小谈Linux之ACL功能

最新推荐文章于 2024-09-12 20:58:18 发布
最新推荐文章于 2024-09-12 20:58:18 发布
阅读量103 收藏
点赞数
文章标签: 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34331102/article/details/85093256
版权

         大家好,我是书记。今天我们来谈谈linux的ACL功能;相信大家对于cisco的ACL那是相当的熟悉了,但是对于linux的ACL功能你了解多少呢?OK ,机会来了~~

         Linux中的ACL功能是体现在对文件和目录的权限上,而且对于权限设置的精细度上有了非常大的提高;比如一个文件或者目录的所有者和所有者都是tangsir,权限为755,那么也就是说root用户和tangsir可以写入外,其余的人是没有权限的。但是如果我们配置了ACL功能的话,我们完全可以使另一个用户对此文件或者目录有写入的权限。
如何使文件或者目录具有ACL功能呢?我们可以通过配置分区来支持ACL功能。首先,我们要明白,是不是所有的分区都支持ACL功能呢?在RHEL5.X版本中,安装操作系统时所建立的分区是支持ACl功能的,安装操作系统任务完成后所建立的分区默认是不支持ACL功能的,那么如何实现这种分区支持ACL功能呢?我们可以使用三种方式来实现操作系统安装成功后所建立的分区支持ACL功能;
(1)    使用mount命令,此命令使一个分区临时生效,重启后ACL会失效。
mount –o remount,acl 分区
mount –o acl 分区 挂载点
     以上两种语法的区别:上面的表示的是此分区已经建立且在使用了或者说已经被挂载了,但是还不支持ACL功能,我们通过此命令来实现不影响分区使用的情况下来支持ACL功能;下面表示的是在挂载分区的同时使其具备ACL功能。
例子:第一种情况:
       [root@tangsir ~]# mount -o remount,acl /dev/sdb1
      第二种情况:
       [root@tangsir ~]# mount -o acl /dev/sdb2 /test2
    用mount命令来查看信息:
     [root@tangsir ~]# mount
/dev/sda3 on / type ext3 (rw)
proc on /proc type proc (rw)
sysfs on /sys type sysfs (rw)
devpts on /dev/pts type devpts (rw,gid=5,mode=620)
/dev/sda1 on /boot type ext3 (rw)
tmpfs on /dev/shm type tmpfs (rw)
none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)
none on /proc/fs/vmblock/mountPoint type vmblock (rw)
sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)
/dev/sdb1 on /test1 type ext3 (rw,acl)
/dev/sdb2 on /test2 type ext3 (rw,acl)
从挂载的信息中,我们得知了此分区支持ACL功能
 
(2)    使用tune2fs命令,此命令可以使分区永久支持ACL功能
例子:
[root@tangsir ~]# tune2fs -o acl /dev/sdb5
使用-l选项来查看分区配置的情况:
[root@tangsir ~]# tune2fs -l /dev/sdb5
tune2fs 1.39 (29-May-2006)
Filesystem volume name:    <none>
Last mounted on:           <not available>
Filesystem UUID:          7e4472be-3a69-4060-b781-4184149d06ad
Filesystem magic number: 0xEF53
Filesystem revision #:     1 (dynamic)
Filesystem features:       has_journal resize_inode dir_index filetype sparse_super large_file
Default mount options:    acl  è说明了该分区支持ACL功能
Filesystem state:          clean
Errors behavior:           Continue
Filesystem OS type:        Linux
注意:使用tune2fs命令配置分区,用mount命令是查看不到的,只有通过修改/etc/fstab来支持分区ACL功能后才可以看到
 
(3)    通过修改/etc/fstab来实现分区支持ACl 功能
       [root@tangsir ~]# cat /etc/fstab
LABEL=/                  /                       ext3    defaults        1 1
LABEL=/boot              /boot                   ext3    defaults        1 2
tmpfs                    /dev/shm                tmpfs   defaults        0 0
devpts                   /dev/pts                devpts gid=5,mode=620 0 0
sysfs                    /sys                    sysfs   defaults        0 0
proc                     /proc                   proc    defaults        0 0
LABEL=SWAP-sda2          swap                    swap    defaults        0 0
/dev/sdb5               /test3                  ext3    defaults,acl    0 0
为了使配置生效要重启计算机或者使用 mount –o remount PT 命令。
 
