ITPub博客

首页 > Linux操作系统 > Linux操作系统 > Linux系统ACL权限设置之setfacl和getfacl

Linux系统ACL权限设置之setfacl和getfacl

原创 Linux操作系统 作者:lhrbest 时间:2019-08-20 10:29:01 0 删除 编辑


Linux系统ACL权限设置之setfacl和getfacl


若/u01/app目录权限被误操作,那么在Linux环境中还可以通过getfacl和setfacl来进行操作:
① getfacl -pR /u01/app  > /tmp/bk_lhr_perm_u01_rac1.txt
③ setfacl --restore=/tmp/bk_lhr_perm_u01_rac1.txt


一、setfacl——设定文件访问控制列表

语法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...

  -m, --modify=acl 更改文件的访问控制列表

  -M, --modify-file=file 从文件读取访问控制列表条目更改

  -x, --remove=acl 根据文件中访问控制列表移除条目

  -X, --remove-file=file 从文件读取访问控制列表条目并删除

  -b, --remove-all 删除所有扩展访问控制列表条目

  -k, --remove-default 移除默认访问控制列表

      --set=acl 设定替换当前的文件访问控制列表

      --set-file=file 从文件中读取访问控制列表条目设定

      --mask 重新计算有效权限掩码

  -n, --no-mask 不重新计算有效权限掩码

  -d, --default 应用到默认访问控制列表的操作

  -R, --recursive 递归操作子目录

  -L, --logical 依照系统逻辑,跟随符号链接

  -P, --physical 依照自然逻辑,不跟随符号链接

      --restore=file 恢复访问控制列表,和“getfacl -R”作用相反

      --test 测试模式,并不真正修改访问控制列表属性

  -v, --version           显示版本并退出

  -h, --help              显示本帮助信息

二、getfacl ——获取文件访问控制列表

使用方法: getfacl  [-aceEsRLPtpndvh]  文件 ...

  -a,  --access           仅显示文件访问控制列表

  -d, --default           仅显示默认的访问控制列表

  -c, --omit-header     不显示注释表头

  -e, --all-effective     显示所有的有效权限

  -E, --no-effective      显示无效权限

  -s, --skip-base         跳过只有基条目(base entries)的文件

  -R, --recursive         递归显示子目录

  -L, --logical           逻辑遍历(跟随符号链接)

  -P, --physical          物理遍历(不跟随符号链接)

  -t, --tabular           使用制表符分隔的输出格式

  -n, --numeric           显示数字的用户/组标识

  -p, --absolute-names    不去除路径前的 '/' 符号

  -v, --version           显示版本并退出

  -h, --help              显示本帮助信息

对于Access ACL,也就是对文件而言的例子


1)例子

首先创建个521M的文件


[root@centos7 test]# dd if=/dev/zero of=/test/file bs=521M count=1

记录了1+0 的读入

记录了1+0 的写出

546308096字节(546 MB)已复制,120.211 秒,4.5 MB/秒

You have new mail in /var/spool/mail/root

[root@centos7 test]# 

查看file(没有额外属性)

[root@centos2 test]# getfacl file 

# file: file

# owner: root

# group: root

user::rw-

group::r--

other::r--

 

让zhangsan用户对file拥有rw权

[root@centos2 ~]# setfacl -m u:zhangsan:rw- /test/file 

[root@centos2 ~]# cd /test/

[root@centos2 test]# ll

总用量 533512

-rw-rw-r--+ 1 root root 546308096 9月  14 22:53 file

注:在文件permission的最后多了一个+号,当任何一个文件拥有了ACL_USER或者ACL_GROUP的值以后我们就可以称它为ACL文件,这个+号就是用来提示我们的。

 

[root@centos2 test]# getfacl --omit-header file 

user::rw-

user:zhangsan:rw-    #可以看到zhangsan用户在ACL里面已经拥有了对文件的读写权。

group::r--

mask::rw-

other::r--

 

让财务组有file的r权限


[root@centos2 test]# setfacl -m g:caiwu:r-- file 

[root@centos2 test]# getfacl file 

# file: file

# owner: root

# group: root

user::rw-

user:zhangsan:rw-

group::r--

group:caiwu:r--  #财务部里的成员都有了r权限

mask::rw-

other::r--

这里需要重点讲一下ACL_MASK,因为这是掌握ACL的另一个关键,在Linux file permission里面大家都知道比如对于rw-rw-r--来说, 当中的那个rw-是指文件组的permission. 但是在ACL里面这种情况只是在ACL_MASK不存在的情况下成立。如果文件有ACL_MASK值,那么当中那个rw-代表的就是mask值而不再是group permission了。

2)例子


查看 file2.sh 文件


[root@centos2 test]# ls -lh file2.sh

-rwxrw-r--. 1 root caiwu 0 9月  15 00:10 file2.sh

[root@centos2 test]# 

让用户zhang也对file2.sh具有和root一样的permission。

[root@centos2 test]# setfacl -m user:zhang:rwx file2.sh

[root@centos2 test]# getfacl --omit-header file2.sh

user::rwx

user:root:rwx

group::rw-

mask::rwx

other::r--

[root@centos2 test]# 

这里我们看到zhang已经拥有了rwx的permission,mask值也被设定为rwx,那是因为它规定了ACL_USER,ACL_GROUP和ACL_GROUP_OBJ的最大值,现在我们再来看file2的Linux permission,它已经变成了:

[root@centos2 test]# ls -lh file2.sh

-rwxrwxr--+ 1 root caiwu 0 9月  15 00:10 file2.sh

[root@centos2 test]# 

那么如果现在zhang组的用户想要执行file2.sh的程序会发生什么情况呢?它会被permission deny。原因在于实际上caiwu组的用户只有read and write permission,这里当中显示的rwx是ACL_MASK的值而不是group的permission。

所以从这里我们就可以知道,如果一个文件后面有+标记,我们都需要用getfacl来确认它的permission,以免发生混淆。

下面我们再来继续看一个例子,假如现在我们设置file2.sh的mask为read only,那么caiwu组的用户还会有write permission吗?


[root@centos2 test]# setfacl -m mask::r-- file2.sh

[root@centos2 test]# getfacl file2.sh

# file: file2

# owner: root

# group: caiwu

user::rwx

user:root:rwx #effective:r--

group::rw- #effective:r--

mask::r--

other::r--

 

[root@centos2 test]# 

这时候我们可以看到ACL_USER和ACL_GROUP_OBJ旁边多了个#effective:r--,这是什么意思呢?让我们再来回顾一下ACL_MASK的定义。它规定了ACL_USER,ACL_GROUP_OBJ和ACL_GROUP的最大权限。那么在我们这个例子中他们的最大权限也就是read only。虽然我们这里给ACL_USER和ACL_GROUP_OBJ设置了其他权限,但是他们真正有效果的只有read权限。

这时我们再来查看file.sh的Linux file permission时它的group permission也会显示其mask的值(r--)


[root@centos2 test]# ls -lh file2.sh

-rwxr--r--+ 1 root caiwu 0 9月  15 00:10 file2.sh

[root@centos2 test]# 

Default ACL

Default ACL是指对于一个目录进行Default ACL设置,并且在此目录下建立的文件都将继承此目录的ACL。


1)例子


在root用户建立了一个testdir目录;希望所有在此目录下建立的文件都可以被ming用户所访问,那么我们就应该对testdir目录设置Default ACL。


[root@centos2 /]# setfacl -d -m user:ming:rw testdir/

[root@centos2 /]# getfacl testdir/

# file: testdir/

# owner: root

# group: root

user::rwx

group::r-x

other::r-x

default:user::rwx

default:user:ming:rw-

default:group::r-x

default:mask::rwx

default:other::r-x

注:这里我们可以看到ACL定义了default选项,ming用户拥有了default的read, write, excute/search permission。所有没有定义的default都将从file permission里copy过来;

