注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

itoedr的it学苑

记录从IT文盲学到专家的历程

 
 
 

日志

 
 

Linux之重要功能:ACL(访问控制列表)  

2013-07-30 15:10:15|  分类: linux访问控制 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
  Linux中的ACL功能是体现在对文件和目录的权限上,而且对于权限设置的精细度上有了非常大的提高;比如一个文件或者目录的所有者和所有者都是 tangsir,权限为755,那么也就是说root用户和tangsir可以写入外,其余的人是没有权限的。但是如果我们配置了ACL功能的话,我们完 全可以使另一个用户对此文件或者目录有写入的权限。

如何使文件或者目录具有ACL功能呢?我们可以通过配置分区来支持ACL功能。首先,我们要明白,是不是所有的分区都支持ACL功能呢?在RHEL5.X版本中,安装操作系统时所建立的分区是支持ACl功能的,安装操作系统任务完成后所建立的分区默认是不支持ACL功能的,那么如何实现这种分区支持ACL功能呢?我们可以使用三种方式来实现操作系统安装成功后所建立的分区支持ACL功能;

(1)    使用mount命令,此命令使一个分区临时生效,重启后ACL会失效。

mount –o remount,acl 分区

mount –o acl 分区 挂载点

     以上两种语法的区别:上面的表示的是此分区已经建立且在使用了或者说已经被挂载了,但是还不支持ACL功能,我们通过此命令来实现不影响分区使用的情况下来支持ACL功能;下面表示的是在挂载分区的同时使其具备ACL功能。

例子:第一种情况:

       [root@tangsir ~]# mount -o remount,acl /dev/sdb1

      第二种情况:

       [root@tangsir ~]# mount -o acl /dev/sdb2 /test2

    用mount命令来查看信息:

     [root@tangsir ~]# mount

/dev/sda3 on / type ext3 (rw)

proc on /proc type proc (rw)

sysfs on /sys type sysfs (rw)

devpts on /dev/pts type devpts (rw,gid=5,mode=620)

/dev/sda1 on /boot type ext3 (rw)

tmpfs on /dev/shm type tmpfs (rw)

none on /proc/sys/fs/binfmt_misc type binfmt_misc (rw)

none on /proc/fs/vmblock/mountPoint type vmblock (rw)

sunrpc on /var/lib/nfs/rpc_pipefs type rpc_pipefs (rw)

/dev/sdb1 on /test1 type ext3 (rw,acl)

/dev/sdb2 on /test2 type ext3 (rw,acl)

从挂载的信息中,我们得知了此分区支持ACL功能

 

(2)    使用tune2fs命令,此命令可以使分区永久支持ACL功能

例子:

[root@tangsir ~]# tune2fs -o acl /dev/sdb5

使用-l选项来查看分区配置的情况:

[root@tangsir ~]# tune2fs -l /dev/sdb5

tune2fs 1.39 (29-May-2006)

Filesystem volume name:   <none>

Last mounted on:          <not available>

Filesystem UUID:          7e4472be-3a69-4060-b781-4184149d06ad

Filesystem magic number: 0xEF53

Filesystem revision #:    1 (dynamic)

Filesystem features:      has_journal resize_inode dir_index filetype sparse_super large_file

Default mount options:    acl è说明了该分区支持ACL功能

Filesystem state:         clean

Errors behavior:          Continue

Filesystem OS type:       Linux

注意:使用tune2fs命令配置分区,用mount命令是查看不到的,只有通过修改/etc/fstab来支持分区ACL功能后才可以看到

 

(3)    通过修改/etc/fstab来实现分区支持ACl 功能

       [root@tangsir ~]# cat /etc/fstab

LABEL=/                    /                       ext3              defaults        1 1

LABEL=/boot             /boot                   ext3           defaults        1 2

tmpfs                          /dev/shm                tmpfs     defaults        0 0

devpts                        /dev/pts                devpts       gid=5,mode=620 0 0

sysfs                           /sys                        sysfs         defaults        0 0

proc                           /proc                      proc              defaults        0 0

LABEL=SWAP-sda2         swap                    swap         defaults        0 0

/dev/sdb5                  /test3                      ext3               defaults,acl    0 0

为了使配置生效要重启计算机或者使用mount –o remount PT 命令。

 

分区支持ACL功能后,我们要对文件或者目录具体设置ACL功能以及查看具体的ACL配置,这里要使用两个命令字:setfacel and getfacl 。为了更好的理解命令的用法和设置,我们通过具体的实例来分析。首先,我们来看看setfacl命令常用的选项;

-m:修改文件或目录的ACL rules

-x:删除文件或者目录指定的ACLrules

-d:指定文件或者目录默认的ACLrules

-k:删除文件或者目录默认的ACL rules

-b:删除文件或者目录所有的ACL rules

-R:递归渲染,对具体目录下所有的文件和目录全部渲染

 具体实例:目录系统中的/dev/sdb1分区支持ACL功能,分区的挂载目录是/test1,目录中包含了h3cte和ccie两个目录,我们使用户 tangsir对目录ccie有可读,可写,可执行的权限,并且配置用户tangsir对目录ccie有默认的可读,可写,可执行权限,也就是说用户 tangsir在目录ccie中建立的目录或者文件时会自动继承ACL权限;

  信息查看:

     [root@tangsir ~]# df -H

文件系统               容量   已用 可用 已用% 挂载点

/dev/sda3               21G   4.9G    15G 26% /

/dev/sda1              104M    12M    87M 12% /boot

tmpfs                  246M      0   246M   0% /dev/shm

/dev/sdb1              2.5G    71M   2.3G   4% /test1

/dev/sdb2              1.7G    37M   1.6G   3% /test2

[root@tangsir ~]# ll /test1

总计32

drwxr-xr-x 2 root root 4096 07-29 11:27 ccie

drwxr-xr-x 2 root root 4096 07-29 11:27 h3cte

规则配置:

[root@tangsir test1]# setfacl -m u:tangsir:rwx ccie/

命令分析:-m 表示修改文件或者目录的ACL rules;u表示针对用户;tangsir是用户名;rwx是对目录的权限,字母和数字都可以表示;ccie/是具体的目录。

查看并用户测试:

[root@tangsir test1]# ll

总计32

drwxrwxr-x+ 2 root root 4096 07-29 11:27 ccie 目录权限的最后一位是一个“+”表示目录配置了ACL功能

drwxr-xr-x 2 root root 4096 07-29 11:27 h3cte

切换用户tangsir:

        [root@tangsir ~]# su - tangsir

[tangsir@tangsir ~]$ mkdir /test1/ccie/ccm --可以创建目录,成功!!

[tangsir@tangsir ~]$ ll /test1/ccie/

总计8

drwxrwxr-x 2 tangsir tangsir 4096 07-29 11:38 ccm -- one

 用户的默认的ACL配置:

         [root@tangsir test1]# setfacl -m d:u:tangsir:rwx ccie/

 

 创建目录或者文件并查看:

         [root@tangsir test1]# su - tangsir

[tangsir@tangsir ~]$ mkdir /test1/ccie/ccm1

[tangsir@tangsir ~]$ ll /test1/ccie/

总计16

drwxrwxr-x 2 tangsir tangsir 4096 07-29 11:38 ccm

drwxrwxr-x+ 2 tangsir tangsir 4096 07-29 11:43 ccm1   ---two(自动继承了ACL功能)

注意比较one ,two ,看出两者的区别~~

 

具体实例:具体实例:目录系统中的/dev/sdb2分区支持ACL功能,分区的挂载目录是/test2,目录中包含了mvp和cca两个目录,建立用户组zu1,zu2,建立用户liugong ,xugong.

liugong属于组zu1,xugong属于zu2.配置zu1对mvp有执行的权限,zu2对cca有所有的权限。并实现zu2对cca目录有默认的ACl功能。(可读,可写,可执行)

组,用户的建立:

            [root@tangsir ~]# groupadd zu1

[root@tangsir ~]# groupadd zu2

[root@tangsir ~]# usermod -G zu1 liugong

[root@tangsir ~]# gpasswd -a xugong zu2

正在将用户“xugong”加入到“zu2”组中

               [root@tangsir ~]# ll /test2/

总计32

drwxr-xr-x 2 root root 4096 07-29 11:52 cca

drwx------ 2 root root 16384 07-29 10:33 lost+found

drwxr-xr-x 2 root root 4096 07-29 11:52 mvp

 

配置zu1对mvp有执行的权限:

                [root@tangsir test2]# setfacl -m g:zu1:x mvp/

zu2对cca有所有的权限:

                [root@tangsir test2]# setfacl -m g:zu2:7 cca/

                            root@tangsir test2]# setfacl -m d:g:zu2:7 cca/

ACL功能查看:

                [root@tangsir test2]# ll

总计32

drwxrwxr-x+ 2 root root 4096 07-29 11:52 cca

drwx------ 2 root root 16384 07-29 10:33 lost+found

drwxr-xr-x+ 2 root root 4096 07-29 11:52 mvp

用户测试:

                  [root@tangsir ~]# su - liugong

[liugong@tangsir ~]$ cd /test2/mvp/

[liugong@tangsir mvp]$ touch jilu.txt

touch: 无法触碰 “jilu.txt”: 权限不够

liugong对mvp目录只有执行权限,效果正确~

 

               [xugong@tangsir ~]$ cd /test2/cca/

[xugong@tangsir cca]$ mkdir keke && touch diligence

[xugong@tangsir cca]$ ll

总计12

-rw-rw-r--+ 1 xugong xugong    0 07-29 12:14 diligence

drwxrwxr-x+ 2 xugong xugong 4096 07-29 12:14 keke

 

getfacl 命令来查看文件或者目录的ACL;

[root@tangsir test1]# ll

总计32

drwxrwxr-x+ 4 root root 4096 07-29 11:43 ccie

drwxr-xr-x 2 root root 4096 07-29 11:27 h3cte

drwx------ 2 root root 16384 07-29 10:31 lost+found

 

[root@tangsir test1]# getfacl ccie

# file: ccie 文件或者目录的名称

# owner: root 文件或者目录的属主

# group: root 文件或者目录属组

user::rwx   属主的权限

user:tangsir:rwx 用户tangsir的权限

group::r-x 属组的权限

mask::rwx 文件或者目录最大权限

other::r-x 其他人的权限

default:user::rwx

default:user:tangsir:rwx 用户tangsir对目录或者文件的默认权限

default:group::r-x

default:mask::rwx

 

                  

文件或者目录ACL的删除:

                   [root@tangsir test1]# getfacl ccie

# file: ccie

# owner: root

# group: root

user::rwx

user:tangsir:rwx

group::r-x

mask::rwx

other::r-x

default:user::rwx

default:user:tangsir:rwx

default:group::r-x

default:mask::rwx

              [root@tangsir test1]# setfacl -x u:tangsir ccie—删除指定的ACL

              [root@tangsir test1]# setfacl -b ccie --删除全部的ACl

[root@tangsir test1]# getfacl ccie

# file: ccie

# owner: root

# group: root

user::rwx

group::r-x

other::r-x

 

注意:文件或者目录配置了ACL以后,由于系统管理的需要要将配置了ACL的目录进行复制操作,那么cp命令后必要加上“-P”选项,如果是剪切的话,就不需要了,因为默认mv命令会保留原ACL。当然前提必须是目标目录必须也要支持ACL功能才行~~

  评论这张
 
阅读(99)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017