linux权限之ACL权限

最新推荐文章于 2024-07-25 21:39:32 发布
最新推荐文章于 2024-07-25 21:39:32 发布
阅读量1.1k 收藏 13
点赞数 4
分类专栏: LINUX基础篇 文章标签: linux 运维 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38061373/article/details/124783078
版权

学习目标:

  • ACL权限的作用及设定
  • 最大有效权限以及删除ACL权限
  • 默认ACL权限和递归ACL权限

ACL权限的作用及设定

ACL权限的作用

环境需求:
有个财务部共享文件夹,要求设置以下权限,
财务总监(cwzj)的账户拥有 读写执行(rwx)权限
财务专员(cwzy)的账户拥有 只读执行(rx)权限
除此之外,其他人没有权限访问

有一天,你老板心血来潮,想要看财务报表,并且要求拥有所有权限
即是老板(boss)的账户拥有 读写执行(rwx)权限

行政总监也要看财务报表
行政总监(xzzj)的账户 只读执行(rx)权限

请问你怎么完成这个需求呢?

想了几天几夜之后,你会发现依靠 所有者、所属组、其他人 的基本权限,完全无法实现以上的需求

ACL权限就是解决你这个问题,也就是解决身份不足的问题。

新建个财务(cw)组,财务总监与财务专员默认在此组,然后新建各个账号测试:

groupadd cw
useradd -g cw cwzj
useradd -g cw cwzy
useradd test
useradd boss
useradd xzzj
mkdir /cw
chown cwzj /cw/
chmod 750 /cw/

[root@192 ~]# ll -d /cw/
drwxr-x--- 2 cwzj root 6 May 15 03:14 /cw/

通过以上权限可以看出,只能设置所有者,所属组、其他人权限,但老板与行政总监的权限应该怎么设置呢?用什么身份访问呢?

ACL权限设置

ACL权限设置:将老板与行政总监的账号设置ACL权限

[root@192 ~]# setfacl -m u:boss:rwx /cw
[root@192 ~]# setfacl -m u:xzzj:rx /cw
[root@192 ~]# getfacl /cw    //查看ACL权限
getfacl: Removing leading '/' from absolute path names
# file: cw   //文件名
# owner: cwzj  //所有者
# group: root   //所属组
user::rwx  //所有者权限
user:boss:rwx   //boss ACL权限
user:xzzj:r-x   //xzzj ACL权限
group::r-x  //所属组权限
mask::rwx   //mask权限
other::---  //其他人权限

boss账户测试:

passwd boss
[root@192 ~]# su - boss

[boss@192 ~]$ cd /cw
[boss@192 cw]$ echo 'I am boss !' > boss.txt
[boss@192 cw]$ pwd
/cw
[boss@192 cw]$ ls
boss.txt
[boss@192 cw]$ cat boss.txt 
I am boss !

以上案例得知,boss拥有rwx权限,已达到想要的效果。

行政总监账号测试:

[root@192 ~]# su - xzzj
[xzzj@192 ~]$ cd /cw/
[xzzj@192 cw]$ ls
boss.txt
[xzzj@192 cw]$ cat boss.txt 
I am boss !
[xzzj@192 cw]$ echo 'I am xzzj !' > xzzj.txt
-bash: xzzj.txt: Permission denied

以上案例得知,xzzj拥有rx权限,并没有写入权限,已达到想要的效果。

其他账号设置:

[root@192 ~]# su - test
[test@192 ~]$ cd /cw
-bash: cd: /cw: Permission denied

以上案例得知,test用户没有任何权限。

财务总监账号设置:

[root@192 ~]# su - cwzj
[cwzj@192 ~]$ cd /cw

[cwzj@192 cw]$ echo 'I am cwzj !' > cwzj.txt
[cwzj@192 cw]$ ls
boss.txt  cwzj.txt
[cwzj@192 cw]$ cat cwzj.txt 
I am cwzj !

以上案例得知,cwzj拥有rwx权限,已达到想要的效果。

财务专员设置:

[root@192 ~]# su - cwzy
[cwzy@192 ~]$ cd /cw/
-bash: cd: /cw/: Permission denied

直接被拒绝,原来所属组是root,得修改所属组

[cwzy@192 ~]$ su - root
Password: 
Last login: Sun May 15 03:31:07 EDT 2022 on pts/0

[root@192 ~]# ll -d /cw
drwxrwx---+ 2 cwzj root 38 May 15 03:29 /cw

[root@192 ~]# chown :cw /cw/
[root@192 ~]# ll -d /cw/
drwxrwx---+ 2 cwzj cw 38 May 15 03:29 /cw/

[root@192 ~]# su - cwzy
Last login: Sun May 15 03:31:14 EDT 2022 on pts/0
[cwzy@192 ~]$ cd /cw/
[cwzy@192 cw]$ touch test.txt
touch: cannot touch ‘test.txt’: Permission denied
[cwzy@192 cw]$ ls
boss.txt  cwzj.txt
[cwzy@192 cw]$ cat boss.txt 
I am boss !

