配置 Linux 的訪問控制列表(ACL)

Linux（和其他Unix等POSIX兼容的操作系統）有一種被稱為訪問控制列表(ACL)的許可權控制方法，它是一種許可權分配之外的普遍範式。例如，默認情況下你需要確認3個許可權組：owner、group和other。而使用ACL，你可以增加許可權給其他用戶或組別，而不單只是簡單的"other"或者是擁有者不存在的組別。可以允許指定的用戶A、B、C擁有寫許可權而不再是讓他們整個組擁有寫許可權。

ACL支持多種Linux文件系統，包括ext2, ext3, ext4, XFS, Btfrs, 等。如果你不確定你的文件系統是否支持ACL，請參考文檔。

在文件系統使ACL生效

首先，我們需要安裝工具來管理ACL。

Ubuntu/Debian 中:

$ sudo apt-get install acl

CentOS/Fedora/RHEL 中:

# yum -y install acl

Archlinux 中:

# pacman -S acl

出於演示目的，我將使用ubuntu server版本，其他版本類似。

安裝ACL完成後，需要激活我們磁碟分區的ACL功能，這樣我們才能使用它。

首先，我們檢查ACL功能是否已經開啟。

$ mount

你可以注意到，我的root分區中ACL屬性已經開啟。萬一你沒有開啟，你需要編輯/etc/fstab文件，在你需要開啟ACL的分區的選項前增加acl標記。

現在我們需要重新掛載分區（我喜歡完全重啟，因為我不想丟失數據），如果你對其它分區開啟ACL，你必須也重新掛載它。

$ sudo mount / -o remount

乾的不錯！現在我們已經在我們的系統中開啟ACL，讓我們開始和它一起工作。

ACL 範例

基礎ACL通過兩條命令管理：setfacl用於增加或者修改ACL，getfacl用於顯示分配完的ACL。讓我們來做一些測試。

我創建一個目錄/shared給一個假設的用戶，名叫freeuser

$ ls -lh /

我想要分享這個目錄給其他兩個用戶test和test2，一個擁有完整許可權，另一個只有讀許可權。

首先，為用戶test設置ACL：

$ sudo setfacl -m u:test:rwx /shared

現在用戶test可以隨意創建文件夾，文件和訪問在/shared目錄下的任何地方。

現在我們增加只讀許可權給用戶test2:

$ sudo setfacl -m u:test2:rx /shared

注意test2讀取目錄需要執行(x)許可權

讓我來解釋下setfacl命令格式：

• -m 表示修改ACL。你可以增加新的，或修改存在的ACL
• u: 表示用戶。你可以使用 g 來設置組許可權
• test 用戶名
• :rwx 需要設置的許可權。

現在讓我向你展示如何讀取ACL：

$ ls -lh /shared

你可以注意到，正常許可權後多一個+標記。這表示ACL已經設置成功。要具體看一下ACL，我們需要運行：

$ sudo getfacl /shared

最後，如果你需要移除ACL：

$ sudo setfacl -x u:test /shared

如果你想要立即擦除所有ACL條目：

$ sudo setfacl -b /shared

最後，在設置了ACL文件或目錄工作時，cp和mv命令會改變這些設置。在cp的情況下,需要添加「p」參數來複制ACL設置。如果這不可行，它將會展示一個警告。mv默認移動ACL設置，如果這也不可行，它也會向您展示一個警告。

總結

使用ACL讓在你想要分享的文件上擁有更多的能力和控制，特別是在NFS/Samba服務。此外，如果你的主管共享主機，這個工具是必備的。

via: http://xmodulo.com/2014/08/configure-access-control-lists-acls-linux.html

作者：Christopher Valerio 譯者：VicYu 校對：wxy

本文由 LCTT 原創翻譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive