天朝布衣田中码农参上

苦逼码农的点点滴滴，请多多指教！

日志

关于我

sinsunson

文章分类

LOFTER精选

八招诀窍，教你实力撩妹 >

网易考拉推荐

Linux利用facl访问控制列表精细化文件权限

2017-09-27 07:00:35| 分类：服务器 | 标签： |举报 |字号大中小订阅

下载LOFTER 我的照片书 |

Linux（和其他Unix等POSIX兼容的操作系统）有一种被称为访问控制列表(ACL)的权限控制方法，它是一种权限分配之外的普遍范式。例如，默认情况下只有3个权限组：owner、group和other。而使用ACL，利用文件扩展属性保存额外的访问控制权限，就可以增加权限给其他用户或组别，而不单只是简单用"other"来统一处理其它情况。这样就可以指定允许的用户拥有权限而不再是让他们整个组都拥有权限[权限可以控制得更严格]。

ACL支持多种Linux文件系统，包括ext2, ext3, ext4, XFS, Btfrs等。

要想知道文件系统是否开启acl权限控制请使用如下命令：

$ tune2fs -l /dev/sda1 | grep option

得到了回应中形如下则表示已经开启。

Default mount options: acl

开启acl支持可以使用如下命令：

#方法一：修改/etc/fstab中mount选项

$ mount -o remount,acl /dev/sda3 /mnt/acldev
$ vim /etc/fstab
/dev/sda3 /mnt/acldev ext4 defaults,acl 0 0

#方法二：使用tune2fs修改文件系统信息
$ tune2fs -o acl /dev/sda3 开启文件系统的acl选项
$ tune2fs -o ^acl /dev/sda3 取消文件系统的acl选项

基础ACL通过两条命令管理：setfacl用于增加或者修改ACL，getfacl用于显示分配完的ACL。其中getfacl没有什么好说的，setfacl参数说明如下：

-m: 设定

　u:UID:perm

　g:GID:perm

　d:u:UID:perm

　d:g:GID:perm

-x：取消

　u:UID

　g:GID

-b：删除所有扩展的acl规则

-R：递归执行

-h：察看帮助，如果需要了解更多的命令行参数的话

针对某个用户设置权限请使用[用户名:manager]：

$ setfacl -m u:manager:rx /home/593668.com

或者给某个组设置权限[组名：manager]：

$ setfacl -m g:manager:rx /home/593668.com

取消某项权限[组名：manager，用户名:manager]:

# setfacl -x g:manager /home/593668.com

# setfacl -x u:manager /home/593668.com

注意事项

1）对于组权限，setfacl设置的权限只对主组（即useradd -g或usermod -g的组）有效，对附加组（即useradd -G或usermod -aG的组）无效，即使文件的所有组已改为附加组。

2）setfacl和chmod设置的权限可以相互覆盖，当二者设置的权限不一致时，以使用getfacl看到的“#effective:”后的权限为准。对一个目录设置了setfacl后，不要再对其chmod，否则chmod的权限将覆盖先前setfacl的权限。

3）用户访问文件权限应用次序如下：

owner --> group--> other

owner --> facl,user --> group --> facl,group --> other

评论这张

转发至微博

阅读(0)| 评论(0)

