筆記整理:權限管理3-ACL

m20-吳清玲 ? ? Linux干貨

ACL

訪問控制列表,并不是所有的Linux文件系統,都支持ACL。FAT文件系統也不支持ACL

筆記整理:權限管理3-ACL

 

ACL文件系統中,不支持chmod等命令。同時不能更改文件權限。不存在文件權限。

問題提出

筆記整理:權限管理3-ACL

只讓wang用戶,對該文件不能夠訪問,同時不影響其他任何用戶對該文件的操作。

 

ACL特點

針對單一用戶或群組,單一文件或目錄,進行rwx權限設置

默認屬性(mask):設置在目錄下新建文件/目錄時設置新數據的默認權限。

查看設備是否支持ACL

啟動ACL

查看是否支持ACL

1:使用mount命令查看

筆記整理:權限管理3-ACL 

括號中不包含acl,所以列出的設備中,目前不支持acl

2:使用dumpe2fs ,由superblock來查看是否支持acl

筆記整理:權限管理3-ACL 

開啟ACL

方法1

筆記整理:權限管理3-ACL 

方法2

直接修改文件/etc/fstab,在文件尾部加入:

筆記整理:權限管理3-ACL 

設置&查看ACL

ACL的設置和查看,主要都通過命令getaclsetacl

命令setacl

設置后,權限部分為-rwxrwxrwx+,最后一位為加號,就是有acl設置的。

普通格式:

setfacl   [-bkRd]   [{-m | -x} acl參數]   目標文件名
setfacl  --set  完整ugo權限+acl參數  filename  // 重置文件權限

選項說明:

-m 設置后續的acl給文件使用,不可與-x連用
-x 刪除后續的acl

筆記整理:權限管理3-ACL

-k 刪除默認的acl參數
-R 遞歸設置acl參數
-d 設置默認acl參數,只對目錄有效,新建數據會引用此默認值,舊的數據不會改變原來的權限

ACL參數格式

針對用戶的:

u:[用戶賬號列表]:[rwx]

針對組的:

g:[用戶組列表]:[rwx]

迭代修改目錄中:

setfacl -Rm g:sale


s:rwX directory

//X是保留原來的x權限狀態

根據某文件的acl情況,更改另一文件的acl情況

setfacl -M  file1.acl  file2.acl | dir

 

筆記整理:權限管理3-ACL

命令getacl

查看acl

語法格式:

getacl   filename

getaclsetacl實例

1getacl實例

筆記整理:權限管理3-ACL

2:刪除文件f1上的acl權限

筆記整理:權限管理3-ACL

3:清空f1文件上的所有權限:

筆記整理:權限管理3-ACL

4:批量添加acl權限

1:新建文件acl1

2:將以下內容寫入:

u:wang:0

u:wangcai:rw

g:it:w

3:執行

筆記整理:權限管理3-ACL

5:批量刪除某兩個用戶的權限:

1:新建文件acl2

2:在acl2中寫入下面內容:

u:wang

u:wangcai

3:執行:

筆記整理:權限管理3-ACL

6:復制file1的acl權限給file2

getfacl file1 | setfacl –set-file=- file2

筆記整理:權限管理3-ACL 

筆記整理:權限管理3-ACL 

7對目錄設置默認acl權限

新的文件會有,舊的文件并不改變

筆記整理:權限管理3-ACL

-d選項是設在directory上的,但是文件夾本身沒有acl,只是對文件夾內新的文件有影響:

 

 

筆記整理:權限管理3-ACL 

mask in acl

說明:

  • mask的意義:安全邊界

  • mask是一條高壓線,除了owner和other,其他用戶都將受影響

  • mask需要與用戶或組的權限進行邏輯運算后,才能變成有效權限

  • 開啟了文件的acl權限之后,設置組的權限,就是在設置mask的權限

筆記整理:權限管理3-ACL

解析:上圖中,mask的權限為–x,那么user:wang:rwx中,只有x是有效的,rw都是無效的,所以有效權限(effective:–x),group::r–中,r是無效的,但是因為group也沒有x的權限,所以x也是無效的。

  • 一般的操作,如cp(需要加-p)和mv,都會保留acl權限,但是tar不會,具體見實例3:備份

設置

用setfacl -m m::rw f1來修改mask

setfacl -m mask::rw f1

 

實例1

筆記整理:權限管理3-ACL

筆記整理:權限管理3-ACL

筆記整理:權限管理3-ACL

這個實例中,當添加acl權限后,文件f1的所屬組權限,已經不是原來的那個權限了,而是mask的權限

 

實例2

筆記整理:權限管理3-ACL

實例3:備份

使用tar等常見的備份工具是不會保留目錄和文件的acl信息的。

那么如何在tar的同時保留acl信息呢?

需要在備份的同時,單獨備份acl信息。

1. 打包tar文件后

2. 備份acl權限:getfacl -R wu > acl.txt

3. 恢復tar文件后

4. 恢復acl權限:

setfacl -R -b wu

setfacl -R –set-file=acl.txt wu

筆記整理:權限管理3-ACL筆記整理:權限管理3-ACL 

 

上圖中,第一條是在打包tar的時候用來備份acl權限的

后面三條是在恢復時用的

 

原創文章,作者:m20-吳清玲,如若轉載,請注明出處:http://www.www58058.com/29165

(0)
m20-吳清玲m20-吳清玲
上一篇 2016-08-05 10:18
下一篇 2016-08-05 12:59

相關推薦

  • HSRP vs VRRP

    HSRP:(Hot Standby Router Protocol)-熱備份路由協議 是cisco平臺一種特有的技術,是cisco的私有協議。 VRRP:(Virtual Router Redundancy Protocol)-虛擬路由冗余協議 是國際標準,由IETF提出的解決局域網中配置靜態網關出現單點失效現象的路由協議。 ----------------…

    Linux干貨 2016-10-19

  • HTTP詳解(2)-請求、響應、緩存

    1. HTTP請求格式              做過Socket編程的人都知道,當我們設計一個通信協議時,“消息頭/消息體”的分割方式是很常用的,消息頭告訴對方這個消息是干什么的,消息體告訴對方怎么干。HTTP協議傳輸的消息也是這樣規定的…

    Linux干貨 2015-04-04

  • 網絡管理

    常見的網絡物理組件:路由器、交換機、PC機 網絡的特性:速度、成本、安全性、可用性、可擴展性、可靠性、拓撲 拓撲結構:           物理拓撲:總線拓撲               &…

    Linux干貨 2017-05-09

  • 通過虛擬機制作RAID5

    制作RAID5的過程,包括制作RAID5的制作,增加和刪除RAID

    2017-12-10

  • 我的博客地址

    Linux干貨 2017-01-22

  • 信息論的熵

    1.  前言    熵的概念最早起源于物理學,用于度量一個熱力學系統的無序程度。    在信息論里則叫信息量,即熵是對不確定性的度量。從控制論的角度來看,應叫不確定性。信息論的創始人香農在其著作《通信的數學理論》中提出了建立在概率統計模型上的信息度量。他把信息定義為“用來消除不確定性的東西”。在信息世界,熵越…

    Linux干貨 2016-03-27

評論列表(1條)

  • m20-吳清玲
    m20-吳清玲 2016-08-12 15:48

    默認ACL權限給了x,文件也不會繼承x權限

欧美性久久久久