ACL 權(quán)限控制

設(shè)置 ACL 權(quán)限：setfacl

查看 ACL 權(quán)限：getfacl

ACL 權(quán)限控制主要目的是提供傳統(tǒng)的 owner,group,other 的 read,wirte,execute 權(quán)限之外的具體權(quán)限設(shè)置，可以針對(duì)單一用戶或組來(lái)設(shè)置特定的權(quán)限
比如：某一目錄權(quán)限為
drwx------ 2 root root 4096 03-10 13:51./acldir
用戶 user 對(duì)此目錄無(wú)任何權(quán)限因此無(wú)法進(jìn)入此目錄，ACL 可單獨(dú)為用戶 user 設(shè)置這個(gè)目錄的權(quán)限，使其可以操作這個(gè)目錄

ACL 啟動(dòng)

要使用 ACL 必須要有文件系統(tǒng)支持才行，目前絕大多數(shù)的文件系統(tǒng)都會(huì)支持，EXT3文件系統(tǒng)默認(rèn)啟動(dòng)ACL 的

查看文件系統(tǒng)是否支持 ACL

[root@localhost tmp]# dumpe2fs -h /dev/sda2
dumpe2fs 1.39 (29-May-2006)
……
sparse_super large_file
Default mount options:    user_xattr acl

加載 ACL 功能

如果 UNIX LIKE 支持 ACL 但是文件系統(tǒng)并不是默認(rèn)加載此功能，可自己進(jìn)行添加

[root@localhost tmp]# mount -o remount,acl /
[root@localhost tmp]# mount
/dev/sda2 on / type ext3 (rw,acl)

同樣也可以修改磁盤掛在配置文件設(shè)置默認(rèn)開機(jī)加載

[root@localhost tmp]# vi /etc/fstab
LABEL=/                 /                       ext3    defaults,acl        1 1

查看 ACL 權(quán)限

語(yǔ)法：getfacl filename

設(shè)置 ACL 權(quán)限

語(yǔ)法：setfacl [-bkRd] [-m|-x acl 參數(shù)] 目標(biāo)文件名
選項(xiàng)與參數(shù)：
-m:設(shè)置后續(xù)的 acl 參數(shù)，不可與-x 一起使用
-x: 刪除后續(xù)的 acl 參數(shù)，不可與-m 一起使用
-b:刪除所有的 acl 參數(shù)
-k:刪除默認(rèn)的 acl 參數(shù)
-R:遞歸設(shè)置 acl 參數(shù)
-d:設(shè)置默認(rèn) acl 參數(shù)，只對(duì)目錄有效

針對(duì)特殊用戶

設(shè)置格式：u:用戶賬號(hào)列表：權(quán)限
權(quán)限：rwx 的組合形式
如用戶列表為空，代表設(shè)置當(dāng)前文件所有者權(quán)限

舉例：

[root@localhost tmp]# mkdir -m 700 ./acldir; ll -d ./acldir 
drwx------ 2 root root 4096 03-10 13:51 ./acldir
[root@localhost tmp]# su tkf
[tkf@localhost tmp]$ cd ./acldir/
bash: cd: ./acldir/: 權(quán)限不夠  =>用戶無(wú) X 權(quán)限
[tkf@localhost tmp]$ exit
exit
[root@localhost tmp]# setfacl -m u:tkf:x ./acldir/ 
=>針對(duì)用戶 tkf 設(shè)置 acldir 目錄的權(quán)限為 x
[root@localhost tmp]# ll -d ./acldir/
drwx--x---+ 2 root root 4096 03-10 13:51 ./acldir/ 
=>通過 ACL 添加權(quán)限在權(quán)限末尾會(huì)增加多個(gè)一個(gè)“+”同時(shí)文件原本權(quán)限也發(fā)生變化。
=>可通過 getfacl 查看原始目錄權(quán)限
[root@localhost tmp]# getfacl ./acldir/
# file: acldir
# owner: root
# group: root
user::rwx
user:tkf:--x  =>記錄 tkf 用戶針對(duì)此目錄有 acl 權(quán)限
group::---
mask::--x
other::---
=>這里需要特殊說(shuō)明，只是 tkf 這個(gè)用戶具有 X 權(quán)限，其他用戶還是無(wú)權(quán)限的
[root@localhost tmp]# su tkf
[tkf@localhost tmp]$ cd ./acldir/
[tkf@localhost acldir]$ 
=>用戶 tkf 可以具有 x 權(quán)限可以進(jìn)入目錄

