赞
踩
目前已知的三种权限分别是,所有者权限,所属组权限,和其他人权限。这三种权限有时并不能很好的指定所有用户的权限。当无法使用这三种权限准确的指定一个用户的权限时,可以使用acl给用户或用户组指定特定的权限。例如,所有者和所属组具有最高权限。其他人具有0权限。此时我希望给一个用户设定r-x权限。这时用以上三种权限很难实现。就可以用acl指定该用户的权限。
常见参数:
- -m 设定ACL权限
- -x 删除指定的ACL权限
- -b 删除所有的ACL权限
- -d 设定默认ACL权限
- -k 删除默认ACL权限
- -R 递归设定ACL权限
setfacl -m u:username:rx 文件或目录
setfacl -m g:groupname:rx 文件或目录
例如有test目录,所有者是twilight,所属组是stu,都具有最高权限,具体属性如下:
drwxrwx---. 2 twilight stu 6 7月 25 20:05 test
如果此时希望添加一个lw用户,使之具有r-x权限,可以使用acl:
setfacl -m u:lw:rx test
用getfacl查看acl权限:
[root@localhost home]# getfacl test
# file: test
# owner: twilight
# group: stu
user::rwx
user:lw:r-x
group::rwx
mask::rwx
other::---
此时查看test目录的属性:
drwxrwx---+ 2 twilight stu 6 7月 25 20:05 test
mask 是最大权限,用户指定的权限需要与mask进行与运算,运算的结果才是用户实际具有的权限。
setfacl -m m:r-x 文件或目录
[root@localhost home]# setfacl -m m:r-x test
[root@localhost home]# getfacl test
# file: test
# owner: twilight
# group: stu
user::rwx
user:lw:rwx #effective:r-x
group::rwx #effective:r-x
mask::r-x
other::---
删除指定用户的acl权限
setfacl -x u:用户名 文件或目录
删除指定用户组的acl权限
setfacl -x g:用户组名 文件或目录
删除文件的所有acl权限
setfacl -b 文件名
[root@localhost home]# setfacl -x u:lw test
[root@localhost home]# getfacl test
# file: test
# owner: twilight
# group: stu
user::rwx
group::rwx
mask::rwx
other::---
父目录在设定acl权限是,所有的已存在的子文件俺和子目录也会具有相同的acl权限。只能针对目录
setfacl -m u:lw:r-x -R 目录名
给test目录赋予r-x递归权限:
setfacl -m u:lw:r-x -R test
test的子目录和子文件都会有acl权限:
[root@localhost test]# ll
总用量 0
drwxrwxr-x+ 2 root root 6 7月 25 21:15 dir
-rw-rw-r--+ 1 root root 0 7月 25 21:15 file
但是此时会出现一个问题,test的权限是r-x,代表可以对目录进行读和进入目录操作。但是同样的r-x对于文件来说作用是不同的。对于文件r-x表示读和执行,执行权限是最高权限。这样给文件赋予r-x权限是很不安全的。这种情况叫做权限溢出。
这是acl最大的缺陷,只能手动的修改权限。
父目录中给所有新建的子文件都会集成父目录的ACL权限。
setfacl -m d:u:用户名:r-x 目录名
[root@localhost home]# setfacl -m d:u:lw:r-x test
[root@localhost home]# getfacl test
# file: test
# owner: twilight
# group: stu
user::rwx
user:lw:rw-
group::rwx
mask::rwx
other::---
default:user::rwx
default:user:lw:r-x
default:group::rwx
default:mask::rwx
default:other::---
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。