【Linux】一步一步学Linux——setfacl命令(117)
00. 目錄
文章目錄
- 00. 目錄
- 01. 命令概述
- 02. 命令格式
- 03. 常用選項(xiàng)
- 04. ACL訪(fǎng)問(wèn)控制詳解
- 05. 參考示例
- 06. 附錄
01. 命令概述
setfacl的英文全稱(chēng)是“ set file access control list ”,即“設(shè)置文件訪(fǎng)問(wèn)控制列表”。改命令可以更精確的控制權(quán)限的分配,比如讓某一個(gè)用戶(hù)對(duì)某一個(gè)文件具有某種權(quán)限。
ACL指文件的所有者、所屬組、其他人的讀/寫(xiě)/執(zhí)行之外的特殊的權(quán)限, 對(duì)于需要特殊權(quán)限的使用狀況有一定幫助。 如某一個(gè)文件,不讓單一的某個(gè)用戶(hù)訪(fǎng)問(wèn)。
02. 命令格式
格式:setfacl [參數(shù)] [文件]03. 常用選項(xiàng)
-m, --modify=acl 更改文件的訪(fǎng)問(wèn)控制列表-M, --modify-file=file 從文件讀取訪(fǎng)問(wèn)控制列表?xiàng)l目更改-x, --remove=acl 根據(jù)文件中訪(fǎng)問(wèn)控制列表移除條目-X, --remove-file=file 從文件讀取訪(fǎng)問(wèn)控制列表?xiàng)l目并刪除-b, --remove-all 刪除所有擴(kuò)展訪(fǎng)問(wèn)控制列表?xiàng)l目-k, --remove-default 移除默認(rèn)訪(fǎng)問(wèn)控制列表--set=acl 設(shè)定替換當(dāng)前的文件訪(fǎng)問(wèn)控制列表--set-file=file 從文件中讀取訪(fǎng)問(wèn)控制列表?xiàng)l目設(shè)定--mask 重新計(jì)算有效權(quán)限掩碼-n, --no-mask 不重新計(jì)算有效權(quán)限掩碼-d, --default 應(yīng)用到默認(rèn)訪(fǎng)問(wèn)控制列表的操作-R, --recursive 遞歸操作子目錄-L, --logical 依照系統(tǒng)邏輯,跟隨符號(hào)鏈接-P, --physical 依照自然邏輯,不跟隨符號(hào)鏈接--restore=file 恢復(fù)訪(fǎng)問(wèn)控制列表,和“getfacl -R”作用相反--test 測(cè)試模式,并不真正修改訪(fǎng)問(wèn)控制列表屬性-v, --version 顯示版本并退出-h, --help 顯示本幫助信息- 選項(xiàng)-m和-x后邊跟以acl規(guī)則。多條acl規(guī)則以逗號(hào)(,)隔開(kāi)。選項(xiàng)-M和-X用來(lái)從文件或標(biāo)準(zhǔn)輸入讀取acl規(guī)則。
- 選項(xiàng)--set和--set-file用來(lái)設(shè)置文件或目錄的acl規(guī)則,先前的設(shè)定將被覆蓋。
- 選項(xiàng)-m(--modify)和-M(--modify-file)選項(xiàng)修改文件或目錄的acl規(guī)則。
- 選項(xiàng)-x(--remove)和-X(--remove-file)選項(xiàng)刪除acl規(guī)則。
當(dāng)使用-M,-X選項(xiàng)從文件中讀取規(guī)則時(shí),setfacl接受getfacl命令輸出的格式。每行至少一條規(guī)則,以#開(kāi)始的行將被視為注釋。
當(dāng)在不支持ACLs的文件系統(tǒng)上使用setfacl命令時(shí),setfacl將修改文件權(quán)限位。如果acl規(guī)則并不完全匹配文件權(quán)限位,setfacl將會(huì)修改文件權(quán)限位使其盡可能的反應(yīng)acl規(guī)則,并會(huì)向standard error發(fā)送錯(cuò)誤消息,以大于0的狀態(tài)返回。
04. ACL訪(fǎng)問(wèn)控制詳解
權(quán)限
文件的所有者以及有CAP_FOWNER的用戶(hù)進(jìn)程可以設(shè)置一個(gè)文件的acl。(在目前的linux系統(tǒng)上,root用戶(hù)是唯一有CAP_FOWNER能力的用戶(hù))
ACL規(guī)則
setfacl命令可以識(shí)別以下的規(guī)則格式:
[d[efault]:] [u[ser]:]uid [:perms] 指定用戶(hù)的權(quán)限,文件所有者的權(quán)限(如果uid沒(méi)有指定)。 [d[efault]:] g[roup]:gid [:perms] 指定群組的權(quán)限,文件所有群組的權(quán)限(如果gid未指定) [d[efault]:] m[ask][:] [:perms] 有效權(quán)限掩碼 [d[efault]:] o[ther] [:perms] 其他的權(quán)限恰當(dāng)?shù)腶cl規(guī)則被用在修改和設(shè)定的操作中,對(duì)于uid和gid,可以指定一個(gè)數(shù)字,也可指定一個(gè)名字。perms域是一個(gè)代表各種權(quán)限的字母的組合:讀-r寫(xiě)-w執(zhí)行-x,執(zhí)行只適合目錄和一些可執(zhí)行的文件。pers域也可設(shè)置為八進(jìn)制格式。
