科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道灵活运用Linux中的文件/目录访问控制机制

灵活运用Linux中的文件/目录访问控制机制

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

文件/目录访问控制是Linux操作系统安全的重要组成部分。传统的Linux操作系统支持用户-用户组-其它用户的访问控制机制,来限定系统用户对文件/目录的访问权限,该机制已经广泛为用户所接受和应用。

来源:TechTarget中国 2012年1月11日

关键字: linux安全 ACL

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  ACL的基本命令

  ACL的主要命令有2个:getfacl和setfacl。Getfacl用于或取文件或者目录的ACL权限信息,而setfacl则用于设置文件或者目录的ACL权限信息。下面分别对他们的使用进行简单介绍。

  Getfacl-获取ACL权限信息

  getfacl命令用于获取文件的ACL权限信息,其基本用法为:getfacl[文件/目录名]。

  举个例子,首先,使用touch命令先建立一个测试文件acl_test:

  $touchfileacl_test

  然后,使用ls命令来查看该文件的权限访问属性,发现其并没有加入acl权限,因为没有出现“+”符号:

  $ls-lacl_test

  -rw-rw-r--1gavingavin012-2011:49acl_test

  接着,使用getfacl命令来获取文件的ACL权限信息,得到如下结果:

  $getfaclacl_test

  #file:acl_test

  #owner:gavin

  #group:gavin

  user::rw-

  group::rw-

  other::r—

  值得注意的是:即使该文件系统上没有开启ACL选项,getfacl命令仍然可用,不过只显示默认的文件访问权限,即与ls-l显示的内容相似。

  Setfacl-设置ACL权限

  为了设置文件的ACL权限,需要使用setfacl命令来详细设置文件的访问权限,其基本用法如下:

  setfacl–[参数][文件/目录],其常用的参数及作用如下所示:

  -m:建立一个ACL规则

  -x:删除一个ACL规则

  -b:删除全部的ACL规则

  -set:覆盖ACL规则

  下面来详细介绍如何使用setfacl来设置文件/目录的ACL权限。

  (1)添加/修改ACL规则

  需要使用-m选项来进行操作。

  举个例子,使用该命令为用户gavin和组test设置acl_test文件的读写权限,并使用getfacl查看设置结果:

  $setfacl-mu:gavin:rw,g:test:racl_test

  $getfaclacl_test

  #file:acl_test

  #owner:gavin

  #group:gavin

  user::rw-

  user:gavin:rw-

  group::rw-

  group:test:r--

  mask::rw-

  other::r—

  在上面的命令示例中,可以清楚地看到加粗部分user:gavin、group:test、mask这3个ACLEntry的出现,表明对文件进行了ACL权限设置,否则,不会出现该标识。为了进一步验证,我们使用ls-l来查看该文件的权限位中是否多了“+”这个标识位,如下所示:

  $ls-lacl_test

  -rw-rw-r--+1gavingavin012-2011:49acl_test

  其中,user:gavin、group:test为我们设置的访问权限,而mask::rw为自动添加的内容。

  (2)删除ACL规则

  使用-x选项可以方便地删除指定用户对指定文件/目录的访问权限。

  以下示例删除用户gavin对文件acl_test的访问权限:

  $setfacl-xu:gavinacl_test

  $getfaclacl_test

  #file:acl_test

  #owner:gavin

  #group:gavin

  user::rw-

  group::rw-

  group:test:r--

  mask::rw-

  other::r--

  $ls-lacl_test

  -rw-rw-r--+1gavingavin012-2011:49acl_test

  通过上述2段ACL权限显示的对比可以清楚地看到:用户gavin对于文件acl_test的访问权限已经完全删除了,表现为user:gavin:rw-已经不存在了。这里提醒注意的是:我们不能够通过setfacl命令来指定删除用户/组对文件/目录的某一个特定权限(如r、w或者x)。同时,也可以看到,使用ls-l命令显示文件的9个权限位还是没有改变,因为改变的只是ACL权限,而不是最基本的user、group和others权限。

  (3)删除文件/目录的所有ACL规则

  使用-b选项可以删除文件/目录的ACL权限。如下命令将删除文件acl_test的所有ACL权限。可以看到,使用getfacl命令来查看是,mask项已经消失,即该文件已经没有了所有的ACL权限:

  $setfacl-bacl_test

  $getfaclacl_test

  #file:acl_test

  #owner:gavin

  #group:gavin

  user::rw-

  group::rw-

  other::r—

  (4)覆盖文件的原有ACL规则

  需要使用--set选项。此处需要强调一下-m选项和--set选项的区别:-m选项只是修改已有的配置或是新增加一些;而--set选项和-m不同,它会把原有的ACL项全都删除,并用新的替代。另外,--set选项的参数中一定要包含UGO的设置,不能象-m一样只是添加ACL就可以了。

  以下示例该选项的使用方法:

  $setfacl--setu::rw,g::rw,o::r,u:gavin:rwx,g:test:rxacl_test

  $getfaclacl_test

  #file:acl_test

  #owner:gavin

  #group:gavin

  user::rw-

  user:gavin:rwx

  group::rw-

  group:test:r-x

  mask::rwx

  other::r--

  $ls-lacl_test

  -rw-rwxr--+1gavingavin012-2011:49acl_test

  这里需要提醒注意的是:上述acl_test文件的权限标识位中的group的rwx权限,并不是表明acl_test文件所属用户的用户组对其有x权限,实际上只具有rw权限,而是因为在group:test:r-x中指定了test这个组具有x权限,所以ACL机制在这个标识位上进行了体现,在实际的应用中要特别注意,切记不要弄混淆了。

  (5)其他选项

  除了上述介绍的4类用法外,setfacl还可以使用如下一些选项,如下表,供大家在实际使用中参考:

  为目录创建默认ACL

  在日常的使用过程中,经常是通过对目录来设定ACL权限来满足应用的需求,而很少仅仅通过设置特定的文件来实现,因为这样做比较繁琐和低效。因此,下面就介绍如何来为目录创建默认的ACL。

  如果希望在一个目录中新建的文件和目录都使用同一个预定的ACL,那么我们可以使用默认ACL(DefaultACL)。在对一个目录设置了默认的ACL以后,每个在目录中创建的文件都会自动继承目录的默认ACL作为自己的ACL。

  具体的设置命令为:setfacl-d[目录名]。

  下面的例子对新建的test目录进行ACL权限设置,并在其中新建了test1和test2文件,来看看默认ACL的设置情况。

  首先,对文件夹test进行ACL权限查看如下:

  $getfacltest

  #file:test

  #owner:gavin

  #group:gavin

  user::rwx

  group::rwx

  other::r-x

  接着,对其进行权限设置如下:

  $setfacl-d-mg:test:rtest

  $getfacltest

  #file:test

  #owner:gavin

  #group:gavin

  user::rwx

  group::rwx

  other::r-x

  default:user::rwx

  default:group::rwx

  default:group:test:r--

  default:mask::rwx

  default:other::r-x

  可以看到,经过setfacl设置后,该文件夹的权限增加了以default开始的几项,表明设置成功。

  然后,建立两个新的文件,然后查看他们的ACL权限信息如下:

  $touchtest1test2

  $getfacltest1

  #file:test1

  #owner:gavin

  #group:gavin

  user::rw-

  group::rwx#effective:rw-

  group:test:r--

  mask::rw-

  other::r--

  $getfacltest2

  #file:test2

  #owner:gavin

  #group:gavin

  user::rw-

  group::rwx#effective:rw-

  group:test:r--

  mask::rw-

  other::r--

  可以清楚地看到:文件test1和test2自动继承了test设置的ACL。

  备份和恢复ACL

  目前,Linux系统中的主要的文件操作命令,如cp、mv、ls等都支持ACL。因此,在基本的文件/目录操作中可以很好地保持文件/目录的ACL权限。然而,有一些其它的命令,比如tar(文件归档)等常见的备份工具是不会保留目录和文件的ACL信息的。因此,如果希望备份和恢复带有ACL的文件和目录,那么可以先把ACL备份到一个文件里,待操作完成以后,则可以使用--restore选项来恢复这个文件/目录中保存的ACL信息。

  下面给出一个具体的例子来进行说明。

  (1)获取文件acl_test的ACL权限

  $getfaclacl_test

  #file:acl_test

  #owner:gavin

  #group:gavin

  user::rwx

  user:test:r--

  group::---

  mask::r--

  other::---

  (2)将该文件的ACL权限保存至acl_test.acl文件中并进行查看

  $getfaclacl_test>acl_test.acl

  $catacl_test.acl

  #file:acl_test

  #owner:gavin

  #group:gavin

  user::rwx

  user:test:r--

  group::---

  mask::r--

  other::---

  (3)使用tar命令进行文件操作,并查看生成文件acl.tar的ACL权限,发现其并不具备ACL权限

  $tarczvfacl.taracl_test

  acl_test

  $getfaclacl.tar

  #file:acl.tar

  #owner:gavin

  #group:gavin

  user::rw-

  group::rw-

  other::r--

  (4)删除acl_test文件,并释放acl.tar,查看其ACL权限,发现经过tar命令后,acl_test文件不在具备第(1)步显示的任何ACL权限,表明tar命令不能保持文件的ACL权限

  $rm-rfacl_test

  $tar-xzvfacl.tar

  acl_test

  $getfaclacl_test

  #file:acl_test

  #owner:gavin

  #group:gavin

  user::rwx

  group::r--

  other::---

  (5)使用命令从文件恢复acl_test的ACL权限,进行查看,表明成功恢复。

  $setfacl--restoreacl_test.acl

  $getfaclacl_test

  #file:acl_test

  #owner:gavin

  #group:gavin

  user::rwx

  user:test:r--

  group::---

  mask::r--

  other::---

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章