權限ACL

原創 ITlinuxP 2018-09-04 00:30

權限ACL Access Control List

  • ACL可以更加靈活的設置權限,除了文件的所有者,所屬組和其它人,可以對更多的用戶設置權限
  • CentOS7 默認創建的xfs 和ext4 文件系統具有ACL
  • CentOS7 之前版本,默認手工創建的ext4 文件系統無ACL功
    能, 需手動增加(後掛載的是沒有acl功能的,做系統掛載的是默認就有的)
  • tune2fs –o acl /dev/sdb1
  • mount –o acl /dev/sdb1 /mnt/test
  • tune2fs -l /dev/sdan(在centos6上可以查看分區詳細信息)
  • ACL生效順序:所有者-自定義用戶-自定義組-其他人,當匹配後不會在往下匹配後面的權限也是沒有用的

命令setfacl

  • 格式 setfacl [option] [u:username:rwx/g:group:rwx] [文件]
  • 選項
    • -m 是修改增加
    • -x 是刪除
    • -R 遞歸
    • -X 批量刪除用文本
    • -M 批量添加用文本
    • d d:u:username:rwx dir 在目錄下創建的文件默認都會有acl
    • –set 覆蓋原來的acl
    • -b 清除所有的acl

查看文件的acl權限內容 getfacl

  • 格式 getfacl file

備份和恢復acl

  • 主要的文件操作命令cp 和mv 都支持ACL ,只是cp 命令需要
    加上-p 參數。但是tar 等常見的備份工具是不會保留目錄
    和文件的ACL 信息
  • getfacl -R /tmp/dir1 > acl.txt
  • setfacl -R -b /tmp/dir1
  • setfacl -R –set-file=acl.txt /tmp/dir1
  • setfacl –restore acl.txt
  • getfacl -R /tmp/dir1

操作

  • 添加tom用戶對123.TXT文檔有rw權限
  • [root@centos6 app]# ll
    
total 4
    
-rw-r--r--. 1 root g1 68 Nov 18 11:13 123.txt
    
請注意權限後面有一個點
  • 現在我們開始把tom用戶有讀寫操作
  • [root@centos6 app]# setfacl -m u:tom:rw 123.txt
    
[root@centos6 app]# ll
    
total 8
    
-rw-rw-r--+ 1 root g1 68 Nov 18 11:13 123.txt
    
現在對比之前的詳細信息發現權限並沒有發生任何改變,但是後面的點變成了加號
  • 這種有加號的就代表這文件裏有ACL權限,用getacl命令查看文件
  • [root@centos6 app]# ll  
    
total 8  
    
rw-rw-r--+ 1 root g1 68 Nov 18 11:13 123.txt
  • [root@centos6 app]# getfacl 123.txt 
     
    
# file: 123.txt  
    
# owner: root  
    
# group: g1  
    
user::rw-  這是所有者的權限  
    
user:tom:rw- 這是我們剛剛添加tom權限   
    
group::r--  這是所屬組的權限 (這和原來的權限不一樣)   
    
mask::rw-    權限掩碼  
    
other::r-- 這是其他人權限
  • su tom切換到tom用戶看看能寫和讀嗎
  • [tom@centos6 app]$ cat 123.txt 
    
123  
    
[tom@centos6 app]$ echo 'hahahah' >> 123.txt
  • 說明我們增加權限成功了
  • 讓guo123用戶加入g1組
  • [root@centos6 app]# id guo123
    
uid=1209(guo123) gid=1209(guo123) groups=1209
    (guo123),1241(g1)
    
[root@centos6 app]# su guo123
    
[guo123@centos6 app]$ cat 123.txt 
    
123
    
123
    
123123123
    
[guo123@centos6 app]$ echo '123456' >> 123.txt
      
    
bash: 123.txt: Permission denied
  • 我們用ls -l 看看到是讀寫的,但是現在只有讀沒有寫的權限,說明用ls -l 看到到所屬組的權限不是準確的,但是在acl列表中group 是隻有r權限的說明所屬組是有group這個權限的控制的。
  • 用chmod 改所屬組就是改變mask 掩碼值

改所屬組權限

  • chmod g+rwx這是改mask值,並不是改group所屬組的權限
  • setfacl -m group::rw file
  • [root@centos6 app]# setfacl -m group::rw 123.txt
       [root@centos6 app]# getfacl 123.txt 
    
# file: 123.txt
    
# owner: root 
    
# group: g1  
    
user::rw-  
    
user:tom:rw-  
    
group::rw-  
    
mask::rw-  
    
other::  ---

在添加某個組有讀寫權限

  • setfacl -m g:groupname:rw /file 
  • [root@centos6 app]# setfacl -m g:xiaowang:rw /app/123.txt 
  • [root@centos6 app]# getfacl 123.txt 
    
# file: 123.txt
    
# owner: root
    
# group: g1
    
user::rw-
    
user:tom:rw-
    
group::rw-
    
group:xiaowang:rw-
    
mask::rw-
    
other::---
  • 組的權限是相加的如果一個用戶有多個組, 這幾個組都在acl有不同的權限,這個用戶的權限就是這幾個組的權限的累加之和。

mark 值詳解

  • 我們之前說用chmod 命令改所屬組的時候並不是改真正的所屬組而是改mark值。那現在改一下mask值不能讀寫
  • [root@centos6 app]# chmod g-r,g-w 123.txt 
    
[root@centos6 app]# ll
    
total 4
    
-rw-------+ 1 root g1 0 Nov 18 12:19 123.txt
    
[root@centos6 app]# getfacl 123.txt
      
    
# file: 123.txt
    
# owner: root
    
# group: g1
    
user::rw-
    
user:tom:rw-                    #effective:--- 有效的權限
    
group::rw-                      #effective:---
    
group:xiaowang:rw-              #effective:---
    
mask::---
    
other::---
  • 當mark值沒有權限的時候我們發現所屬組和加入acl中有權限的用戶和組,的後面都顯示#effective — 這樣的備註 說明mark的權限設定了所屬組和加入acl用戶和組的最高權限,如果mask中沒有的權限但是三個選項有就給去掉,他們三是不能超過mask的權限的。mark的權限對所有者和其它人不會管。

更改mask的權限

  • setfacl -m mask:rwx /file
  • chmod g+rwx /file

遞歸增加目錄acl屬性

  • setfacl -R -m u:username:rwx dir/

如何將文本中的ACL列表導入文件或者目錄中

  • setfacl -M acl.txt /file
  • setfacl -X acl.txt file 批量刪除
  • 注意acl.txt這個名字可以隨便起,但是裏面的內容一定是這種格式
  • u:username:rwx
  • g:groupname:rwx

如何設置在目錄裏創建的文件或者目錄都繼承父目錄的acl

  • setfacl -m d:u:uname:rwx /file/

如何刪除單個acl條目

  • setfacl -x u:name:rwx file

覆蓋原有的acl

  • –set 選項會把原有的ACL 項都刪除,用新的替代,需要注
    意的是一定要包含UGO 的設置,不能象-m 一樣只是添加
    ACL 就可以
  • setfacl –set u::rw,u:wang:rw,g::r,o::- file1

複製文件的acl權限給另一個文件添加

  • getfacl file1 | setfacl –set-file=- file2
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

CentOS 安裝 SVN1.7.7

CentOS默認的yum --install subversion ,安裝的是1.6版本 安裝1.7腳本爲: #!/bin/bash echo WANdisco Subversion Installer for Cen

dreamZhf 2020-07-08 12:36:10

linux CentOS7 mysql 源碼安裝和rpm安裝

今天是安裝linux mysql第三天,終於安裝成功了。 第一種方法,源碼安裝。 下載 cmake-2.8.10.2.tar.gz 和 mysql-5.6.4-m7.tar.gz 上傳到服務器解壓完成 1.在cmake-2.8.10.2這

weixin_38081382 2020-07-08 12:31:47

No more authentication methods to try,Permission denied (publickey)

簡言之就是ssh client更新了,不支持rsa的私鑰,導致無法登陸。ssh登陸服務器,出現類似下面的提示:debug3: authmethod_is_enabled publickey debug1: Next authenticati

the5fire 2023-11-21 09:53:05

linux有磁盤空間卻顯示不足 linux中inode使用率過高處理辦法 linux中inode使用率過高處理辦法

linux中inode使用率過高處理辦法 前幾天收到監控告警,說Inode節點空間不足,之前沒處理過這種問題,所以記錄一下處理過程,便於以後查閱。 Inode使用率高並不會影響系統正常運行和新文件的創建,但是當使用率達到100%的時候,