分区支持ACL功能后,我们要对文件或者目录具体设置ACL功能以及查看具体的ACL配置,这里要使用两个命令字:setfacel and getfacl 。为了更好的理解命令的用法和设置,我们通过具体的实例来分析。首先,我们来看看setfacl命令常用的选项;
-m:修改文件或目录的ACL rules
-x:删除文件或者目录指定的ACLrules
-d:指定文件或者目录默认的ACLrules
-k:删除文件或者目录默认的ACL rules
-b:删除文件或者目录所有的ACL rules
-R:递归渲染,对具体目录下所有的文件和目录全部渲染
 具体实例:目录系统中的/dev/sdb1分区支持ACL功能,分区的挂载目录是/test1,目录中包含了h3cte和ccie两个目录,我们使用户tangsir对目录ccie有可读,可写,可执行的权限,并且配置用户tangsir对目录ccie有默认的可读,可写,可执行权限,也就是说用户tangsir在目录ccie中建立的目录或者文件时会自动继承ACL权限;
  信息查看:
     [root@tangsir ~]# df -H
文件系统                容量    已用 可用 已用% 挂载点
/dev/sda3                21G   4.9G    15G 26% /
/dev/sda1               104M    12M    87M 12% /boot
tmpfs                   246M      0   246M   0% /dev/shm
/dev/sdb1              2.5G    71M   2.3G   4% /test1
/dev/sdb2               1.7G    37M   1.6G   3% /test2
[root@tangsir ~]# ll /test1
总计 32
drwxr-xr-x 2 root root 4096 07-29 11:27 ccie
drwxr-xr-x 2 root root 4096 07-29 11:27 h3cte
规则配置:
[root@tangsir test1]# setfacl -m u:tangsir:rwx ccie/
命令分析:-m 表示修改文件或者目录的ACL rules;u表示针对用户;tangsir是用户名;rwx是对目录的权限,字母和数字都可以表示;ccie/是具体的目录。
查看并用户测试:
[root@tangsir test1]# ll
总计 32
drwxrwxr-x+ 2 root root 4096 07-29 11:27 ccie 目录权限的最后一位是一个“+”表示目录配置了ACL功能
drwxr-xr-x 2 root root 4096 07-29 11:27 h3cte
切换用户tangsir:
        [root@tangsir ~]# su - tangsir
[tangsir@tangsir ~]$ mkdir /test1/ccie/ccm --可以创建目录,成功!!
[tangsir@tangsir ~]$ ll /test1/ccie/
总计 8
drwxrwxr-x 2 tangsir tangsir 4096 07-29 11:38 ccm -- one
 用户的默认的ACL配置:
         [root@tangsir test1]# setfacl -m d:u:tangsir:rwx ccie/
 
 创建目录或者文件并查看:
         [root@tangsir test1]# su - tangsir
[tangsir@tangsir ~]$ mkdir /test1/ccie/ccm1
[tangsir@tangsir ~]$ ll /test1/ccie/
总计 16
drwxrwxr-x 2 tangsir tangsir 4096 07-29 11:38 ccm
drwxrwxr-x+ 2 tangsir tangsir 4096 07-29 11:43 ccm1   ---two (自动继承了 ACL 功能)
注意比较 one ,two ,看出两者的区别 ~~
 
具体实例:具体实例:目录系统中的/dev/sdb2分区支持ACL功能,分区的挂载目录是/test2,目录中包含了mvp和cca两个目录,建立用户组zu1,zu2,建立用户liugong ,xugong.
liugong属于组zu1,xugong属于zu2.配置zu1对mvp有执行的权限,zu2对cca有所有的权限。并实现zu2对cca目录有默认的ACl功能。(可读,可写,可执行)
组,用户的建立:
            [root@tangsir ~]# groupadd zu1
[root@tangsir ~]# groupadd zu2
[root@tangsir ~]# usermod -G zu1 liugong
[root@tangsir ~]# gpasswd -a xugong zu2
正在将用户“xugong”加入到“zu2”组中
               [root@tangsir ~]# ll /test2/
总计 32
drwxr-xr-x 2 root root 4096 07-29 11:52 cca
drwx------ 2 root root 16384 07-29 10:33 lost+found
drwxr-xr-x 2 root root 4096 07-29 11:52 mvp
 
配置zu1对mvp有执行的权限:
                [root@tangsir test2]# setfacl -m g:zu1:x mvp/ 
zu2对cca有所有的权限:
                [root@tangsir test2]# setfacl -m g:zu2:7 cca/
                            root@tangsir test2]# setfacl -m d:g:zu2:7 cca/
ACL功能查看:
                [root@tangsir test2]# ll
总计 32
drwxrwxr-x+ 2 root root 4096 07-29 11:52 cca
drwx------ 2 root root 16384 07-29 10:33 lost+found
drwxr-xr-x+ 2 root root 4096 07-29 11:52 mvp
用户测试:
                  [root@tangsir ~]# su - liugong
[liugong@tangsir ~]$ cd /test2/mvp/
[liugong@tangsir mvp]$ touch jilu.txt
touch: 无法触碰 “jilu.txt”: 权限不够
liugong对mvp目录只有执行权限,效果正确~
 
               [xugong@tangsir ~]$ cd /test2/cca/
[xugong@tangsir cca]$ mkdir keke && touch diligence
[xugong@tangsir cca]$ ll
总计 12
-rw-rw-r--+ 1 xugong xugong     0 07-29 12:14 diligence
drwxrwxr-x+ 2 xugong xugong 4096 07-29 12:14 keke
 
getfacl 命令来查看文件或者目录的ACL;
[root@tangsir test1]# ll
总计 32
drwxrwxr-x+ 4 root root 4096 07-29 11:43 ccie
drwxr-xr-x 2 root root 4096 07-29 11:27 h3cte
drwx------ 2 root root 16384 07-29 10:31 lost+found
 
[root@tangsir test1]# getfacl ccie
# file: ccie 文件或者目录的名称
# owner: root 文件或者目录的属主
# group: root 文件或者目录属组
user::rwx    属主的权限
user:tangsir:rwx 用户tangsir的权限
group::r-x 属组的权限
mask::rwx 文件或者目录最大权限
other::r-x 其他人的权限
default:user::rwx
default:user:tangsir:rwx 用户tangsir对目录或者文件的默认权限
default:group::r-x
default:mask::rwx
 
                   
文件或者目录ACL的删除:
                   [root@tangsir test1]# getfacl ccie
# file: ccie
# owner: root
# group: root
user::rwx
user:tangsir:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:tangsir:rwx
default:group::r-x
default:mask::rwx
              [root@tangsir test1]# setfacl -x u:tangsir ccie—删除指定的ACL
              [root@tangsir test1]# setfacl -b ccie --删除全部的ACl
[root@tangsir test1]# getfacl ccie
# file: ccie
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
 
注意:文件或者目录配置了ACL以后,由于系统管理的需要要将配置了ACL的目录进行复制操作,那么cp命令后必要加上“-P”选项,如果是剪切的话,就不需要了,因为默认mv命令会保留原ACL。当然前提必须是目标目录必须也要支持ACL功能才行~~
 
