ACL(access control list)權(quán)限控制
一個(gè)文件有所屬者����,所屬組,其他人三種關(guān)系�����,且這三種關(guān)系不可以更改�����,但是如果又來一個(gè)用戶要求要對(duì)該文件有r-x權(quán)限且不能更改其他用戶的權(quán)限關(guān)系�����,那么這三種權(quán)限關(guān)系就不夠使用了����,所以這個(gè)時(shí)候需要用到ACL權(quán)限��,為這個(gè)用戶單獨(dú)分配r-x權(quán)限�,這樣既不會(huì)破壞其他用戶對(duì)這個(gè)文件的權(quán)限關(guān)系�����,又不會(huì)使這個(gè)用戶沒有這個(gè)操作文件權(quán)限的關(guān)系����。
CentOS7 默認(rèn)創(chuàng)建的xfs和ext4文件系統(tǒng)具有ACL功能 CentOS7 之前版本��,默認(rèn)手工創(chuàng)建的ext4文件系統(tǒng)無ACL功能,需手動(dòng)增加
#查看是否有ACL功能
#dumpe2fs命令是查詢指定分區(qū)詳細(xì)文件系統(tǒng)信息的命令
#-h僅顯示超級(jí)塊中信息����,而不顯示磁塊組的詳細(xì)信息
dumpe2fs -h /dev/sdb1
#添加ACL功能
tune2fs –o acl /dev/sdb1
mount –o acl /dev/sdb1 /mnt/test
#或者
vi /etc/fstab
#在default后面加入acl
ACL相關(guān)命令
查看ACL命令
getfacl filename
設(shè)置ACL權(quán)限
setfacl命令
格式:setfacl 選項(xiàng) acl參數(shù) 目標(biāo)文件或目錄
-m 設(shè)置后續(xù)的acl參數(shù),不可與-x一起使用
-x 刪除后續(xù)的acl參數(shù)��,不可與-m一起使用
-b 刪除所有的acl參數(shù)
-k 刪除默認(rèn)的acl參數(shù)
-R 遞歸設(shè)置acl參數(shù)
-d 設(shè)置默認(rèn)acl參數(shù)��,只對(duì)目錄有效
ACL參數(shù)
u:用戶名:權(quán)限 給某個(gè)用戶設(shè)定權(quán)限����,若不添加用戶名,默認(rèn)修改屬主權(quán)限
g:組名:權(quán)限 給某個(gè)組設(shè)定權(quán)限�����,若不添加組名,默認(rèn)修改屬組權(quán)限
m:權(quán)限 更改權(quán)限掩碼
范例:
# 創(chuàng)建目錄并設(shè)置權(quán)限
mkdir -p /tmp/test
chmod 640 /tmp/test
# 創(chuàng)建用戶AAA���、BBB 創(chuàng)建組testg并加入
useradd AAA
useradd BBB
groupadd testg
gpasswd -a AAA testg
gpasswd -a BBB testg
# 設(shè)置acl權(quán)限
setfacl -m u:AAA:rx test
# 現(xiàn)在AAA可訪問
# 設(shè)置acl權(quán)限
setfacl -m g:testg:rx test
# 現(xiàn)在BBB也可訪問
最大有效權(quán)限mask
mask是用來指定最大有效權(quán)限的�。mask只影響除所有者和other的之外的人和組的最大權(quán)限�����。如果我給用戶賦予了ACL權(quán)限�,如果我再設(shè)置mask權(quán)限這是需要和mask的權(quán)限相與才能得到用戶的真正的權(quán)限,把-當(dāng)做0���,通過調(diào)整mask權(quán)限來調(diào)整文件的權(quán)限�����,下面來調(diào)整一下最大用戶權(quán)限
setfacl -m u:AAA:rwx 1.txt
備份和還原ACL
主要的文件操作命令cp和mv都支持ACL�,只是cp命令需要加上-p 參數(shù)��。但是tar等常見的備份工具是不 會(huì)保留目錄和文件的ACL信息
#備份ACL
getfacl -R /tmp/dir > acl.txt
#消除ACL權(quán)限
setfacl -R -b /tmp/dir
#還原ACL權(quán)限
setfacl -R --set-file=acl.txt /tmp/dir
#還原ACL權(quán)限
setfacl --restore acl.txt
#查看ACL權(quán)限
getfacl -R /tmp/dir