自動(dòng)創(chuàng)建的規(guī)則
最初的,文件目錄僅包含3個(gè)基本的acl規(guī)則。為了使規(guī)則能正常執(zhí)行,需要滿(mǎn)足以下規(guī)則。
- 3個(gè)基本規(guī)則不能被刪除。
- 任何一條包含指定的用戶(hù)名或群組名的規(guī)則必須包含有效的權(quán)限組合。
- 任何一條包含缺省規(guī)則的規(guī)則在使用時(shí),缺省規(guī)則必須存在。
ACL的名詞定義
先來(lái)看看在ACL里面每一個(gè)名詞的定義,這些名詞我大多從man page上摘下來(lái)雖然有些枯燥,但是對(duì)于理解下面的內(nèi)容還是很有幫助的。
ACL是由一系列的Access Entry所組成的,每一條Access Entry定義了特定的類(lèi)別可以對(duì)文件擁有的操作權(quán)限。Access Entry有三個(gè)組成部分:Entry tag type, qualifier (optional), permission。
我們先來(lái)看一下最重要的Entry tag type,它有以下幾個(gè)類(lèi)型:
ACL_USER_OBJ:相當(dāng)于Linux里file_owner的permission ACL_USER:定義了額外的用戶(hù)可以對(duì)此文件擁有的permission ACL_GROUP_OBJ:相當(dāng)于Linux里group的permission ACL_GROUP:定義了額外的組可以對(duì)此文件擁有的permission ACL_MASK:定義了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大權(quán)限 ACL_OTHER:相當(dāng)于Linux里other的permission下面我們就用getfacl命令來(lái)查看一個(gè)定義好了的ACL文件:
[root@localhost ~]# getfacl ./test.txt # file: test.txt # owner: root # group: admin user::rw- user:john:rw- group::rw- group:dev:r-- mask::rw- other::r--前面三個(gè)以#開(kāi)頭的定義了文件名,file owner和group。這些信息沒(méi)有太大的作用,接下來(lái)我們可以用--omit-header來(lái)省略掉。
user::rw- 定義了ACL_USER_OBJ, 說(shuō)明file owner擁有read and write permission user:john:rw- 定義了ACL_USER,這樣用戶(hù)john就擁有了對(duì)文件的讀寫(xiě)權(quán)限,實(shí)現(xiàn)了我們一開(kāi)始要達(dá)到的目的 group::rw- 定義了ACL_GROUP_OBJ,說(shuō)明文件的group擁有read and write permission group:dev:r-- 定義了ACL_GROUP,使得dev組擁有了對(duì)文件的read permission mask::rw- 定義了ACL_MASK的權(quán)限為read and write other::r-- 定義了ACL_OTHER的權(quán)限為read從這里我們就可以看出ACL提供了我們可以定義特定用戶(hù)和用戶(hù)組的功能。
如何設(shè)置ACL文件
首先我們還是要講一下設(shè)置ACL文件的格式,從上面的例子中我們可以看到每一個(gè)Access Entry都是由三個(gè)被:號(hào)分隔開(kāi)的字段所組成,第一個(gè)就是Entry tag type。
user 對(duì)應(yīng)了ACL_USER_OBJ和ACL_USER group 對(duì)應(yīng)了ACL_GROUP_OBJ和ACL_GROUP mask 對(duì)應(yīng)了ACL_MASK other 對(duì)應(yīng)了ACL_OTHER第二個(gè)字段稱(chēng)之為qualifier,也就是上面例子中的john和dev組,它定義了特定用戶(hù)和擁護(hù)組對(duì)于文件的權(quán)限。這里我們也可以發(fā)現(xiàn)只有user和group才有qualifier,其他的都為空。第三個(gè)字段就是我們熟悉的permission了。它和Linux的permission一樣定義,這里就不多講了。
下面我們就來(lái)看一下怎么設(shè)置test.txt這個(gè)文件的ACL讓它來(lái)達(dá)到我們上面的要求。
一開(kāi)始文件沒(méi)有ACL的額外屬性:
[root@localhost ~]# ls -l -rw-rw-r-- 1 root admin 0 Jul 3 22:06 test.txt[root@localhost ~]# getfacl --omit-header ./test.txt user::rw- group::rw- other::r--我們先讓用戶(hù)john擁有對(duì)test.txt文件的讀寫(xiě)權(quán)限
[root@localhost ~]# setfacl -m user:john:rw- ./test.txt [root@localhost ~]# getfacl --omit-header ./test.txt user::rw- user:john:rw- group::rw- mask::rw- other::r--這時(shí)我們就可以看到j(luò)ohn用戶(hù)在ACL里面已經(jīng)擁有了對(duì)文件的讀寫(xiě)權(quán)。這個(gè)時(shí)候如果我們查看一下linux的permission我們還會(huì)發(fā)現(xiàn)一個(gè)不一樣的地方。
[root@localhost ~]# ls -l ./test.txt -rw-rw-r--+ 1 root admin 0 Jul 3 22:06 ./test.txt在文件permission的最后多了一個(gè)+號(hào),當(dāng)任何一個(gè)文件擁有了ACL_USER或者ACL_GROUP的值以后我們就可以稱(chēng)它為ACL文件,這個(gè)+號(hào)就是用來(lái)提示我們的。我們還可以發(fā)現(xiàn)當(dāng)一個(gè)文件擁有了ACL_USER或者ACL_GROUP的值時(shí)ACL_MASK同時(shí)也會(huì)被定義。
接下來(lái)我們來(lái)設(shè)置dev組擁有read permission:
[root@localhost ~]# setfacl -m group:dev:r-- ./test.txt [root@localhost ~]# getfacl --omit-header ./test.txt user::rw- user:john:rw- group::rw- group:dev:r-- mask::rw- other::r--ACL_MASK和Effective permission
這里需要重點(diǎn)講一下ACL_MASK,因?yàn)檫@是掌握ACL的另一個(gè)關(guān)鍵,在Linux file permission里面大家都知道比如對(duì)于rw-rw-r--來(lái)說(shuō), 當(dāng)中的那個(gè)rw-是指文件組的permission. 但是在ACL里面這種情況只是在ACL_MASK不存在的情況下成立。如果文件有ACL_MASK值,那么當(dāng)中那個(gè)rw-代表的就是mask值而不再是group permission了。
讓我們來(lái)看下面這個(gè)例子:
[root@localhost ~]# ls -l -rwxrw-r-- 1 root admin 0 Jul 3 23:10 test.sh這里說(shuō)明test.sh文件只有file owner: root擁有read, write, execute/search permission。admin組只有read and write permission,現(xiàn)在我們想讓用戶(hù)john也對(duì)test.sh具有和root一樣的permission。
[root@localhost ~]# setfacl -m user:john:rwx ./test.sh [root@localhost ~]# getfacl --omit-header ./test.sh user::rwx user:john:rwx group::rw- mask::rwx other::r--這里我們看到j(luò)ohn已經(jīng)擁有了rwx的permission,mask值也被設(shè)定為rwx,那是因?yàn)樗?guī)定了ACL_USER,ACL_GROUP和ACL_GROUP_OBJ的最大值,現(xiàn)在我們?cè)賮?lái)看test.sh的Linux permission,它已經(jīng)變成了:
[root@localhost ~]# ls -l -rwxrwxr--+ 1 root admin 0 Jul 3 23:10 test.sh那么如果現(xiàn)在admin組的用戶(hù)想要執(zhí)行test.sh的程序會(huì)發(fā)生什么情況呢?它會(huì)被permission deny。原因在于實(shí)際上admin組的用戶(hù)只有read and write permission,這里當(dāng)中顯示的rwx是ACL_MASK的值而不是group的permission。
所以從這里我們就可以知道,如果一個(gè)文件后面有+標(biāo)記,我們都需要用getfacl來(lái)確認(rèn)它的permission,以免發(fā)生混淆。
下面我們?cè)賮?lái)繼續(xù)看一個(gè)例子,假如現(xiàn)在我們?cè)O(shè)置test.sh的mask為read only,那么admin組的用戶(hù)還會(huì)有write permission嗎?