針對(duì)特定用戶組

設(shè)置格式：g:用戶組列表：權(quán)限 權(quán)限：rwx 的組合形式 如用戶組列表為空，代表設(shè)置當(dāng)前文件所屬用戶組權(quán)限 舉例：

[root@localhost tmp]# setfa
setfacl   setfattr  
[root@localhost tmp]# setfacl -m g:users:rx ./acldir/
[root@localhost tmp]# getfacl ./acldir/
# file: acldir
# owner: root
# group: root
user::rwx
user:tkf:--x
group::--- => 其他用戶組(非 acl 設(shè)置)的權(quán)限
group:users:r-x => 記錄 users 用戶組針對(duì)此目錄有 acl 權(quán)限
mask::r-x
other::---

針對(duì)有效權(quán)限設(shè)置

有效權(quán)限（mask）就是 acl 權(quán)限設(shè)置的極限值，也就是你所設(shè)置的 acl 權(quán)限一定是 mask 的一個(gè)子集，如果超出 mask 范圍會(huì)將超出的權(quán)限去掉 設(shè)置格式：m:權(quán)限 權(quán)限：rwx 的組合形式

舉例：

[root@localhost tmp]# setfacl -m m:x ./acldir/
[root@localhost tmp]# getfacl ./acldir/
# file: acldir
# owner: root
# group: root
user::rwx
user:tkf:--x
group::r-x                      #effective:--x
group:users:r-x                 #effective:--x
mask::--x
other::---

針對(duì)默認(rèn)權(quán)限設(shè)置

我們前面都是針對(duì)一個(gè)目錄為一個(gè)用戶（組）設(shè)置特定權(quán)限，但是如果這個(gè)目錄下在新創(chuàng)建的文件是不具有這些針對(duì)這個(gè)用戶的特定權(quán)限的。為了解決這個(gè)問題，就需要設(shè)置默認(rèn) acl 權(quán)限，使這個(gè)目錄下新創(chuàng)建的文件有和目錄相同的 ACL 特定權(quán)限

設(shè)置格式：d:[u|g]:用戶(組)列表：權(quán)限

舉例

[root@localhost tmp]# mkdir -m 711 ./defdir
[root@localhost tmp]# setfacl -m u:tkf:rxw ./defdir
[root@localhost tmp]# ll -d ./defdir/
drwxrwx--x+ 2 root root 4096 03-10 15:23 ./defdir/
=>目錄權(quán)限具有 acl 特定權(quán)限（后面+）
[root@localhost tmp]# touch ./defdir/a.file;ll ./defdir/
-rw-r--r--  1 root root 0 03-10 15:25 a.file
=>新創(chuàng)建的文件不具有 acl 特定權(quán)限（后面無(wú)+）
[root@localhost tmp]# setfacl -m d:u:tkf:rxw ./defdir
=>設(shè)置默認(rèn)權(quán)限
[root@localhost tmp]# getfacl ./defdir/
# file: defdir
# owner: root
# group: root
user::rwx
user:tkf:rwx
group::--x
mask::rwx
other::--x
default:user::rwx
default:user:tkf:rwx
default:group::--x
default:mask::rwx
default:other::--x

[root@localhost tmp]# touch ./defdir/b.file;ll ./defdir/
-rw-r--r--  1 root root 0 03-10 15:25 a.file
-rw-rw----+ 1 root root 0 03-10 15:26 b.file
=>新創(chuàng)建文件默認(rèn)帶有 acl 特定權(quán)限
[root@localhost tmp]# getfacl ./defdir/b.file 
# file: defdir/b.file
# owner: root
# group: root
user::rw-
user:tkf:rwx                    #effective:rw-
group::--x                      #effective:---
mask::rw-
other::---
=>這快我有個(gè)疑問，為什么 mask 值是 rw，我猜測(cè)和文件最大權(quán)限有關(guān)，
=>對(duì)于文件來(lái)時(shí)默認(rèn)最大權(quán)限是666即 UMASK 為0000.那個(gè)對(duì)于可執(zhí)行文件來(lái)說(shuō)
=>沒有 X,難道還需要使用 chmod 設(shè)置？ 疑問?。?/code>