ACL策略管理、总结和答疑

于 2023-08-14 10:04:31 发布
阅读量126 收藏
点赞数
分类专栏: linux 文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65562581/article/details/132270226
版权
ACL策略管理、总结和答疑

ACL策略管理:

  • 文档归属的局限性:

    • 任何人只属于三种角色:属主、属组、其他用户

    • 针对特殊的人实现更精细的控制

  • acl访问策略作用:

    • 能够对个别用户、个别组设置独立的权限

    • 大多数挂载的EXT3/4、XFS文件系统默认已支持

  • setfacl命令

    • 格式:setfacl [选项] u:用户名:权限 文件...

      setfacl [选项] g:组名:权限 文件...

  • 常用命令选项

    • -m: 修改ACL策略

    • -x:清除指定的ACL策略

    • -b:清除所有已设置的ACL策略

    • -R:递归设置ACL策略

#体验ACL策略的作用例子
[root@localhost ~]# mkdir /NB
[root@localhost ~]# echo 五元>/NB/rmb.txt
[root@localhost ~]# cd /NB/
[root@localhost NB]# ls
rmb.txt
[root@localhost NB]# cat rmb.txt 
五元
[root@localhost NB]# groupadd caiwu
[root@localhost NB]# chmod o=--- /NB
[root@localhost NB]# ls /NB
rmb.txt
[root@localhost NB]# ls -ld  /NB
drwxr-x---. 2 root root 21 8月  13 17:51 /NB
[root@localhost NB]# chmod g+w /NB
[root@localhost NB]# ls -ld /NB
drwxrwx---. 2 root root 21 8月  13 17:51 /NB
[root@localhost NB]# useradd dc
断开重连切换到dc用户
[root@localhost ~]# su dc
[dc@localhost root]$ cd /NB
bash: cd: /NB: 权限不够
断开重连切换到root用户,为dc用户添加ACL策略
[root@localhost NB]# setfacl -m u:dc:rx /NB
断开重连切换到dc用户
[dc@localhost root]$ cd /NB
[dc@localhost NB]$ ls
rmb.txt
[dc@localhost NB]$ cat rmb.txt 
五元
发现ACL策略生效,可以查看
[dc@localhost NB]$ getfacl /NB #这个命令可以查看该文件的ACL策略
getfacl: Removing leading '/' from absolute path names
# file: NB
# owner: root
# group: root
user::rwx
user:dc:r-x
group::rwx
mask::rwx
other::---
#可以继续添加ACL策略用户
[root@localhost ~]# setfacl -m u:lisi:rx /NB
[root@localhost ~]# getfacl /NB #查看ACL策略
getfacl: Removing leading '/' from absolute path names
# file: NB
# owner: root
# group: root
user::rwx
user:lisi:r-x
user:dc:r-x
group::rwx
mask::rwx
other::---
#还可以用ACL策略,单独对一个用户设置禁用权限
[root@localhost ~]# mkdir /nsd19
[root@localhost ~]# chmod 777 /nsd19
[root@localhost ~]# ls -ld /nsd19
drwxrwxrwx. 2 root root 6 8月  14 09:20 /nsd19
[root@localhost ~]# setfacl -m u:lisi:--- /nsd19
[root@localhost ~]# su lisi
[lisi@localhost root]$ cd /nsd19
bash: cd: /nsd19: 权限不够
[root@localhost ~]# getfacl /nsd19 #查看ACL策略
getfacl: Removing leading '/' from absolute path names
# file: nsd19
# owner: root
# group: root
user::rwx
user:lisi:---
group::rwx
mask::rwx
other::rwx
​

linux中判断用户具备的权限:

1.首先查看该用户或组是否有ACL测量

2.查看用户1,对于该数据所处的身份,顺序所有者>所属组>其他人,原则是匹配及停止

3.查看相应身份的权限位

ACL策略练习

[root@localhost ~]# mkdir /nsd22
[root@localhost ~]# setfacl -m u:dc:rx /nsd22
[root@localhost ~]# setfacl -m u:zhangsi:rwx /nsd22
[root@localhost ~]# setfacl -m u:lisi:rx /nsd22
[root@localhost ~]# setfacl -m u:gelin01:rwx /nsd22
[root@localhost ~]# getfacl /nsd22
getfacl: Removing leading '/' from absolute path names
# file: nsd22
# owner: root
# group: root
user::rwx
user:lisi:r-x
user:zhangsi:rwx
user:gelin01:rwx
user:dc:r-x
group::r-x
mask::rwx
other::r-x
[root@localhost ~]# setfacl -x u:zhangsi /nsd22 #删除指定用户ACL
[root@localhost ~]# getfacl /nsd22
getfacl: Removing leading '/' from absolute path names
# file: nsd22
# owner: root
# group: root
user::rwx
user:lisi:r-x
user:gelin01:rwx
user:dc:r-x
group::r-x
mask::rwx
other::r-x
​
[root@localhost ~]# setfacl -x u:dc /nsd22 #删除指定用户ACL
[root@localhost ~]# getfacl /nsd22
getfacl: Removing leading '/' from absolute path names
# file: nsd22
# owner: root
# group: root
user::rwx
user:lisi:r-x
user:gelin01:rwx
group::r-x
mask::rwx
other::r-x
[root@localhost ~]# setfacl -b /nsd22 #清除目录所有的ACL策略
[root@localhost ~]# getfacl /nsd22/
getfacl: Removing leading '/' from absolute path names
# file: nsd22/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