[root@localhost ~]# setfacl -m mask::r-- ./test.sh [root@localhost ~]# getfacl --omit-header ./test.sh user::rwx user:john:rwx #effective:r-- group::rw- #effective:r-- mask::r-- other::r--這時(shí)候我們可以看到ACL_USER和ACL_GROUP_OBJ旁邊多了個(gè)#effective:r–,這是什么意思呢?讓我們?cè)賮?lái)回顧一下ACL_MASK的定義。它規(guī)定了ACL_USER,ACL_GROUP_OBJ和ACL_GROUP的最大權(quán)限。那么在我們這個(gè)例子中他們的最大權(quán)限也就是read only。雖然我們這里給ACL_USER和ACL_GROUP_OBJ設(shè)置了其他權(quán)限,但是他們真正有效果的只有read權(quán)限。
這時(shí)我們?cè)賮?lái)查看test.sh的Linux file permission時(shí)它的group permission也會(huì)顯示其mask的值(i.e. r–)
[root@localhost ~]# ls -l -rwxr--r--+ 1 root admin 0 Jul 3 23:10 test.shDefault ACL
上面我們所有講的都是Access ACL,也就是對(duì)文件而言。下面我簡(jiǎn)單講一下Default ACL。Default ACL是指對(duì)于一個(gè)目錄進(jìn)行Default ACL設(shè)置,并且在此目錄下建立的文件都將繼承此目錄的ACL。
同樣我們來(lái)做一個(gè)試驗(yàn)說(shuō)明,比如現(xiàn)在root用戶(hù)建立了一個(gè)dir目錄:
[root@localhost ~]# mkdir dir他希望所有在此目錄下建立的文件都可以被john用戶(hù)所訪(fǎng)問(wèn),那么我們就應(yīng)該對(duì)dir目錄設(shè)置Default ACL。
[root@localhost ~]# setfacl -d -m user:john:rw ./dir [root@localhost ~]# getfacl --omit-header ./dir user::rwx group::rwx other::r-x default:user::rwx default:user:john:rwx default:group::rwx default:mask::rwx default: other::r-x這里我們可以看到ACL定義了default選項(xiàng),john用戶(hù)擁有了default的read, write, excute/search permission。所有沒(méi)有定義的default都將從file permission里copy過(guò)來(lái),現(xiàn)在root用戶(hù)在dir下建立一個(gè)test.txt文件。
[root@localhost ~]# touch ./dir/test.txt [root@localhost ~]# ls -l ./dir/test.txt -rw-rw-r--+ 1 root root 0 Jul 3 23:46 ./dir/test.txt[root@localhost ~]# getfacl --omit-header ./dir/test.txt user::rw- user:john:rw- group::rwx #effective:rw- mask::rw- other::r--這里我們看到在dir下建立的文件john用戶(hù)自動(dòng)就有了read and write permission,
ACL相關(guān)命令
前面的例子中我們都注意到了getfacl命令是用來(lái)讀取文件的ACL,setfacl是用來(lái)設(shè)定文件的Acess ACL。這里還有一個(gè)chacl是用來(lái)改變文件和目錄的Access ACL and Default ACL,它的具體參數(shù)大家可以去看man page。我只想提及一下chacl -B。它可以徹底刪除文件或者目錄的ACL屬性(包括Default ACL),比如你即使用了setfacl -x刪除了所有文件的ACL屬性,那個(gè)+號(hào)還是會(huì)出現(xiàn)在文件的末尾,所以正確的刪除方法應(yīng)該是用chacl -B用cp來(lái)復(fù)制文件的時(shí)候我們現(xiàn)在可以加上-p選項(xiàng)。這樣在拷貝文件的時(shí)候也將拷貝文件的ACL屬性,對(duì)于不能拷貝的ACL屬性將給出警告。
mv命令將會(huì)默認(rèn)地移動(dòng)文件的ACL屬性,同樣如果操作不允許的情況下會(huì)給出警告。
需要注意的幾點(diǎn)
如果你的文件系統(tǒng)不支持ACL的話(huà),你也許需要重新mount你的file system:
mount -o remount, acl [mount point]如果用chmod命令改變Linux file permission的時(shí)候相應(yīng)的ACL值也會(huì)改變,反之改變ACL的值,相應(yīng)的file permission也會(huì)改變。
05. 參考示例
5.1 修改一個(gè)文件的acl權(quán)限,添加一個(gè)用戶(hù)權(quán)限
[root@itcast ~]# getfacl test # file: test # owner: deng # group: itcast # flags: -s- user::rwx user:deng:rw- group::r-x mask::rwx other::r-x[root@itcast ~]# setfacl -Rm u:deng:rw- test [root@itcast ~]# getfacl test # file: test # owner: deng # group: itcast # flags: -s- user::rwx user:deng:rw- group::r-x mask::rwx other::r-x[root@itcast ~]#5.2 清除一個(gè)目錄的ACL權(quán)限