 
weixin_34331102
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LinuxACL 的使用
m0_64483960的博客
03-31 2757
ACL权限
Linux ACL访问控制权限
u012707739的博客
08-03 2799
Linux ACL访问控制权限由于Linux系统的基本权限控制是针对文档所有者或所属组或其他账户来进行控制的,无法对某个单独的账户进行控制,所以就有了ACL(Account Control List)访问控制列表的概念,使用ACL,我们可以针对单一账户设置文档的访问权限。以下是查看和设置ACL权限的两条命令:1. getfacl描述:查看文档的ACL权限 用法:getfacl 文件或目录2. se
Linux系统中关于ACL的简单介绍
AhhSong的博客
07-29 2056
LinuxACL、权限、访问控制列表
linux 网络acl,Linux学习之ACL 的使用
weixin_39789690的博客
05-09 148
ACL主要针对使用者,群组,默认属性。一、开启ACL[root@lyy ~]# mount -o remount,acl /home 开启[root@lyy ~]# mount 查看/dev/hda2 on / type ext3 (rw)proc on /proc type proc (rw)sysfs on /sys type sysfs (rw)devpts on /d...
LinuxACL策略的作用
weixin_34081595的博客
11-02 276
ACL策略的作用 - 文档归属的局限性 - 任何人只属于三种角色:属主,属组,其他人。 - 无法实现更精细的控制 ACL访问策略 - 能够对个别用户,个别组设置独立的权限。 - 大多数挂载的EXT3/4,XFS文件系统默认以支持。 使用get...
Linux---ACL
qq_46415567的博客
04-28 273
标题ACL 权限的设置 标题实验目的: 1.练习用户 ,组 的添加 和 分组操作 2.练习ACL 基于用户角色的权限分配 3.练习ACL 基于组角色权限分配 4.练习ACL 最大权限值分配 标题实验步骤: 1.变身root 添加 xiaoming 用户 jiaoxue组 shiting组 分配 xiaoming进 shiting组 su - root useradd xiaoming passwd xiaoming #给xiaoming设置初始密码 忽略提示 groupadd jia
第十四章 Linux账号管理域ACL权限设置
vicky198的博客
06-21 1493
一、Linux的账号与群组1、使用者识别码UID,GIDlinux操作系统上的用户如果需要登录主机,当其输入用户名和密码之后:首先在/etc/passwd文件中查找是否有你的账号,如果没有无法登录,如果有的话将该用户的UID和GID读出来,此外将此用户的shell设置也一并读出。然后根据UID到/etc/shadow文件中去寻找相应用户的密码,如果匹配一致进入shell控制的阶段。下面我们详细解释...
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2273
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
Linux转发性能评估与优化之——转发瓶颈分析与解决方案
m0_74282605的博客
12-01 662
本文仅仅是针对Linux做的转发调优方案,如果需要更加优化的方案, 请参考ASIC以及NP等硬件方案,不要使用总线拓扑,而是使用交叉阵列拓扑。
PingCode Wiki 权限设计之 ACL
zhaohuodian的博客
08-25 1396
ACL:Access Control List,权限控制列表,是对文件以及目录的权限控制方案。大名鼎鼎的 Linux 权限系统,它就是 ACL 的典型案例,本人在开发过程中也受到了 Linux 权限设计的一些启发。上面只是列举了一些通用和些许复杂的场景,实际开发中还有很多的细节,所以开发期间很忙,经历了头脑风暴,也有走误区的及时调整和反思,这些都是宝贵的经验。团队之间及时沟通,充分理解需求,建立统一认知。
Linux 私房菜 笔记(完结)
qq_57065913的博客
03-14 3785
目录 第一章 计算机概论 第一章 计算机概论
Linux--ACL权限--简介和开启
喜三仔的世界
05-05 1385
qq
Linux】:信号与信号产生
最新发布
Yikefore的博客
09-12 614
信号的基本概念、对信号的理解、信号的多种产生方式以及核心转储的详细介绍!
Shell脚本流程控制(Linux篇)
m0_67771087的博客
09-07 1045
流程控制是改变程序运行顺序的指令。
DOS脚本分析
YJlio的博客
09-11 266
S-1-5-19是本地服务帐户的安全标识符(SID),通常用于判断是否有足够的权限。:该行命令生成一个VBScript文件,通过Shell对象以管理员权限重新运行当前批处理文件(%~f0表示当前脚本的完整路径,runas表示以管理员权限运行)。else:如果ping失败(即网络连接中断状态),则显示提示信息并进入pause,等待用户按键,然后重新检查网络连接。ping *** >nul:通过ping命令检测指定服务器(***)是否有效。||: 表示如果前面的命令失败,则执行后面的部分。
145-Linux权限维持&Rootkit后门&Strace监控&Alias别名&Cron定时任务
DamnVanish的博客
09-07 848
Linux中最强权限维持rootkit
linux运维常见命令行
wendao76的专栏
09-09 1682
linux常用命令行,用户管理,文件管理, 磁盘管理, 网络管里,进程管理等等
Linux服务器Java启动脚本
Jack魏
09-08 557
本文章介绍了如何在Linux服务器上执行Java并启动jar包,通常我们会使用nohup直接启动,但是还是需要手动停止然后再次启动,那如何更优雅的在服务器上启动jar包呢,让我们一起探讨一下吧。
大模型推理--PagedAttention
姚光超的专栏
09-11 915
在上一篇博客《》中详细介绍了大模型推理的decoding阶段可以采用KV Cache来优化重复计算的原理。虽然KV Cache大幅提升了大模型token生成的速度,但是也引入了新的问题,主要有两个:1. KV Cache在长上下文的情况下占用量非常大,导致batch很小,进而影响吞吐量,甚至根本无法支持长上下文;2. 大模型推理的时候无法预知会产生多少token,所以无法给KV Cache预分配空间,现在的通用做法是按照生成token的上限来分配空间,这产生了非常大的空间浪费。
Linux09:深入理解查找命令与quota、acl功能
Linux中,这些功能对于管理员和开发者来说至关重要,帮助管理和优化文件系统资源,以及确保权限的安全性。 1. **文件查找工具**: - **which**:用于查找shell命令的完整路径。例如,`which mount` 显示`/bin/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值