补充内容:

ACL策略-黑名单的使用(单独拒绝某些用户)

[root@localhost ~]# setfacl -m u:lisi:--- /home/public
[root@localhost ~]# getfacl /home/public

-R:递归设置ACL策略

[root@localhost ~]# setfacl -Rm u:dc:rwx /opt/aa #目录以及下面的文件都设置ACL策略
怡雪~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux,权限管理ACL权限解析
老徐是个铁憨憨
04-20 242
基础权限 普通文件权限 r:读取查看文件内的内容(字符/字符串/乱码) w:编辑修改文件的内容 x:是否允许文件的执行(命令/脚本) 目录权限 r:列出目录的文件列表(ll查看) w:是否有能在该目录下创建/删除-文件/目录 x:是否可以进入该目录中(cd) umask:默认权限掩码值 /etc/profile 该文件内的判断决定了哪类用户用0022掩码,哪一类用0002掩码。 i...
ACL 策略管理
weixin_68576503的博客
08-19 620
acl 访问策略作用:能够对个别用户、个别组设置独立的权限 setfacl 命令格式: ①setfacl [选项] u:用户名:权限 文件... ②setfacl [选项] g:组名:权限 文件... 常用命令选项: -m:修改 ACL 策略 -x:清除指定的 ACL 策略 -b:清除所有已设置的 ACL 策略 -R:递归设置 ACL 策略 一般文件默认均不给 x 执行权限,其他取决于 umask(权限掩码) 设置新建目录默认权 限为 755 新建文件默认权限为 644,管理员的默认的 u
Linux-权限管理ACL权限)
Twilight's Blog
08-02 715
ACL简介目前已知的三种权限分别是,所有者权限,所属组权限,和其他人权限。这三种权限有时并不能很好的指定所有用户的权限。当无法使用这三种权限准确的指定一个用户的权限时,可以使用acl给用户或用户组指定特定的权限。例如,所有者和所属组具有最高权限。其他人具有0权限。此时我希望给一个用户设定r-x权限。这时用以上三种权限很难实现。就可以用acl指定该用户的权限。设定/查看 ACL权限 getfacl
基本权限和归属 附加权限 ACL策略管理
Yosigo_的博客
03-09 414
· 基本权限和归属 · 附加权限 · ACL策略管理 基本权限与归属关系 root 用户有最高权限,无视所有权限,可以修改权限 基本权限 读取 : 允许查看内容 - read 利用 r 表示 写入 :允许修改内容 - write 利用 w 表示 可执行 :运行运行和切换 - excute 利用 x 表示 对于文本文件 读取权限(r) :cat 、head 、tail 、 less 、 grep 写入权限(w) :
Linux基础之权限管理ACL
Ruoshuiss的博客
07-30 1629
今天我们来了解一下在Linux下怎样实现灵活的权限管理——ACL。下图是本篇文章ACL的主要内容。 ACL是什么 Linux下的默认权限分为三种,即owner(所有者),group(所属组)和other(其它)。这样的话,就只能将用户分为三类权限,这三种文件权限一般情况下可以满足我们的需要,但是在有些情况下,当用户的权限需求超过三种,默认权限位是远远不够的。例如: 1、在/
基本ACL和高级ACL.topo
11-10
该实验能够让你简单的理解基本ACL和高级ACL的基础。ACL是一种应用非常广泛的网络技术。ACL技术总是与防火墙、路由策略、流量过滤、QoS等其它技术结合使用。
2.1: 基本权限和归属 、 附加权限 、 ACL策略管理.docx
03-04
四、附加权限和ACL策略管理 除了基本的rwx权限外,Linux还提供了额外的权限,如setuid、setgid和sticky bit。setuid允许普通用户以文件所有者的权限运行程序,setgid使得执行文件时继承目录的组权限,sticky bit在...
上网行为管理技术ACL详解.doc
08-24
ACL的规则可以分为数字型ACL和命名型ACL,数字型ACL按照创建ACL时的编号来标识,命名型ACL按照创建ACL时的名称来标识。 ACL的规则匹配报文到达设备时,查找引擎从报文中取出信息组成查找键值,键值与ACL中的规则...
nodejs acl的用户权限管理详解
10-18
主要介绍了nodejs acl的用户权限管理详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ACL管理与配置(ACL规则编号、通配符、ACL的分类)】(上)-20211214
AZK707的博客
01-29 4735
目录 一、ACL(访问控制列表)技术背景 ACL可以对报文进行精确的匹配识别,仅仅匹配IP流量 二、ACL(访问控制列表) 1.ACL概述 2.ACL的组成 ACL默认隐含的规则:匹配不上的规则,就拒绝 3. 规则编号 ACL逐条匹配,匹配之后,不会继续看下面的规则 所以为了方便以后的添加,ACL的编号缺省步长为5 4.通配符 与0相对应的比特位要一致才能匹配上 5.ACL的分类与标识 1)基于ACL规则定义 2)基于ACL标识 课后习题(通配符) 1)10.1....
ACL管理与配置(ACL匹配机制、ACL应用匹配位置、基本配置)】(下)-20211214
AZK707的博客
01-29 2189
