursive         recurse into subdirectories
  -L, --logical           logical walk, follow symbolic links
  -P, --physical          physical walk, do not follow symbolic links
  -t, --tabular           use tabular output format
  -n, --numeric           print numeric user/group identifiers
  -p, --absolute-names    don't strip leading '/' in pathnames
  -v, --version           print version and exit
  -h, --help              this help text

2 实例

2.0 查看文件系统是否支持ACL

[root@scops-buildsvr ~]# tune2fs -l /dev/mapper/VolGroup-lv_root | grep option
Default mount options:    user_xattr acl

——————————————————————————————————————————

如果发现选项中有acl则代表文件系统支持acl,如果文件系统不支持acl,则需要为其添加。开启acl支持有两种方法：

1）修改mount选项：

mount -o remount,acl /dev/vda3 /mnt/acltest

开机自动挂载：
vim /etc/fstab
/dev/vda3 /mnt/acltest ext4 defaults,acl 0 0

2）使用tune2fs修改文件系统信息：

tune2fs开启acl后已是永久有效，无需再修改fstab的mount选项：
tune2fs -o acl /dev/vda3 修改文件系统自身信息来设置acl选项
tune2fs -o ^acl /dev/vda3 取消acl选项

——————————————————————————————————————————

2.1 查看一个文件或目录的ACL权限

[jiaxiaol@scops-buildsvr tmp]$ getfacl /tmp/hello.py 
getfacl: Removing leading '/' from absolute path names
# file: tmp/hello.py
# owner: jiaxiaol
# group: jiaxiaol
user::rwx
group::---
other::---

[jiaxiaol@scops-buildsvr tmp]$ getfacl /tmp/
getfacl: Removing leading '/' from absolute path names
# file: tmp/
# owner: root
# group: root
# flags: --t
user::rwx
group::rwx
other::rwx

2.2 设置文件的ACL权限

2.2.1将用户组test对文件hello.py的ACL权限设置为只读r

[jiaxiaol@scops-buildsvr tmp]$ ls -l /tmp/hello.py 
-rwx------ 1 jiaxiaol jiaxiaol 152 Jul 26 02:18 /tmp/hello.py

[jiaxiaol@scops-buildsvr tmp]$ setfacl -m g:test:r-x /tmp/hello.py

[jiaxiaol@scops-buildsvr tmp]$ ls -l /tmp/hello.py 
-rwxr-x---+ 1 jiaxiaol jiaxiaol 152 Jul 26 02:18 /tmp/hello.py
[jiaxiaol@scops-buildsvr tmp]$ getfacl /tmp/hello.py 
getfacl: Removing leading '/' from absolute path names
# file: tmp/hello.py
# owner: jiaxiaol
# group: jiaxiaol
user::rwx
group::---
group:test:r-x
mask::r-x
other::---

从上面可以看到文件/tmp/hello.py的基本权限也发生了变化，由原来的700变为了750...我们来试一下，test组里的用户是不是有查看文件hello.py的权限

[test@scops-buildsvr ~]$ cat /tmp/hello.py 
#!/usr/bin/python
fruits = ['banana','apple','mango']
for index in range(len(fruits)):
    print 'Current fruit is:', fruits[index]
print "Goodbye!"

2.2.2 取消用户组test对文件hello.py的ACL权限

[jiaxiaol@scops-buildsvr tmp]$ setfacl -x g:test /tmp/hello.py

[jiaxiaol@scops-buildsvr tmp]$ getfacl /tmp/hello.py 
getfacl: Removing leading '/' from absolute path names
# file: tmp/hello.py
# owner: jiaxiaol
# group: jiaxiaol
user::rwx
group::---
mask::---
other::---

[jiaxiaol@scops-buildsvr tmp]$ ls -l /tmp/hello.py 
-rwx------+ 1 jiaxiaol jiaxiaol 152 Jul 26 02:18 /tmp/hello.py

此时再看test已经没有查看文件的权限了

[test@scops-buildsvr tmp]$ cat /tmp/hello.py 
cat: /tmp/hello.py: Permission denied

有同学说了，那是因为没有给test基本权限里面的其他用户r权限，我添加下

[jiaxiaol@scops-buildsvr tmp]$ chmod o+rx /tmp/hello.py

[jiaxiaol@scops-buildsvr tmp]$ ls -l /tmp/hello.py 
-rwx---r-x+ 1 jiaxiaol jiaxiaol 152 Jul 26 02:18 /tmp/hello.py

[jiaxiaol@scops-buildsvr tmp]$ getfacl /tmp/hello.py 
getfacl: Removing leading '/' from absolute path names
# file: tmp/hello.py
# owner: jiaxiaol
# group: jiaxiaol
user::rwx
group::---
mask::---
other::r-x

什么鬼？貌似我修改了文件hello.py的基本权限后，它的ACL权限也跟着一起变化了。这也解释了为什么我之前从没在我的机器上关注过ACL权限，但是我的文件access却没有影响，先这样安慰自己吧。。。

2.2.3删除文件的所有扩展ACL权限

[jiaxiaol@scops-buildsvr tmp]$ setfacl -b /tmp/hello.py

[jiaxiaol@scops-buildsvr tmp]$ getfacl /tmp/hello.py 
getfacl: Removing leading '/' from absolute path names
# file: tmp/hello.py
# owner: jiaxiaol
# group: jiaxiaol
user::rwx
group::---
other::r-x

[jiaxiaol@scops-buildsvr tmp]$ ls -l /tmp/hello.py 
-rwx---r-x 1 jiaxiaol jiaxiaol 152 Jul 26 02:18 /tmp/hello.py

貌似文件权限没有变化啊？细心的同学会发现，变化还是有的，之前的mask::---在后面没有了

后来读到了这篇文章后http://man.linuxde.net/setfacl，我的所有疑问终于解开了，感觉满满都是干货啊。我这里也大量饮用了文章中的一些描述，希望原作者谅解。

转载于:https://blog.51cto.com/jiaxiaolei/1951221

weixin_33912445

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
为文件设置ACL访问控制列表

最近在学习Glusterfs,其中有涉及到文件的访问控制，所以就简单记录个笔记。1 命令帮助setfacl是用来设置文件访问控制的命令：[jiaxiaol@scops-buildsvrtest]$whichsetfacl/usr/bin/setfacl[jiaxiaol@scops-buildsvr~]$setfacl--helpsetfacl2.2...
复制链接

扫一扫