Linux ACL權限規劃：getfacl,setfacl使用

ACL的使用

ACL即Access Control List 主要的目的是提供傳統的owner,group,others的read,write,execute權限之外的具體權限設置，ACL可以針對單一用戶、單一文件或目錄來進行r,w,x的權限控制，對於需要特殊權限的使用狀況有一定幫助。如，某一個文件，不讓單一的某個用戶訪問。

ACL使用兩個命令來對其進行控制
getfacl：取得某個文件/目錄的ACL設置項目
setfacl：設置某個文件/目錄的ACL設置項目

setfacl 參數
-m：設置後續acl參數
-x：刪除後續acl參數
-b：刪除全部的acl參數
-k：刪除默認的acl參數
-R：遞歸設置acl，包括子目錄
-d：設置默認acl

例：創建一文件test，將其權限修改為777，並查看其默認ACL權限配置
[root@ www.linuxidc.com ~]# touch /test
[root@ www.linuxidc.com ~]# chmod 777 /test
[root@ www.linuxidc.com ~]# getfacl /test //獲得文件的ACL權限
getfacl: Removing leading '/' from absolute path names
# file: test //文件名
# owner: root //文件所屬者
# group: root //文件所屬組
user::rwx //文件所屬者權限
group::rwx //同組用戶權限
other::rwx //其它者權限

[root@ www.linuxidc.com ~]#

可以看到其它者的權限也是可讀可寫可執行，可以自行測試，現在我們修改其ACL策略，使用用戶code只有讀取的權限
[root@ www.linuxidc.com ~]# setfacl -m u:code:r /test
[root@ www.linuxidc.com ~]# ll /test
-rwxrwxrwx+ 1 root root 1 Apr 11 07:25 /test //可以看到權限的最後多了一個”+”號
[root@ www.linuxidc.com ~]#
現在再次查看一下此文件的ACL屬性
[root@ www.linuxidc.com ~]# getfacl /test
getfacl: Removing leading '/' from absolute path names
# file: test
# owner: root
# group: root
user::rwx
user:code:r-- //可以看到code單獨的權限為r--
group::rwx
mask::rwx
other::rwx

[root@ www.linuxidc.com ~]#
注：code的權限並不是只根據ACL配置來決定的，它是由code用戶基本權限與配置的ACL權限的“與”運算決定的，即other:rwx 與 code:r-- = code:r--
現在使用code用戶，測試是否可寫
在寫文件時，會出現-- INSERT -- W10: Warning: Changing a readonly file提示。

除了對單個用戶進行設置外，還可以對用戶組、有效權限(mask)進行設置如對用戶組設置: g:[用戶組]:[rwx]
注：有效權限(mask) 即用戶或組所設置的權限必須要存在於mask的權限設置范圍內才會生效
如上面的/test文件，已經有了可讀權限，如果我們把它的有效權限修改為只有寫權限，則設置的acl權限不在有效權限之內，則用戶code就不可能再查看/test文件中的內容了
[root@ www.linuxidc.com ~]# setfacl -m m:w /test //設置有效權限為只寫
可以查看/test acl屬性
[root@ www.linuxidc.com ~]# getfacl /test
getfacl: Removing leading '/' from absolute path names
# file: test
# owner: root
# group: root
user::rwx
user:code:r-- #effective:---
group::rwx #effective:-w-
mask::-w- //可以看到有效權限已經修改成功
other::rwx

[root@ www.linuxidc.com ~]#

使用code用戶查看文件內容，首先使用root用戶寫入一些內容，會使測試更加直觀
[root@ www.linuxidc.com ~]# echo "this is a test getfacl " >/test
[code@ www.linuxidc.com ~]$ vim /test
"/test" [Permission Denied] //可以在最下面看到不允許訪問的提示，並且看不到任何內容

取消acl權限
[root@ www.linuxidc.com ~]# setfacl -x u:code /test //取消/test對用戶code的權限
[root@ www.linuxidc.com ~]# setfacl -x m /test //恢復有效權限
[root@ www.linuxidc.com ~]# getfacl /test
getfacl: Removing leading '/' from absolute path names
# file: test
# owner: root
# group: root
user::rwx
group::rwx
other::rwx

[root@ www.linuxidc.com ~]# ll /test
-rwxrwxrwx 1 root root 24 Apr 11 08:01 /test //已經可以正常使用
[root@ www.linuxidc.com ~]#

至於另外的一些參數，自己嘗試使用！！