一、基本ACL&高级ACL 1.基本ACL 只能根据源ip进行匹配 配置rule时不写编号,会自动补上,从rule 5开始,步长为5 2.高级ACL 可以根据协议、源ip、目的ip、端口号进行匹配 二、ACL的匹配机制 如果ACL匹配接口为不匹配,查看路由表,是否能转发改路由。 acl用来匹配流量默认规则是允许,用来匹配路由默认是拒绝 三、ACL匹配位置 1.在入方向的接口或者出方向的接口上配置 1) inbound的优势:先看ACL,再查路由。...
linuxacl管理详解
Joah_li的博客
07-29 850
目录:1、ACL简介; 2、CentOS7 与之前版本的区别; 3、管理acl工具的介绍 4、注意事项 1、简介: 访问控制表(Access Control List,ACL),又称存取控制串列,是使用以访问控制矩阵为基础的访问控制方法,每一个对象对应一个串列主体[1]。访问控制表描述每一个对象各自的访问控制,并记录可对此对象进行访问的所有主体对对象的权限。 主要功能:为了更好的管理
ACL策略
五彩斑斓的黑@的博客
06-07 2508
高级acl命令:rule deny icmp soure 192.168.10.1 0 destination 192.168.0.20 0(这里的意思为拒绝192.168.10.1的所有网段访问目的ip 192.168.0.20 其中icmp即通过网际控制协议来达到控制访问的目的)3000~3999 高级acl 可以匹配源ip、目标ip以及源端口和目的端口号、以及三层和四层的相关协议(例:icmp udp tcp)根据通配符规则:0表示匹配(即不变的) 1表示随机分配(即有变化的)
ACL访问控制
weixin_42753043的博客
04-21 5836
ACL (仅作为个人笔记,如有雷同,请联系删除。。) 访问控制列表(ACL):是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的
一文搞懂redis的用户权限管理ACL)功能
最新发布
cj_eryue的博客
06-26 6765
Redis在6.0之前基本没有用户权限的概念,只有一个连接认证密码,一旦通过了认证就可以随意操作任意的redis数据,无法对用户权限进行精确控制,很容易因为用户权限过大引发误操作。如果想禁用某些不安全的命令,比如flushdb,flushall,只能通过rename-command的方式来避免。redis6.0发布了权限管理功能ACL(access control list 访问控制列表),可以对不同的用户设置不同的权限,限制用户可使用的命令,可访问的key等。
ACL配置与管理——2
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
09-25 7466
基于ACL的简化流策略 ACL只有在具体位置或功能上得到应用后才会生效。ACL可以在交换机全局、VLAN或具体接口上应用,但在华为S系列交换机中不是直接应用,是通过一种称之为“基于ACL的简化流策略”来进行的。如可把ACL应用于简化流策略中的多种流行为应用中,如报文过滤、流量监管、流量镜像、流量重定向、报文重标记等。 一、基于ACL的简化流策略概述 “基于ACL的简化流策略”是指通过将报文信
LinuxACL权限设置
陈靖宇的博客(个人站:https://chenjingyu.cn)
05-30 8697
ACL权限设置 简介 ACL的功能是应对复杂用户环境的权限问题。 系统是否支持ACL是与文件系统有关的,在CentOS7之前的系统版本中用户自己手动创建的分区默认是不支持ACL的,而在装系统的时候已存在的分区是支持的。 用法 setfacl -m u:user:rwx file|directory [root@centos7 app]# ll a -rw-r
mysql权限相关
qq_43751336的博客
10-02 231
mysql权限相关查看mysql所有用户信息删除用户查看权限修改权限刷新权限 出现的问题: SELECT command denied to user ''@'localhost' for table 'account' 查看mysql所有用户信息 select * from user; //查看mysql所有用户信息 其中 :;1表示为ipv6,即ipv4的127.0.0.1 如果Host=%,表示所有IP都有连接MySQL权限。可以参考以下链接 https://blog.csdn.net/z69
ACL功能的实现
热门推荐
wangzhen_csdn的博客
11-05 1万+
ACL:看控制访问列表(Access Control List) 控制指定的用户能否通过指定的接口访问本机的服务(http、https、ftp、ssh、telnet),举个例子:没开启ACL功能前,任意用户都能在外网通过wan连接的ip或者内网通过lan口的ip访问设备的web页面,开启ACL功能,添加规则,填写范围A-B,接口选择为wan,勾选http和https,这样就只有外网IP地址在A-...
"CentOS7虚拟机的基本权限和归属,ACL策略管理
除了基本权限和归属关系,我们还可以使用ACL(Access Control List)策略来进一步管理文件和目录的权限。ACL是一种更细粒度的权限控制方式,可以给予特定用户或组特定的权限。使用ACL管理权限可以使我们更加灵活地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值