推荐转载

历史上的今天

在LOFTER的更多文章

this.p={  m:2,
              b:2,
              loftPermalink:'',
              id:'fks_084067085087087074087095087064072084087064084084080067081082',
              blogTitle:'Linux利用facl访问控制列表精细化文件权限',
              blogAbstract:'Linux（和其他Unix等POSIX兼容的操作系统）有一种被称为访问控制列表(ACL)的权限控制方法，它是一种权限分配之外的普遍范式。例如，默认情况下只有3个权限组：owner、group和other。而使用ACL，利用文件扩展属性保存额外的访问控制权限，就可以增加权限给其他用户或组别，而不单只是简单用\"other\"来统一处理其它情况。这样就可以指定允许的用户拥有权限而不再是让他们整个组都拥有权限[权限可以控制得更严格]。<wbr\><div\>ACL支持多种Linux文件系统，包括ext2, ext3, ext4, XFS, Btfrs等。</div\><div\>要想知道文件系统是否开启acl权限控制请使用如下命令：</div\><div\><pre class=\"prettyprint\"   \><p\>$ tune2fs -l /dev/sda1 | grep option</p\></pre\>得到了回应中形如下则表示已经开启。</div\>',
              blogTag:'linux,权限,安全',
              blogUrl:'blog/static/26302605420178277035434',
              isPublished:1,
              istop:false,
              type:0,
              modifyTime:0,
              publishTime:1506466835434,
              permalink:'blog/static/26302605420178277035434',
              commentCount:0,
              mainCommentCount:0,
              recommendCount:0,
              bsrk:-100,
              publisherId:0,
              recomBlogHome:false,
              currentRecomBlog:false,
              attachmentsFileIds:[],
              vote:{},
              groupInfo:{},
              friendstatus:'none',
              followstatus:'unFollow',
              pubSucc:'',
              visitorProvince:'',
              visitorCity:'',
              visitorNewUser:false,
              postAddInfo:{},
              mset:'000',
              mcon:'',
              srk:-100,
              remindgoodnightblog:false,
              isBlackVisitor:false,
              isShowYodaoAd:false,
              hostIntro:'',
              hmcon:'',
              selfRecomBlogCount:'0',
              lofter_single:'<iframe width="140" height="560" style="overflow:hidden;" src="http://www.lofter.com/mailEntry.do?blogad=1&blog" frameBorder="0"></iframe>'
            }

{list a as x}
    {if !!x}
    <div class="iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
      {if x.visitorName==visitor.userName}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        {if x.moveFrom=='wap'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/wapblog.html?frompersonalbloghome"><span title="来自网易手机博客" class="iblock wapIcon"> </span></a>
        {elseif x.moveFrom=='iphone'}
          <a class="noul pnt" target="_blank"><span title="来自iPhone客户端" class="iblock iphoneIcon"> </span></a>
        {elseif x.moveFrom=='android'}
          <a class="noul pnt" target="_blank"><span title="来自Android客户端" class="iblock androidIcon"> </span></a>
        {elseif x.moveFrom=='mobile'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/emsblog.html?frompersonalbloghome"><span title="来自网易短信写博" class="iblock wapIcon"> </span></a>
        {/if}
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
          ${fn(x.visitorNickname,8)|escape}
        </a>
      </div>
    </div>
    {/if}
    {/list}

<#--最新日志，群博日志--> <#--推荐日志-->

<p class="fc06">推荐过这篇日志的人：</p>
    <div>
      {list a as x}
      {if !!x}
      <div class="iblock nbw-fce nbw-f40">
        <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
        <img alt="${x.recommenderNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.recommenderName)}"/>
        </a>
        <div class="cwd thide">
          <a class="fc03 m2a" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
            ${fn(x.recommenderNickname,6)|escape}
          </a>
        </div>
      </div>
      {/if}
      {/list}
    </div>
    {if !!b&&b.length>0}
    <p  class="fc06">他们还推荐了：</p>
    <ul>
    {list b as y}
      {if !!y}
        <li class="rrb"><span class="iblock">·</span><a class="fc03 m2a" target="_blank" href="http://blog.163.com/${y.recommendBlogPermalink}/?from=blog/static/26302605420178277035434">${y.recommendBlogTitle|escape}</a></li>
      {/if}
    {/list}
    </ul>
    {/if}

<#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇，下一篇--> <#-- 热度 -->

{list a as x}
    {if !!x}
    <div class="hotItem iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
      {if x.publisherUsername==visitor.userName}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
          ${fn(x.publisherNickname,8)|escape}
        </a>
      </div>
      <a class="f-myLikeIcons hottype {if x.type==1} js-liketype{elseif x.type==2} js-reblogtype{elseif x.type==3} js-sharetype{else}{/if}" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/"> </a>
    </div>
    {/if}
    {/list}

<#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->

页脚

我的照片书 - 博客风格 - 手机博客 - 下载LOFTER APP - 订阅此博客

天朝布衣田中码农参上

导航

日志

Linux利用facl访问控制列表精细化文件权限

历史上的今天

最近读者

热度

在LOFTER的更多文章

评论

页脚