故宮博物院 2022-12-25 14:18:39

Unixbench:簡介及使用【轉】

轉自:https://www.cnblogs.com/chenshengkai/p/12761467.html 一、安裝 1.下載 https://github.com/kdlucas/byte-unixbench/archive

張昺華-sky 2022-06-30 14:35:50

linux下kill殺死進程的命令

常規篇: 首先,用ps查看進程,方法如下: $ ps -ef … smx 1822 1 0 11:38 ? 00:00:49 gnome-terminal smx 1823 1822 0 11:38 ? 00:00:00 gnome-p

K~hat 2020-11-10 13:34:45

基於tiny4412的Linux內核移植 -- 設備樹的展開【轉】

轉自:https://www.cnblogs.com/pengdonglin137/p/5248114.html 閱讀目錄(Content) 作者信息 平臺簡介 摘要 正文 一、根據設備樹創建device node鏈表 二、遍歷de

張昺華-sky 2020-10-22 13:20:25

增加FastDfs多文件存儲路徑

項目需要增加聊天會話功能,涉及到上傳語音圖片等信息。考慮新增一個目錄,所有相關文件存在一個相同的目錄中。因此需要對原項目增加一個存儲的路徑。以前的項目因爲只有一個路徑,且已經運行中。走了些彎路,僅此記錄操作過程。nginx version

pengdayong77 2020-07-08 12:37:23

supervisor管理redis,mysql進程

參考:https://blog.csdn.net/lihao21/article/details/77689790 查看supervisor的管理文件 查看redis的啓動文件 編寫supervisor的ini文件  [progra

pengdayong77 2020-07-08 12:37:23

linux下禁止用戶使用密碼方式登陸,而使用密鑰方式登陸

使用putty生成密鑰和登陸根據公鑰認證的原理(見後面說明),認證雙方任何一方都可製作該鑰匙對,並且只要認證方有被認證方的公鑰信息,即可匹配成功。這裏,我們先以Windows上的putty登陸Linux服務器爲例說明。所以,該密鑰對由pu

dreamZhf 2020-07-08 12:36:09

find的用法:find查找指定文件和文件夾,設置爲指定用戶和用戶組

find . -name js  查找當前文件夾內名稱完全是js的文件和文件夾 find . -name "*js*"  查找當前文件夾內名稱包含js的文件和文件夾 find . -type d -name "*js"  查找當前文件夾

sh2018 2020-07-08 12:35:54

centos創建應用快捷方式文件的語法

以下是在創建應用程序桌面快捷方式文件的內容要求: [Desktop Entry] 文件頭 Encoding 編碼格式 Name 應用名稱 Name[xx] 不同語言的應用名稱 Comment 描述 E

柘月十七 2020-07-08 12:33:16

關於IP地址與主機名映射的/etc/hosts文件配置

爲什麼要這樣做? 首先,在hadoop工作就像是一個社團幫派,master是老大,而slave1、slave2等就是master的小弟。但是,slave並沒有像我們那麼聰明一眼就能分辨出自己的老大,它們是以ip地址作爲辨別的。那麼

柘月十七 2020-07-08 12:33:16

阿里年薪破百架構師推薦:鳥哥的Linux私房菜,搭配面試題,真香

在Linux實操的過程中,你是否有過這些疑問: 如何提取日誌中含有關鍵字的指定行,上一行或上幾行? ln 做了符號鏈接,對符號鏈接進行權限修改,原文件是否會受到影響? Shell 腳本里有很多特殊符號,到底該怎麼用?網上流傳的

毛发旺盛的程序员 2020-07-08 12:27:30

臨時設置環境變量(python和Linux命令行)

python中設置環境變量(臨時) 使用os模塊 import os #當前存在的環境變量,可以在ipython中直接輸入下面這句查看keys In [3]: os.environ.keys() Out[3]: ['LC_NUM

lscelory 2020-07-08 12:24:41