ACL 是什麼 ACL的全稱是 Access Control List (訪問控制列表) ,一個針對文件/目錄的訪問控制列表。它在UGO許可權管理的基礎上為文件系統提供一個額外的、更靈活的許可權管理機制。它被設計為UNIX文件許可權管理的一個補充。ACL允許你給任何的用戶或用戶組設置任何文件/目錄的訪問權 ...
ACL 是什麼
ACL的全稱是 Access Control List (訪問控制列表) ,一個針對文件/目錄的訪問控制列表。它在UGO許可權管理的基礎上為文件系統提供一個額外的、更靈活的許可權管理機制。它被設計為UNIX文件許可權管理的一個補充。ACL允許你給任何的用戶或用戶組設置任何文件/目錄的訪問許可權。
ACL有什麼用
既然是作為UGO許可權管理的補充,ACL自然要有UGO辦不到或者很難辦到的本事,例如:
- 可以針對用戶來設置許可權
- 可以針對用戶組來設置許可權
- 子文件/目錄繼承父目錄的許可權
檢查是否支持ACL
ACL需要Linux內核和文件系統的配合才能工作,當前我們能見到的大多數Linux發行版本預設都是支持的。但最好還是能夠先檢查一下:
sudo tune2fs -l /dev/sda1 |grep “Default mount options:” Default mount options: user_xattr acl
我們能夠看到預設情況下(Default mount options:)已經加入 acl 支持了。
如何設置ACL
我們可以使用setfacl和getfacl命令來設置或觀察文件/目錄的acl許可權。
setfacl
參數不多,直接列出來了:
setfacl [-bkRd] [{-m|-x} acl參數] 文件/目錄名
-m :配置後面的 acl 參數給文件/目錄使用,不可與 -x 合用;
-x :刪除後續的 acl 參數,不可與 -m 合用;
-b :移除所有的 ACL 配置參數;
-k :移除預設的 ACL 參數;
-R :遞歸配置 acl;
-d :配置“預設 acl 參數”,只對目錄有效,在該目錄新建的數據會引用此預設值;
getfacl
getfacl 文件/目錄名
實例
針對用戶來設置許可權
先創建一個測試文件test,然後查看其預設的許可權:
touch test ll test -rw-r--r-- 1 root root 0 May 28 09:04 test getfacl test # file: test # owner: root # group: root user::rw- group::r-- other::r—
給apache用戶設置讀寫執行test文件的許可權:
setfacl –m u:apache:rwx test
查看test文件屬性的變化:
ll test -rw-rwxr--+ 1 root root 0 May 28 09:04 test
許可權部分多個了 “+”, 並且與原來(644)也不一樣了。
查看ACL許可權的變化:
getfacl test
...
user:apache:rwx
...
mask::rwx
...
和設置前相比多了user:apache:rwx和 mask::rwx,此時用戶apache已經擁有了讀寫執行test文件的許可權。
針對用戶組來設置許可權
和針對用戶的設置幾乎一樣,只是把小寫的u換成小寫的g就行了。
子文件/目錄繼承父目錄的許可權
這是一個很棒的例子,它能讓我們創建的子文件或者子文件夾繼承父文件夾的許可權設置!
mkdir mydir ll -d mydir drwxr-xr-x 2 root root 4096 May 28 09:35 mydir setfacl –m d:u:apache:rwx mydir
註意參數 d 在這裡起到了決定性的作用。
查看下屬性的變化:
getfacl mydir ... default:user::rwx default:user:apache:rwx default:group::r-x default:mask::rwx default:other::r-x
多了些 default開頭的項,在mydir下創建一個新文件試試:
touch mydir/abc getfacl mydir/abc ... user:apache:rwx #effective:rw- group::r-x #effective:r-- mask::rw- ...
OK, 看上去還不賴,預設情況下apache用戶是可以對這個文件進行讀寫執行操作的。
這裡只是簡介的介紹了ACL的概念和一些典型的用法,更多的使用方式請參考幫助文檔。
