访问控制列表(Access Control List,ACL)其实就是一个框架结构,其目的是为了对某种访问进行控制。在我们Linux中FACL就是文件访问控制列表了,通过设置,我们可以使同一个文件,让不同的用户有不同的权限。例如我们可以让A用户对这个文件有读的权限,而让B用户对这个文件什么权限都没有。那么怎样在Linux中实现访问控制列表呢?下面就来看看吧!这里我们以前面创建的磁盘阵列/dev/md1这个文件系统。

    1、挂载文件系统

    文件系统在挂载的时候是不会自动启用acl功能的,需要在挂载的时候指定acl这个挂载选项。我们可以使用两种方法。一是永久性的:就是直接编辑配置文件了。另一种就是临时性的:就是使用命令重新挂载的时候指定acl选项了。
    临时性: 
 
  
  1. [root@stu14 data]# mount –o remount,acl /dev/md1 /data 
 
  

        或  
  
 
  
 
  
  1. [root@stu14 data]# tune2fs –o acl /dev/md1 
 
  

        这种方式只要重启系统或重新挂载时不指定acl选项,就会失效的; 
  
 
  

        永久性: 
  
 
  
 
  
  1. [root@stu14 data]# vim /etc/fstab 
  2. /dev/md1 /data ext3 defaults,acl 0 0 
 
  

        编辑配置文件保存即可,可以重新挂载使其生效。 
  
 
  
    2、设定ACL
 
  

        查看文件的acl列表的命令的使用格式:  
  
 
  
 
  
  1. # getfacl FIlENAME 
 
  

        例:  
  
 
  
 
  
  1. [root@stu14 data]# getfacl test  
  2. # file: test 
  3. # owner: root 
  4. # group: magedu 
  5. user::rw- 
  6. group::r-- 
  7. other::r-- 
 
  

        这里只有这个文件的默认权限,相信一看就可以看懂了; 
  
 
  

        设置acl列表的命令的使用格式 
  
 
  

      
  
 
  
 
  
  1. #setfacl <mx> <u:username:mode|g:groupname> FILE 
 
  

          -m:用来设定某项acl的; 
  
 
  

          -x:取消某项acl的; 
  
 
  

          u:对用户进行acl设定; 
  
 
  

          g:对组进行acl设定; 
  
 
  

        例:添加acl记录  
  
 
  
 
  
  1. [root@stu14 data]# setfacl -m u:gentoo:rw- test  
  2. [root@stu14 data]# getfacl test  
  3. # file: test 
  4. # owner: root 
  5. # group: magedu 
  6. user::rw- 
  7. user:gentoo:rw- 
  8. group::r-- 
  9. mask::rw- 
  10. other::r--  
 
  

        是不是看到多了一行,那一行就是我们加进来的,这是好gentoo用户就可以对这个文件进行读写了。对组设置无非就是把u改成g,用户改成组就ok了,很简单的。 
  
 
  

    需要注意一点的是只有文件的属主和root用户可以设置文件的访问控制列表; 
  
 
  

        例:删除acl记录 
  
 
  
 
  
  1. [root@stu14 data]# setfacl -x u:gentoo test  
  2. [root@stu14 data]# getfacl test  
  3. # file: test 
  4. # owner: root 
  5. # group: magedu 
  6. user::rw- 
  7. group::r-- 
  8. mask::r-- 
  9. other::r-- 
 
  

        取消一项记录直接-x,u加username就行了,不用再指定权限了。 
  
 
  
    3、设置默认acl
 
  

      
  
 
  
 
  
  1. [root@stu14 data]# setfacl –m d:u:gentoo:rw- test1/ 
  2. [root@stu14 data]# setfacl –m d:u:gentoo:rw- test1/  
 
  

        所谓的默认acl就是我们为一个目添加acl记录,在这个目录下创建的所有文件都会自动添加这个acl记录,这个实现也很简单,只要在u或g前面加d:就ok了。不过这样不长用的。 
  
 
  
    4、递归设置acl
 
  

      
  
 
  
 
  
  1. [root@stu14 data]# setfacl –R –m u:gentoo:rw- test1/ 
 
  

        这个所谓的递归就是这个目录中有文件有目录时,我们只为目录test1添加acl,这个目录下的所有文件都会添加这个acl记录的; 
  
 
  
    5、权限的生效次序
 
  

        首先我们再对test文件添加用户和组的acl记录,再来看看acl记录的顺序; 
  
 
  
 
  
  1. [root@stu14 data]# setfacl -m u:gentoo:rw- test  
  2. [root@stu14 data]# setfacl -m g:centos:rw- test  
  3. [root@stu14 data]# getfacl test  
  4. # file: test 
  5. # owner: root 
  6. # group: magedu 
  7. user::rw- 
  8. user:gentoo:rw- 
  9. group::r-- 
  10. group:centos:rw- 
  11. mask::rw- 
  12. other::r-- 
 
  

        从中我们就可以看出一些端倪了,我们添加的acl记录并不是添加在最后面的,而是有次序的。其实,从上到下就是权限的生效次序了:属主-->用户ACL-->属组-->组ACL-->其它用户。 
  
 
  

        最后说下,如果我们想将这些添加好acl的文件归档且保留这些acl信息怎么办呢?这就需要我们在归档的时候使用--acls这个选项了,因为我们使用tar归档的时候默认是不会将acl信息归档的。我想tar的使用就不用多写了吧!呵呵 
  
 
  

        一起努力!