在root用户在testdir目录下建立一个test.txt文件。


[root@centos2 /]# touch /testdir/test.txt

[root@centos2 /]# ls -l /testdir/test.txt

-rw-rw-r--+ 1 root root 0 9月  15 00:48 /testdir/test.txt

[root@centos2 /]# getfacl --omit-header /testdir/test.txt 

user::rw-

user:ming:rw-

group::r-x #effective:r--

mask::rw-

other::r--

注:我们看到在testdir下建立的文件ming用户自动就有了read and write permission

 


注:这里还有一个chacl是用来改变文件和目录的Access ACL and Default ACL,它的具体参数大家可以去看man page。我只想提及一下chacl -B。它可以彻底删除文件或者目录的ACL属性(包括Default ACL),比如你即使用了setfacl -x删除了所有文件的ACL属性,那个+号还是会出现在文件的末尾,所以正确的删除方法应该是用chacl -B用cp来复制文件的时候我们现在可以加上-p选项。

这样在拷贝文件的时候也将拷贝文件的ACL属性,对于不能拷贝的ACL属性将给出警告。

mv命令将会默认地移动文件的ACL属性,同样如果操作不允许的情况下会给出警告。  


需要注意的几点 如果你的文件系统不支持ACL的话,你也许需要重新mount你的file system:mount -o remount, acl [mount point] 如果用chmod命令改变Linux file perm

 ission的时候相应的ACL值也会改变,反之改变ACL的值,相应的file permission也会改变。


 

参考:  https://www.cnblogs.com/baichuanhuihai/p/7931865.html






About Me

........................................................................................................................

● 本文作者:小麦苗,部分内容整理自网络,若有侵权请联系小麦苗删除

● 本文在itpub、博客园、CSDN和个人微 信公众号( xiaomaimiaolhr)上有同步更新

● 本文itpub地址: http://blog.itpub.net/26736162

● 本文博客园地址: http://www.cnblogs.com/lhrbest

● 本文CSDN地址: https://blog.csdn.net/lihuarongaini

● 本文pdf版、个人简介及小麦苗云盘地址: http://blog.itpub.net/26736162/viewspace-1624453/

● 数据库笔试面试题库及解答: http://blog.itpub.net/26736162/viewspace-2134706/

● DBA宝典今日头条号地址: http://www.toutiao.com/c/user/6401772890/#mid=1564638659405826

........................................................................................................................

● QQ群号: 230161599(满) 、618766405

● 微 信群:可加我微 信,我拉大家进群,非诚勿扰

● 联系我请加QQ好友 646634621 ,注明添加缘由

● 于 2019-08-01 06:00 ~ 2019-08-31 24:00 在西安完成

● 最新修改时间:2019-08-01 06:00 ~ 2019-08-31 24:00

● 文章内容来源于小麦苗的学习笔记,部分整理自网络,若有侵权或不当之处还请谅解

● 版权所有,欢迎分享本文,转载请保留出处

........................................................................................................................

小麦苗的微店https://weidian.com/s/793741433?wfr=c&ifr=shopdetail

小麦苗出版的数据库类丛书http://blog.itpub.net/26736162/viewspace-2142121/

小麦苗OCP、OCM、高可用网络班http://blog.itpub.net/26736162/viewspace-2148098/

小麦苗腾讯课堂主页https://lhr.ke.qq.com/

........................................................................................................................

使用 微 信客户端扫描下面的二维码来关注小麦苗的微 信公众号( xiaomaimiaolhr)及QQ群(DBA宝典)、添加小麦苗微 信, 学习最实用的数据库技术。

........................................................................................................................

欢迎与我联系

 

 



来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/26736162/viewspace-2654228/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论
QQ:646634621| 网名:小麦苗| 微信公众号:xiaomaimiaolhr| 11g OCM| QQ群:618766405 微信群:私聊| 《数据库笔试面试宝典》作者| OCP、OCM、高可用(RAC+DG+OGG)网络班开讲啦,有需要的小伙伴可以私聊我。

注册时间:2012-09-23

  • 博文量
    1348
  • 访问量
    8077787