ACL 是什么

ACL的全稱是 Access Control List (訪問(wèn)控制列表) ，一個(gè)針對(duì)文件/目錄的訪問(wèn)控制列表。它在UGO權(quán)限管理的基礎(chǔ)上為文件系統(tǒng)提供一個(gè)額外的、更靈活的權(quán)限管理機(jī)制。它被設(shè)計(jì)為UNIX文件權(quán)限管理的一個(gè)補(bǔ)充。

ACL允許你給任何的用戶或用戶組設(shè)置任何文件/目錄的訪問(wèn)權(quán)限。

ACL有什么用

既然是作為UGO權(quán)限管理的補(bǔ)充，ACL自然要有UGO辦不到或者很難辦到的本事，例如：

1.可以針對(duì)用戶來(lái)設(shè)置權(quán)限

2.可以針對(duì)用戶組來(lái)設(shè)置權(quán)限

3.子文件/目錄繼承父目錄的權(quán)限

檢查是否支持ACL

ACL需要Linux內(nèi)核和文件系統(tǒng)的配合才能工作，當(dāng)前我們能見到的大多數(shù)Linux發(fā)行版本默認(rèn)都是支持的。但最好還是能夠先檢查一下：

sudo tune2fs -l /dev/sda1 |grep “Default mount options:”
Default mount options:                 user_xattr    acl

我們能夠看到默認(rèn)情況下(Default mount options:)已經(jīng)加入 acl 支持了。

如何設(shè)置ACL

我們可以使用setfacl和getfacl命令來(lái)設(shè)置或觀察文件/目錄的acl權(quán)限。

setfacl

參數(shù)不多，直接列出來(lái)了：

setfacl [-bkRd] [{-m|-x} acl參數(shù)] 文件/目錄名
-m ：配置后面的 acl 參數(shù)給文件/目錄使用，不可與 -x 合用;
-x ：刪除后續(xù)的 acl 參數(shù)，不可與 -m 合用;
-b ：移除所有的 ACL 配置參數(shù);
-k ：移除默認(rèn)的 ACL 參數(shù);
-R ：遞歸配置 acl;
-d ：配置“默認(rèn) acl 參數(shù)”，只對(duì)目錄有效，在該目錄新建的數(shù)據(jù)會(huì)引用此默認(rèn)值;

getfacl

getfacl 文件/目錄名

實(shí)例

針對(duì)用戶來(lái)設(shè)置權(quán)限

先創(chuàng)建一個(gè)測(cè)試文件test，然后查看其默認(rèn)的權(quán)限：

touch test
ll test
-rw-r--r--  1 root root        0 May 28 09:04 test
getfacl test
# file: test
# owner: root
# group: root
user::rw-
group::r--
other::r—

給apache用戶設(shè)置讀寫執(zhí)行test文件的權(quán)限：

setfacl –m u:apache:rwx test

查看test文件屬性的變化：

ll test
-rw-rwxr--+ 1 root root 0 May 28 09:04 test

權(quán)限部分多個(gè)了 “+”, 并且與原來(lái)(644)也不一樣了。

查看ACL權(quán)限的變化：

getfacl test
...
user:apache:rwx
...
mask::rwx
...

和設(shè)置前相比多了user:apache:rwx和 mask::rwx，此時(shí)用戶apache已經(jīng)擁有了讀寫執(zhí)行test文件的權(quán)限。

針對(duì)用戶組來(lái)設(shè)置權(quán)限

和針對(duì)用戶的設(shè)置幾乎一樣，只是把小寫的u換成小寫的g就行了。

子文件/目錄繼承父目錄的權(quán)限

這是一個(gè)很棒的例子，它能讓我們創(chuàng)建的子文件或者子文件夾繼承父文件夾的權(quán)限設(shè)置！

mkdir mydir
ll -d mydir
drwxr-xr-x 2 root root 4096 May 28 09:35 mydir
setfacl –m d:u:apache:rwx mydir

注意參數(shù) d 在這里起到了決定性的作用。

查看下屬性的變化：

getfacl mydir
...
default:user::rwx
default:user:apache:rwx
default:group::r-x
default:mask::rwx
default:other::r-x

多了些 default開頭的項(xiàng)，在mydir下創(chuàng)建一個(gè)新文件試試：

touch mydir/abc
getfacl mydir/abc
...
user:apache:rwx                 #effective:rw-
group::r-x                      #effective:r--
mask::rw-
...

OK, 看上去還不賴，默認(rèn)情況下apache用戶是可以對(duì)這個(gè)文件進(jìn)行讀寫執(zhí)行操作的。

這里只是簡(jiǎn)介的介紹了ACL的概念和一些典型的用法，更多的使用方式請(qǐng)參考幫助文檔。

最新評(píng)論