[root@itcast ~]# setfacl -x u:deng test [root@itcast ~]# getfacl test # file: test # owner: deng # group: itcast # flags: -s- user::rwx group::r-x mask::r-x other::r-x[root@itcast ~]#5.3 修改一個(gè)文件的acl權(quán)限,添加一個(gè)用戶(hù)組
[root@itcast ~]# getfacl test # file: test # owner: deng # group: itcast # flags: -s- user::rwx group::r-x mask::r-x other::r-x[root@itcast ~]# setfacl -m g:tom:rw- test [root@itcast ~]# getfacl test # file: test # owner: deng # group: itcast # flags: -s- user::rwx group::r-x group:tom:rw- mask::rwx other::r-x[root@itcast ~]#5.4 清除一個(gè)目錄的ACL權(quán)限,組權(quán)限
[root@itcast ~]# setfacl -x g:itcast test [root@itcast ~]# getfacl test # file: test # owner: deng # group: itcast # flags: -s- user::rwx group::r-x group:tom:rw- mask::rwx other::r-x[root@itcast ~]#5.5 給tom用戶(hù)向test文件增加讀和執(zhí)行的acl規(guī)則
[root@itcast ~]# setfacl -m u:tom:r-x test [root@itcast ~]# getfacl test # file: test # owner: deng # group: itcast # flags: -s- user::rwx user:tom:r-x group::r-x group:tom:rw- mask::rwx other::r-x[root@itcast ~]#5.6 設(shè)置默認(rèn)用戶(hù),讀,寫(xiě),可執(zhí)行
[root@itcast ~]# setfacl -m u::rwx test [root@itcast ~]# getfacl test # file: test # owner: deng # group: itcast # flags: -s- user::rwx user:tom:r-x group::r-x group:tom:rw- mask::rwx other::r-x[root@itcast ~]#5.7 清除所有acl
[root@itcast ~]# setfacl -b test [root@itcast ~]# getfacl test # file: test # owner: deng # group: itcast # flags: -s- user::rwx group::r-x other::r-x[root@itcast ~]#5.8 給多個(gè)用戶(hù)添加讀和執(zhí)行權(quán)限
[root@itcast ~]# setfacl -m u:deng:rx test [root@itcast ~]# setfacl -m u:tom:rx test [root@itcast ~]# getfacl test # file: test # owner: deng # group: itcast # flags: -s- user::rwx user:deng:r-x user:tom:r-x group::r-x mask::r-x other::r-x[root@itcast ~]#5.9 清除deng用戶(hù),對(duì)test文件acl規(guī)則
[root@itcast ~]# setfacl -x u:deng test [root@itcast ~]# getfacl test # file: test # owner: deng # group: itcast # flags: -s- user::rwx user:tom:r-x group::r-x mask::r-x other::r-x[root@itcast ~]#5.10 默認(rèn)ACL權(quán)限
[root@itcast ~]# setfacl -m d:u:itcast:rwx test [root@itcast ~]# getfacl test # file: test # owner: deng # group: itcast # flags: -s- user::rwx user:tom:r-x group::r-x mask::r-x other::r-x default:user::rwx default:user:itcast:rwx default:group::r-x default:mask::rwx default:other::r-x[root@itcast ~]#一個(gè)目錄設(shè)置過(guò)遞歸ACL權(quán)限后,假如又添加了些新文件,那么這個(gè)默認(rèn)ACL權(quán)限就會(huì)把新添的文件全部繼承這個(gè)目錄的ACL權(quán)限
06. 附錄
參考:【Linux】一步一步學(xué)Linux系列教程匯總
參考:https://www.cnblogs.com/skydragon/p/7354555.html
總結(jié)
以上是生活随笔為你收集整理的【Linux】一步一步学Linux——setfacl命令(117)的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 【Linux】一步一步学Linux——l
- 下一篇: 【Linux】一步一步学Linux——g