• 5.5 文件访问控制列表

    5.5 文件访问控制列表

    不知道大家是否发现,前文讲解的一般权限、特殊权限、隐藏权限其实有一个共性—权限是针对某一类用户设置的。如果希望对某个指定的用户进行单独的权限控制,就需要用到文件的访问控制列表(ACL)了。通俗来讲,基于普通文件或目录设置ACL其实就是针对指定的用户或用户组设置文件或目录的操作权限。另外,如果针对某个目录设置了ACL,则目录中的文件会继承其ACL;若针对文件设置了ACL,则文件不再继承其所在目录的ACL。

    为了更直观地看到ACL对文件权限控制的强大效果,我们先切换到普通用户,然后尝试进入root管理员的家目录中。在没有针对普通用户对root管理员的家目录设置ACL之前,其执行结果如下所示:

    1. [root@linuxprobe ~]# su - linuxprobe
    2. Last login: Sat Mar 21 16:31:19 CST 2017 on pts/0
    3. [linuxprobe@linuxprobe ~]$ cd /root
    4. -bash: cd: /root: Permission denied
    5. [linuxprobe@linuxprobe root]$ exit

    1. setfacl命令

    setfacl命令用于管理文件的ACL规则,格式为“setfacl [参数] 文件名称”。文件的ACL提供的是在所有者、所属组、其他人的读/写/执行权限之外的特殊权限控制,使用setfacl命令可以针对单一用户或用户组、单一文件或目录来进行读/写/执行权限的控制。其中,针对目录文件需要使用-R递归参数;针对普通文件则使用-m参数;如果想要删除某个文件的ACL,则可以使用-b参数。下面来设置用户在/root目录上的权限:

    1. [root@linuxprobe ~]# setfacl -Rm u:linuxprobe:rwx /root
    2. [root@linuxprobe ~]# su - linuxprobe
    3. Last login: Sat Mar 21 15:45:03 CST 2017 on pts/1
    4. [linuxprobe@linuxprobe ~]$ cd /root
    5. [linuxprobe@linuxprobe root]$ ls
    6. anaconda-ks.cfg Downloads Pictures Public
    7. [linuxprobe@linuxprobe root]$ cat anaconda-ks.cfg
    8. [linuxprobe@linuxprobe root]$ exit

    是不是觉得效果很酷呢?但是现在有这样一个小问题—怎么去查看文件上有那些ACL呢?常用的ls命令是看不到ACL表信息的,但是却可以看到文件的权限最后一个点(.)变成了加号(+),这就意味着该文件已经设置了ACL了。现在大家是不是感觉学得越多,越不敢说自己精通Linux系统了吧?就这么一个不起眼的点(.),竟然还表示这么一种重要的权限。

    1. [root@linuxprobe ~]# ls -ld /root
    2. dr-xrwx---+ 14 root root 4096 May 4 2017 /root

    2. getfacl命令

    getfacl命令用于显示文件上设置的ACL信息,格式为“getfacl 文件名称”。Linux系统中的命令就是这么又可爱又好记。想要设置ACL,用的是setfacl命令;要想查看ACL,则用的是getfacl命令。下面使用getfacl命令显示在root管理员家目录上设置的所有ACL信息。

    1. [root@linuxprobe ~]# getfacl /root
    2. getfacl: Removing leading '/' from absolute path names
    3. # file: root
    4. # owner: root
    5. # group: root
    6. user::r-x
    7. user:linuxprobe:rwx
    8. group::r-x
    9. mask::rwx
    10. other::---

    出现问题?大胆提问!

    因读者们硬件不同或操作错误都可能导致实验配置出错,请耐心再仔细看看操作步骤吧,不要气馁~

    Linux技术交流请加A群:560843(),B群:340829(推荐),C群:463590(推荐),点此查看全国群。

    *本群特色:通过口令验证确保每一个群员都是《Linux就该这么学》的读者,答疑更有针对性,不定期免费领取定制礼品。