使用 ACL 設置用戶訪問指定文件/目錄的許可權
當提到文件和目錄的許可權時,你的第一反應可能是「屬主/群組/其它」許可權。 這些許可權可以通過 chmod
、 chown
等命令來修改。
文件和目錄都有屬主 (文件所有者 )、群組 (所屬組) 以及其它許可權,這些許可權構成一個集合。 然而這些許可權集合有它的局限性,無法做到為不同的用戶設置不同的許可權。
Linux 對文件和目錄有以下默認許可權。
- 文件 ->
644
->-rw-r-r-
(所有者有讀寫許可權,組成員有隻讀許可權, 其他人也只有讀許可權) - 目錄 ->
755
->drwxr-xr-x
(所有者有讀、寫和執行許可權,組成員有讀和執行的許可權,其他人也有讀和執行的許可權)
比如: 默認情況下,所有者可以訪問和編輯他們自己主目錄中的文件, 也可以訪問相關同組人的文件,但他們不能修改這些文件,因為組成員沒有寫許可權,而且讓組成員有寫許可權也是不明智的。 基於同樣的原因,他/她也不能修改其他人的文件。 然而在某些情況下,多個用戶想要修改同一個文件, 那該怎麼辦呢?
假設有個名叫 magi
的用戶,他想要修改 httpd.conf
文件怎麼辦呢? 這個文件是歸 root 用戶所有的,這樣如何授權呢? 為了解決這種情況, 訪問控制列表 (ACL)誕生了。
什麼是 ACL?
ACL 表示 訪問控制列表 (ACL),它為文件系統提供了附加的、更具有彈性的許可權機制。 它被設計來為補充 UNIX 文件許可權機制。 ACL 允許你賦予任何某用戶/組訪問某項資源的許可權。 setfacl
與 getfacl
命令會幫助你管理 ACL 而不會有任何麻煩。
什麼是 setfacl?
setfacl
用於設置文件和目錄的 ACL。
什麼 getfacl?
getfacl
- 獲取文件的 ACL 。對於每個文件, getfacl
都會顯示文件名、文件所有者、所屬組以及ACL。 如果目錄有默認 ACL, getfacl
也會顯示這個默認的 ACL。
如何確認是否啟用了 ACL?
運行 tune2fs
命令來檢查是否啟用了 ACL。
# tune2fs -l /dev/sdb1 | grep options
Default mount options: (none)
上面的輸出很明顯第說明 /dev/sdb1
分區沒有啟用 ACL。
如果結果中沒有列出 acl
,則你需要在掛載選項中加上 acl
。 為了讓它永久生效, 修改 /etc/fstab
中 /app
這一行成這樣:
# more /etc/fstab
UUID=f304277d-1063-40a2-b9dc-8bcf30466a03 / ext4 defaults 1 1
/dev/sdb1 /app ext4 defaults,acl 1 1
或者,你也可以使用下面命令將其添加道文件系統的超級塊中:
# tune2fs -o +acl /dev/sdb1
現在,通過運行以下命令來動態修改選項:
# mount -o remount,acl /app
再次運行 tune2fs
命令來看選項中是否有 acl
了:
# tune2fs -l /dev/sdb1 | grep options
Default mount options: acl
嗯,現在 /dev/sdb1
分區中有 ACL 選項了。
如何查看默認的 ACL 值
要查看文件和目錄默認的 ACL 值,可以使用 getfacl
命令後面加上文件路徑或者目錄路徑。 注意, 當你對非 ACL 文件/目錄運行 getfacl
命令時, 則不會顯示附加的 user
和 mask
參數值。
# getfacl /etc/apache2/apache2.conf
# file: etc/apache2/apache2.conf
# owner: root
# group: root
user::rw-
group::r--
other::r--
如何為文件設置 ACL
以下面格式運行 setfacl
命令可以為指定文件設置 ACL。在下面的例子中,我們會給 magi
用戶對 /etc/apache2/apache2.conf
文件 rwx
的許可權。
# setfacl -m u:magi:rwx /etc/apache2/apache2.conf
仔細分析起來:
setfacl
: 命令-m
: 修改文件的當前 ACLu
: 指明用戶magi
: 用戶名rwx
: 要設置的許可權/etc/apache2/apache2.conf
: 文件名稱
再查看一次新的 ACL 值:
# getfacl /etc/apache2/apache2.conf
# file: etc/apache2/apache2.conf
# owner: root
# group: root
user::rw-
user:magi:rwx
group::r--
mask::rwx
other::r--
注意: 若你發現文件或目錄許可權後面有一個加號(+
),就表示設置了 ACL。
# ls -lh /etc/apache2/apache2.conf
-rw-rwxr--+ 1 root root 7.1K Sep 19 14:58 /etc/apache2/apache2.conf
如何為目錄設置 ACL
以下面格式運行 setfacl
命令可以遞歸地為指定目錄設置 ACL。在下面的例子中,我們會將 /etc/apache2/sites-available/
目錄中的 rwx
許可權賦予 magi
用戶。
# setfacl -Rm u:magi:rwx /etc/apache2/sites-available/
其中:
-R
: 遞歸到子目錄中
再次查看一下新的 ACL 值。
# getfacl /etc/apache2/sites-available/
# file: etc/apache2/sites-available/
# owner: root
# group: root
user::rwx
user:magi:rwx
group::r-x
mask::rwx
other::r-x
現在 /etc/apache2/sites-available/
中的文件和目錄都設置了 ACL。
# ls -lh /etc/apache2/sites-available/
total 20K
-rw-rwxr--+ 1 root root 1.4K Sep 19 14:56 000-default.conf
-rw-rwxr--+ 1 root root 6.2K Sep 19 14:56 default-ssl.conf
-rw-rwxr--+ 1 root root 1.4K Dec 8 02:57 mywebpage.com.conf
-rw-rwxr--+ 1 root root 1.4K Dec 7 19:07 testpage.com.conf
如何為組設置 ACL
以下面格式為指定文件運行 setfacl
命令。在下面的例子中,我們會給 appdev
組賦予 /etc/apache2/apache2.conf
文件的 rwx
許可權。
# setfacl -m g:appdev:rwx /etc/apache2/apache2.conf
其中:
g
: 指明一個組
對多個用戶和組授權,只需要用 逗號
區分開,就像下面這樣。
# setfacl -m u:magi:rwx,g:appdev:rwx /etc/apache2/apache2.conf
如何刪除 ACL
以下面格式運行 setfacl
命令會刪除文件對指定用戶的 ACL。這隻會刪除用戶許可權而保留 mask
的值為只讀。
# setfacl -x u:magi /etc/apache2/apache2.conf
其中:
-x
: 從文件的 ACL 中刪除
再次查看 ACL 值。在下面的輸出中我們可以看到 mask
的值是讀。
# getfacl /etc/apache2/apache2.conf
# file: etc/apache2/apache2.conf
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r--
使用 -b
來刪除文件中所有的 ACL。
# setfacl -b /etc/apache2/apache2.conf
其中:
-b
: 刪除所有的 ACL 條目
再次查看刪掉後的 ACl 值就會發現所有的東西都不見了,包括 mask
的值也不見了。
# getfacl /etc/apache2/apache2.conf
# file: etc/apache2/apache2.conf
# owner: root
# group: root
user::rw-
group::r--
other::r--
如何備份並還原 ACL
下面命令可以備份和還原 ACL 的值。要製作備份, 需要進入對應的目錄然後這樣做(假設我們要備份 sites-available
目錄中的 ACL 值)。
# cd /etc/apache2/sites-available/
# getfacl -R * > acl_backup_for_folder
還原的話,則運行下面命令:
# setfacl --restore=/etc/apache2/sites-available/acl_backup_for_folder
via: https://www.2daygeek.com/how-to-configure-access-control-lists-acls-setfacl-getfacl-linux/
作者:Magesh Maruthamuthu 譯者:lujun9972 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive