linux中使用ACL保护文件目录​

ACl （Access Control List），主要目的是提供传统的 owner、group、others 的 read、write、execute 权限之外的特殊权限需求设置。ACL 可以针对单一使用者、单一文件或目录来进行 r、w、x 的权限规范，对于需要特殊权限的使用状况非常有帮助

ACl 主要针对以下方面来控制权限：

• 使用者 user
• 群组 group
• 默认属性 mask：针对在该目录下在建立新文件/目录时，规范新数据的默认权限

有一个目录，给一堆人使用，每个人或每个群组所需要的权限并不相同，使用传统 Linux 三种身份的三种权限是无法达到的，因此基本上，传统的 Linux 权限只能针对一个用户、一个群组以及非此群组的其他人设置权限。无法针对单一用户或个人来设计权限。

Note：根据 Redhat 产品文档，它为 ext3 文件系统和 NFS 导出文件系统提供 ACL 支持。

如何检查 Linux 系统中的 ACL 支持

在继续之前，你应该在当前内核和挂载的文件系统上支持 ACL。

1. 检查内核是否支持 ACL

运行以下命令检查文件系统的 ACL 支持和 POSIX_ACL=Y 选项（如果有 N 代替 Y，则表示内核不支持ACL，需要重新编译）。

[root@linux ~]# grep -i acl /boot/config* CONFIG_`EXT4_FS_POSIX_ACL=y`
CONFIG_`REISERFS_FS_POSIX_ACL=y`
CONFIG_JFS_POSIX_ACL=y
CONFIG_XFS_POSIX_ACL=y
CONFIG_BTRFS_FS_POSIX_ACL=y
CONFIG_FS_POSIX_ACL=y
CONFIG_GENERIC_ACL=y
CONFIG_TMPFS_POSIX_ACL=y
CONFIG_NFS_V3_ACL=y
CONFIG_NFSD_V2_ACL=y
CONFIG_NFSD_V3_ACL=y
CONFIG_NFS_ACL_SUPPORT=m
CONFIG_CIFS_ACL=y
CONFIG_9P_FS_POSIX_ACL=y 

2.检查所需的包

在开始使用 ACL 之前，请确保你已安装所需的软件包。以下是需要使用安装的必需软件包yum 或者 apt-get.

[root@linux ~]# yum install nfs4-acl-tools acl libacl  [on `RedHat` based systems] 

[rumenz@linux ~]$ sudo apt-get install nfs4-acl-tools acl [on `Debian` based systems] 

3. 检查挂载的文件系统是否支持 ACL

现在，检查挂载的文件系统是否使用 ACL 选项挂载。我们可以用mount 用于检查相同的命令，如下所示。

[root@linux ~]# mount  | grep -i root /dev/mapper/fedora-root on / type ext4 (rw,relatime,data=ordered) 

但在我们的例子中，它默认不显示 acl。因此，接下来我们可以选择使用 acl 选项再次重新挂载已安装的分区。但是，在继续之前，我们有另一个选项来确保分区是否使用 acl 选项挂载，因为对于最近的系统，它可能与默认挂载选项集成。

[root@linux ~]# tune2fs -l /dev/mapper/fedora-root | grep acl Default mount options:    user_xattr acl 

在上面的输出中，你可以看到默认挂载选项已经支持 acl。另一种选择是重新挂载分区，如下所示。

[root@linux ~]# mount -o remount,acl / 

接下来，将以下条目添加到/etc/fstab文件中以使其永久化。

/dev/mapper/fedora-root / ext4    defaults,acl 1 1 

再次，重新挂载分区。

[root@linux ~]# mount -o remount  / 

4.对于NFS服务器

在 NFS 服务器上，如果 NSF 服务器导出的文件系统支持 ACL，并且 NFS 客户端可以读取 ACL，那么客户端系统就会使用 ACL。

要禁用 NFS 共享上的 ACL，你必须添加选项no_acl 在 /etc/exportfs NFS 服务器上的文件。要再次在 NSF 客户端禁用它，请使用no_acl 挂载时间的选项。

如何在 Linux 系统中实现 ACL 支持

有两种类型 ACLs：

1. Access ACLs：访问 ACL 用于授予对任何文件或目录的权限。
2. Default ACLs：默认 ACL 仅用于在特定目录上授予/设置访问控制列表。

访问 ACL 和默认 ACL 的区别：

1. 默认 ACL 只能在目录级别使用。
2. 在该目录中创建的任何子目录或文件都将从其父目录继承 ACL。另一方面，文件继承默认 ACL 作为其访问 ACL。
3. 我们利用–d用于设置默认 ACL，默认 ACL 是可选的。

设置默认 ACL 之前

要确定特定文件或目录的默认 ACL，请使用 getfacl 命令。在下面的例子中，getfacl 用于获取文件夹的默认 ACL Music。

[root@linux ~]# getfacl Music/ # file: Music/ # owner: root # group: root user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x
default:other::rw- 

设置默认 ACL 后

要为特定文件或目录设置默认 ACL，请使用 setfacl 命令。在下面的例子中，setfacl 命令将设置一个新的 ACL（read 和 execute) 给文件夹 Music.

[root@linux ~]# setfacl -m d:o:rx Music/ [root@linux ~]# getfacl Music/ # file: Music/ # owner: root # group: root user::rwx
group::r-x
other::r-x
`default:user::rwx
default:group::r-x
default:other::r-x` 

如何设置新的 ACL

使用 setfacl用于设置或修改任何文件或目录的命令。例如，rumenz1用户赋予read和 write 的权限。

# setfacl -m u:rumenz1:rw /rumenz1/example 

如何查看 ACL

使用 getfacl 用于查看任何文件或目录上的 ACL 的命令。例如，要查看  上的 ACL/rumenz1/example 使用下面的命令。

# getfacl /rumenz1/example # file: rumenz1/example/ # owner: rumenz1 # group: rumenz1 user::rwx
user:rumenz1:rwx
user:rumenz2:r--
group::rwx
mask::rwx
other::--- 

如何删除 ACL

为了从任何文件/目录中删除 ACL，我们使用 x 和 b 选项

# setfacl -x ACL file/directory   # remove only specified ACL from file/directory. # setfacl -b  file/directory     #removing all ACL from file/direcoty 

两个用户（rumenz1 和 rumenz2)，两者都有名为的共同次要组acl。我们将创建一个所有者是rumenz1的目录, 并将该目录的 read 和 execute 授权给用户 rumenz2。

Step 1: 创建两个用户并从两者中删除密码

[root@linux ~]# for user in rumenz1 rumenz2 > do > useradd $user > passwd -d $user > done Removing password for user rumenz
passwd: Success
Removing password for user rumenz
passwd: Success 

Step 2: 创建一个组和用户到次要组。

[root@linux ~]# groupadd acl [root@linux ~]# usermod -G acl rumenz1 [root@linux ~]# usermod -G acl rumenz2 

Step 3:创建目录/rumenz并将所有权更改为rumenz1`.

[root@linux ~]# mkdir /rumenz1 [root@linux ~]# chown rumenz1 /rumenz1/ 

[root@linux ~]# ls -ld /rumenz1/ drwxr-xr-x 2 rumenz1 root 4096 Apr 17 14:46 /rumenz1/ 

[root@linux ~]# getfacl /rumenz1 `getfacl: Removing leading '/' from absolute path names` # file: rumenz1 # owner: rumenz1 # group: root user::rwx
group::r-x
other::r-x 

Step 4: 登录 rumenz1 并在其中创建一个目录。

[rumenz@linux ~]$ su - rumenz1

Last login: Thu Apr 17 14:49:16 IST 2014 on pts/4 

[rumenz1@linux ~]$ cd /rumenz1/
[rumenz1@linux rumenz1]$ mkdir example 

[rumenz1@linux rumenz1]$ ll

total 4
drwxrwxr-x 2 rumenz1 rumenz1 4096 Apr 17 14:50 example 

[rumenz1@linux rumenz1]$ whoami 
rumenz1 

Step 5: 现在使用设置ACLsetfacl，  rumenz1 将拥有所有 rwx 权限，rumenz2 将只有 read 的权限，example 文件夹和其他文件夹将没有权限。

$ setfacl -m u:rumenz1:rwx example/
$ setfacl -m u:rumenz2:r-- example/
$ setfacl -m  other:--- example/
$ getfacl example/ # file: example # owner: rumenz1 # group: rumenz1 user::rwx
user:rumenz1:rwx
user:rumenz2:r--
group::r-x
mask::rwx
other::--- 

Step 6: rumenz2 在另一个终端上并将目录更改为 /rumenz1。现在尝试使用ls命令 查看内容，然后尝试更改目录并查看如下差异。

[rumenz@linux ~]$ su - rumenz2

Last login: Thu Apr 17 15:03:31 IST 2014 on pts/5 

[rumenz2@linux ~]$ cd /rumenz1/
[rumenz2@linux rumenz1]$ ls -lR example/
example/:
total 0 

[rumenz2@linux rumenz1]$ cd example/

-bash: cd: example/: Permission denied 

[rumenz2@linux rumenz1]$ getfacl example/ # file: example # owner: rumenz1 # group: rumenz1 user::rwx
user:rumenz1:rwx
user:rumenz2:r--
group::rwx
mask::rwx
other::--- 

Step 7: 现在给 execute许可rumenz2 在 example 文件夹，然后使用 cd 命令查看效果。现在 rumenz2 具有查看和更改目录的权限，但没有写入任何内容的权限。

[rumenz1@linux rumenz1]$ setfacl -m u:rumenz2:r-x example/
[rumenz1@linux rumenz1]$ getfacl example/ # file: example # owner: rumenz1 # group: rumenz1 user::rwx
user:rumenz1:rwx
user:rumenz2:r-x
group::rwx
mask::rwx
other::--- 

[rumenz@linux ~]$ su - rumenz2

Last login: Thu Apr 17 15:09:49 IST 2014 on pts/5 

[rumenz2@linux ~]$ cd /rumenz1/
[rumenz2@linux rumenz1]$ cd example/
[rumenz2@linux example]$ getfacl . 

[rumenz2@linux example]$ mkdir test mkdir: cannot create directory test: Permission denied 

[rumenz2@linux example]$ touch test touch: cannot touch test: Permission denied 

Note: 执行 ACL 后，你将看到一个额外的 + 符号为 ls –l 输出如下。

[root@linux rumenz1]# ll total 4
drwxrwx---+ 2 rumenz1 rumenz1 4096 Apr 17 17:01 example