Linux之——ACL

---

LINUX.jpg

ACL： 访问控制列表 access control list

实现灵活的权限管理
设置ACL权限setfacl

显示file1文件原有权限
[root@centos7 ~]#ls -ld file1 
-rw-r--r--. 1 root root 20 Aug 17 22:43 file1

查看test用户id信息
[root@centos7 ~]#id test
uid=1001(test) gid=1001(test) groups=1001(test)

为test用户添加ACL读写（rw）权限
[root@centos7 ~]#setfacl -m u:test:rw file1 

查看file1文件权限改变，多出“+”符号
[root@centos7 ~]#ll file1 
-rw-rw-r--+ 1 root root 20 Aug 17 22:43 file1

查看file1文件的ACL权限列表
[root@centos7 ~]#getfacl file1 
# file: file1        ## 文件名称
# owner: root        ## 所有着
# group: root        ## 所属组
user::rw-            ## 所有者权限
user:test:rw-        ## test用户权限
group::r--           ## 所属组权限
mask::rw-            ## 隐藏权限（ACL权限，所有的权限只能比它小）
other::r--           ## 其他用户权限

删除指定用户对file1文件的ACL权限
[root@centos7 ~]#setfacl -x test file1 
[root@centos7 ~]#getfacl file1         
# file: file1
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r--

删除所有用户对file1文件的ACL权限
[root@centos7 ~]#setfacl -b file1
[root@centos7 ~]#getfacl file1    
# file: file1
# owner: root
# group: root
user::rw-
group::r--
other::r--

修改mask值
[root@centos7 ~]#setfacl -m mask::r file1
[root@centos7 ~]#getfacl file1 
# file: file1
# owner: root
# group: root
user::rw-
group::r--
mask::r--
other::r--

补充
1.centos7上安装操作系统前创建的文件系统，自动添加ACL功能；安装操作系统后添加的磁盘并创建文件系统，需要手动添加ACL功能
tune2fs -o acl /dev/sdb1
mount -o acl /dev/sdb1 /mnt/sdb1

2.创建ACL权限后，如何确定用户对文件所拥有的权限

• 判断用户是否是该文件的所属主。如果是所属主，则执行所属主的权限。
• 如果不是所属主，则判断是否添加了用户ACL权限
• 如果没有添加用户ACL权限，判断是否添加了组ACL权限
• 如果用户属于多个组，没有设置用户ACL权限，且多个组添加了ACL权限，用户对文件的权限位多个组权限的并集

3.批量添加、删除ACL权限

批量添加 ACL权限
setfacl -M acl.txt file1
批量删除ACL权限
setfacl -X dacl.txt  file1

4.备份ACL权限
getfacl -R file1> acl.txt
恢复ACL权限
setfacl --restore acl,txt file1