现在成功了,并且只有只读权限,已达到想要的效果。

最大有效权限以及删除ACL权限

最大有效权限

被赋予的ACL权限要与mask权限进行相 “与”
,才是最终的权限;也就是说ACL拥有写的权限,此时mask也拥有写的权限,最终权限就是拥有写的权限,反之则是没有写的权限。

[root@192 ~]# setfacl -m m:rx /cw
[root@192 ~]# getfacl /cw/
getfacl: Removing leading '/' from absolute path names
# file: cw/
# owner: cwzj
# group: cw
user::rwx
user:boss:rwx			#effective:r-x
user:xzzj:r-x
group::r-x
mask::r-x
other::---

此时mask权限是rx,那么boss权限真的拥有rwx权限吗?

[root@192 ~]# su - boss
Last login: Sun May 15 03:23:50 EDT 2022 on pts/0
[boss@192 ~]$ cd /cw/

[boss@192 cw]$ touch boss02.txt
touch: cannot touch ‘boss02.txt’: Permission denied

[boss@192 cw]$ ll -d /cw/
drwxr-x---+ 2 cwzj cw 38 May 15 03:29 /cw/
[boss@192 cw]$ getfacl /cw/
getfacl: Removing leading '/' from absolute path names
# file: cw/
# owner: cwzj
# group: cw
user::rwx
user:boss:rwx			#effective:r-x
user:xzzj:r-x
group::r-x
mask::r-x
other::---

以上案例得知,boss也丧失写入的权限了;因为mask权限rx原因,所以ACL最大有效权限只能是rx。

删除ACL权限
setfacl -x 指定用户名或者用户组
setfacl -b 删除所有ACL的权限

[cwzj@192 cw]$ setfacl -x u:boss /cw
[cwzj@192 cw]$ getfacl /cw
getfacl: Removing leading '/' from absolute path names
# file: cw
# owner: cwzj
# group: cw
user::rwx
user:xzzj:r-x
group::r-x
mask::r-x
other::---

[cwzj@192 cw]$ setfacl -b /cw
[cwzj@192 cw]$ getfacl /cw/
getfacl: Removing leading '/' from absolute path names
# file: cw/
# owner: cwzj
# group: cw
user::rwx
group::r-x
other::---

默认ACL权限和递归ACL权限

存在的问题:
主目录拥有ACL权限,但是里边的文件及子目录都没有ACL权限。

[root@192 ~]# setfacl -m u:boss:rwx /cw
[root@192 ~]# ll /cw/
total 8
-rw-rw-r-- 1 boss boss 12 May 15 03:25 boss.txt
drwxr-xr-x 2 cwzj cw    6 May 15 04:23 cwzj
-rw-r--r-- 1 cwzj cw   12 May 15 03:30 cwzj.txt
-rw-r--r-- 1 cwzj cw    0 May 15 04:11 test

设置ACL递归权限

[root@192 ~]# setfacl -m u:boss:rwx -R /cw/
[root@192 ~]# ll /cw/
total 8
-rw-rwxr--+ 1 boss boss 12 May 15 03:25 boss.txt
drwxrwxr-x+ 2 cwzj cw    6 May 15 04:23 cwzj
-rw-rwxr--+ 1 cwzj cw   12 May 15 03:30 cwzj.txt
-rw-rwxr--+ 1 cwzj cw    0 May 15 04:11 test

设置新建的子文件都默认ACL权限

[root@192 ~]# setfacl -m d:u:boss:rwx -R /cw/

[root@192 ~]# mkdir /cw/test2 
[root@192 ~]# touch /cw/123

[root@192 ~]# ll /cw/
total 8
-rw-rw----+ 1 root root  0 May 15 04:35 123
-rw-rwxr--+ 1 boss boss 12 May 15 03:25 boss.txt
drwxrwxr-x+ 2 cwzj cw    6 May 15 04:23 cwzj
-rw-rwxr--+ 1 cwzj cw   12 May 15 03:30 cwzj.txt
-rw-rwxr--+ 1 cwzj cw    0 May 15 04:11 test
drwxrwx---+ 2 root root  6 May 15 04:29 test2
柳三千
关注
  • 4
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux查看目录acl权限,linuxacl权限详解
weixin_39968760的博客
04-29 1049
安装软件包yum install -y acl配置acl权限用于acl权限管理的命令主要有两个:setfacl //设置acl权限getfacl //查看acl权首先来看setfacl常用参数:-b:删除所有扩展的acl规则,基本的acl规则(所有者,群组,其他)将被保留。-d:设定默认的acl规则-R:递归的对所有文件及目录进行操作。-m:修改文件或目录的ac...
linux基础 –基本权限ACL
01-09
ACL文件权限管理: 设置不同用户,不同的基本权限(r、w、x)。对象数量不同。 UGO设置基本权限: 只能一个用户,一个组和其他人 setfacl命令用法 [root@localhost ~]# setfacl -help 主要用的参数: -m, --modify-acl...
linux查看目录acl权限,Linux权限管理之ACL权限最全解读
weixin_30067913的博客
04-29 776
原标题:Linux权限管理之ACL权限最全解读Linux权限管理是Linux很重要的一项内容,重则引起用户信息泄露,轻则导致文件错乱和丢失。企业服务器里有些目录下面的东西暂时保密,不希望别人可以进入目录并查看。有些文件希望别人可以看,但不能删除。有些目录只有root等管理员权限的账户才能修改,Linux服务器供多个人登录使用,要是没有权限管理就乱了,大家都一样的权限。有些维护系统的命令比较复杂,经...
Linux权限管理(ACL权限、特殊位、和隐藏属性)
2302_78041486的博客
05-19 1081
由于Linux是一个多人多任务的系统,因此经常会出现同一台机器同时有多个人进行操作,为了考虑每个人的隐私权以及每个人喜好的工作环境,所以文件的权限归属就至关重要。为了保障系统的安全性和文件的隐私性,一个文件针对不同权限的账户有着不同的权限
linux关闭ACL权限,linuxacl管理文件权限
weixin_30022923的博客
05-04 553
本文系统Centos6.0本人不得不承认之前真不知道这个命令,也是昨天听了一个讲师的课提到此命令,(了解的大神跳过吧,别吐槽我)在此和大家分享下:getfaclsetfacl此命令是干嘛用的呢?相信很多人查看文件、目录的所给予的权限的时候大多都是ls -l filename这里本人先演示下getfacl[root@centos~]#getfaclinstall.log#file:inst...
Linux用户权限ACL权限
s1429583654的博客
09-28 2193
ACL权限的设置与解释以及使用
linux查看目录acl权限,ACL权限详解
weixin_29893445的博客
04-29 792
1.ACL简介2.前期准备3.ACL的基本操作:添加和修改4.ACL的其他功能:删除和覆盖5.目录的默认ACL6.备份和恢复ACL7.结束语1.ACL简介用户权限管理始终是Linux系统管理中最重要的环节。大家对Linux/Unix的UGO权限管理方式一定不陌生,还有最常用的chmod命令。为了实现一些比较复杂的权限管理,往往不得不创建很多的组,并加以详细的记录和区分。有一种方法可以实现灵活的权限...
linux权限管理之ACL权限管理
qq_41566366的博客
02-04 1670
知识点: 查看某个目录权限 : getfacl 目录名 。 目录权限分两大块,一块是该目录本身的权限,一块是default,新建子目录会继承default权限。如果没有设置默认权限,那么就不会有default权限 default只针对目录,文件不存在default权限,也不存在继承目录的default权限 仅修改某个目录权限:sudo setfacl -m u:用户:权限(如r/rx/rwx) 目录名 递归的修改/新增某个目录及其所有子目录权限:sudo setfacl -m u:用户:权限(如.
linux查看目录acl权限,linux中的ACL权限
weixin_29543211的博客
04-29 744
Linux权限中只有所有者,所属组和其他人三类,但是有些特殊情况下这三类权限的满足不了我们的需求,比如讲课,老师是教学目录的所有者,拥有读写执行的权限,学员和老师同时属于一个所属组textg,给所属组读写和执行的权限之后学院也拥有了全部权限,为避免别的人员看到教学目录里的内容,其他人权限设为0,现在又来了一个试听学员,只想给他读和执行权限,不给写权限,这时三类权限就满足不了我们的需求了,ACL...
acl权限 性能影响 linux,Linux权限管理之ACL权限
weixin_29002961的博客
04-30 389
一、ACL权限简介与开启ACL权限是一种为某个或某些用户特殊设置的权限,这种权限不收到所有者、所属组、其他用户这三种权限设置的限制,即可以脱离它们而单独设置权限ACL权限就是为了解决这三种权限不能实现的一些特殊情况而出现的。ACL权限不是某个目录上支持的特性,而是分区(即文件系统)所支持的特性。使用dumpe2fs命令查看某个分区是否支持ACL权限。dumpe2fs是查询指定分区详细的文件系统信...
Linuxacl权限用于,linux ACL权限控制
weixin_31207903的博客
04-30 188
一. 概念:ACL是Access Control List(访问控制列表)的缩写,用于linux复杂的用户权限控制当中。Cent7系统之前,只有系统安装时创建的文件系统支持ACL,后来创建的文件系统则不支持。Cent7系统后,不管文件系统是否在安装系统时被建立,都支持ACL。二. 命令:getfacl:用于查看ACL权限。setfacl:用于设置ACL权限。三. 用法:1. 查看文件或目录权限ge...
Linux系统基本权限ACL及特殊权限命令操作修改
01-09
Linux系统基本权限ACL及特殊权限命令操作修改 一、基本权限 ACL 1、区分 请思考:使用chmod能针对独立用户设置文件不同的权限吗? user01 rwx file1 user02 rw file1 user03 r file1 user04 rwx file1 user05 rw ...
ACL控制Linux权限.pdf
09-06
"ACL控制Linux权限" Linux操作系统中的权限管理是非常重要的,但 Linux 中默 认 的 权 限 管 理 难 以 实 现 复 杂 的 权 限 控 制。特别是在使用 Samba 文件系统时,无法灵活地设置权限。本文将讨论如何使用 ACL...
ACL(访问控制列表)权限管理.txt
06-15
ACL:Access Control List 实现灵活的权限管理 除了文件的所有者,所属组和其他人,可以对更多的用户设置权限 CentOS7默认创建的xfs和ext4文件系统具有ACL功能 CentOS7之前版本,默认手工创建的ext4文件系统无ACL...
LinuxLinux发展史
weixin_51142926的博客
07-22 4336
大家好!此篇文章并非技术博文,而是简单了解Linux的时代背景和发展史,只有知其所以然才能让我们更好地让走进Liunx的世界!
Linux】一些基本指令
weixin_73914025的博客
07-25 678
在学习操作系统的时候,我们应该要清楚操作系统是什么。操作系统是一款进行软硬件资源管理的软件。如果没有操作系统,即使是有一台好的电脑配有一套好的鼠标和键盘,我们也无法使用这台电脑。所以我们也就知道了为什么要进行软硬件资源管理,目的就是为我们使用机器提供了良好的服务。我们在《Linux的环境搭配中》提到了云服务器的使用,为了方便学习,我在Linux的学习中,将会使用云服务器来进行学习。在上面提到的那片文章中,我们提到了Xshell,我们在每次打开Xshellssh (用户名)@(公网IP)
Linux下pip的安装、命令总结、换源
2301_79695159的博客
07-24 575
Linux下pip的安装、命令总结、换源
LinuxLinux makefile 教程
沐风—云端行者
07-23 747
什么是makefile?或许很多Winodws的程序员都不知道这个东西,因为那些Windows的IDE都为你做了这个工作,但我觉得要作一个好的和professional的程序员,makefile还是要懂。这就好像现在有这么多的HTML的编辑器,但如果你想成为一个专业人士,你还是要了解HTML的标识的含义。特别在Unix下的软件编译,你就不能不自己写makefile了,会不会写makefile,从一个侧面说明了一个人是否具备完成大型工程的能力。因为,makefile关系到了整个工程的编译规则。一个工程中的源文
Linux C | 网络编程】进程间传递文件描述符socketpair、sendmsg、recvmsg详解
最新发布
qq_42037383的博客
07-25 1007
我们的目的是,实现进程间传递文件描述符,是指 A进程打开文件fileA,获得文件描述符为fdA,现在 A进程要通过某种方法,传递fdA,使得另一个进程B,获得一个新的文件描述符fdB,这个fdB在进程B中的作用,跟fdA在进程A中的作用一样。即在 fdB上的操作,即是对fileA的操作。可能很多人想到的是用管道pipe来实现,但是却没想象的那么容易。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值