權限設定工具 Setfacl[轉]

很詳細的setfacl的使用說明，一起分享

指令名 setfacl - 設定檔案通路控制清單

setfacl [-bkndRLPvh] [{-m|-x} acl_spec] [{-M|-X} acl_file] file ...

setfacl --restore=file

描述

setfacl用來在指令行裡設定ACL。在指令行裡，一系列的指令跟随以一系列的檔案名。

選項-m和-x後邊跟以acl規則。多條acl規則以逗号(,)隔開。選項-M和-X用來從檔案或标準輸入讀取acl規則。

選項--set和--set-file用來設定檔案或目錄的acl規則，先前的設定将被覆寫。

選項-m(--modify)和-M(--modify-file)選項修改檔案或目錄的acl規則。

選項-x(--remove)和-X(--remove-file)選項删除acl規則。

當使用-M，-X選項從檔案中讀取規則時，setfacl接受getfacl指令輸出的格式。每行至少一條規則，以#開始的行将被視為注釋。

當在不支援ACLs的檔案系統上使用setfacl指令時，setfacl将修改檔案權限位。如果acl規則并不完全比對檔案權限位，setfacl将會修改檔案權限位使其盡可能的反應acl規則，并會向standard error發送錯誤消息，以大于0的狀态傳回。

權限

檔案的所有者以及有CAP_FOWNER的使用者程序可以設定一個檔案的acl。（在目前的linux系統上，root使用者是唯一有CAP_FOWNER能力的使用者）

選項

-b,--remove-all

删除所有擴充的acl規則，基本的acl規則(所有者，群組，其他）将被保留。

-k,--remove-default

删除預設的acl規則。如果沒有預設規則，将不提示。

-n，--no-mask

不要重新計算有效權限。setfacl預設會重新計算ACL mask，除非mask被明确的制定。

--mask

重新計算有效權限，即使ACL mask被明确指定。

-d，--default

設定預設的acl規則。

--restore=file

從檔案恢複備份的acl規則（這些檔案可由getfacl -R産生）。通過這種機制可以恢複整個目錄樹的acl規則。此參數不能和除--test以外的任何參數一同執行。

--test

測試模式，不會改變任何檔案的acl規則，操作後的acl規格将被列出。

-R，--recursive

遞歸的對所有檔案及目錄進行操作。

-L，--logical

跟蹤符号連結，預設情況下隻跟蹤符号連結檔案，跳過符号連結目錄。

-P，--physical

跳過所有符号連結，包括符号連結檔案。

--version

輸出setfacl的版本号并退出。

--help

輸出幫助資訊。

--

辨別指令行參數結束，其後的所有參數都将被認為是檔案名

-

如果檔案名是-，則setfacl将從标準輸入讀取檔案名。

ACL規則

setfacl指令可以識别以下的規則格式。

[d[efault]:] [u[ser]:]uid [:perms]

指定使用者的權限，檔案所有者的權限（如果uid沒有指定）。

[d[efault]:] g[roup]:gid [:perms]

指定群組的權限，檔案所有群組的權限（如果gid未指定）

[d[efault]:] m[ask][:] [:perms]

有效權限掩碼

[d[efault]:] o[ther] [:perms]

其他的權限

恰當的acl規則被用在修改和設定的操作中。

對于uid和gid，可以指定一個數字，也可指定一個名字。

perms域是一個代表各種權限的字母的組合：讀-r 寫-w 執行-x，執行隻适合目錄和一些可執行的檔案。pers域也可設定為八進制格式。

自動建立的規則

最初的，檔案目錄僅包含3個基本的acl規則。為了使規則能正常執行，需要滿足以下規則。

*3個基本規則不能被删除。

*任何一條包含指定的使用者名或群組名的規則必須包含有效的權限組合。

*任何一條包含預設規則的規則在使用時，預設規則必須存在。

_____________________________________________________________

1. 為什麼要使用ACL

而對于每一類别又分别定義了read, write and execute/search permission (這裡不讨論SUID, SGID以及Sticky bit的設定)

通過ls -l指令就我們就可以列出一個檔案的permission

代碼:

# ls -l [leonard@localhost ~]$ ls -l -rw-rw---- 1 leonard admin 0 Jul 3 20:12 test.txt

在 這裡說明了對于test.txt這個檔案leonard使用者(由于是file owner)擁有read & write permission. 所有屬于admin group的使用者(group)擁有read & write permission. 其他任何使用者(other)對于檔案沒有任何的permission

如果我們現在希望john這個使用者也可以對test.txt檔案進行讀寫操作. 我自己大概會想到以下幾種辦法 (這裡假設john不屬于admin group)

1. 給檔案的other類别增加read and write permission. 這樣由于john會被歸為other類别,那麼他也将擁有讀寫的權限

2. 将john加入到admin group. 那麼john會被歸為group類别,那麼他将擁有讀寫的權限

3. 設定sudo, 使john能夠以leonard的身份對test.txt進行操作,進而獲得讀寫權限

第一種做法的問題在于所有使用者都将對test.txt擁有讀寫操作,顯然這種做法不可取

第二種做法的問題在于john被賦予了過多的權限.所有屬于admin組的檔案,john都可以擁有其等同的權限了

第三種做法雖然可以達到隻限定john使用者一人擁有對test.txt檔案的讀寫權限.但是需要對sudoers檔案進行嚴格的格式控制. 而且當檔案數量和使用者很多的時候,這種方法就相當地不靈活了

看 來好像都沒有一個很好的解決方案. 其實問題就出在Linux file permission裡面,對于other的定義過于廣泛,以至于很難把permission限定于一個不屬于file owner和group的使用者身上. 那麼Access Control List (ACL)就是用來幫助我們解決這個問題的.

簡單地來說ACL就是可以設定特定使用者或者使用者組對于一個檔案的操作權限. 需要掌握的指令也隻有三個: getfacl, setfacl, chacl

在接下去讨論之前大家可以先安裝上ACL的RPM包

# rpm -ivh libacl-2.2.39-1.1 acl-2.2.39-1.1.i386.rpm

2. ACL的名詞定義

先來看看在ACL裡面每一個名詞的定義.這些名詞我大多從man page上摘下來雖然有些枯燥,但是對于了解下面的内容還是很有幫助的

ACL 是由一系列的Access Entry所組成的. 每一條Access Entry定義了特定的類别可以對檔案擁有的操作權限. Access Entry有三個組成部分: Entry tag type, qualifier (optional), permission

我們先來看一下最重要的Entry tag type, 它有以下幾個類型

ACL_USER_OBJ: 相當于Linux裡file_owner的permission

ACL_USER: 定義了額外的使用者可以對此檔案擁有的permission

ACL_GROUP_OBJ: 相當于Linux裡group的permission

ACL_GROUP: 定義了額外的組可以對此檔案擁有的permission

ACL_MASK: 定義了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大權限 (這個我下面還會專門讨論)

ACL_OTHER: 相當于Linux裡other的permission

讓我們來據個例子說明一下. 下面我們就用getfacl指令來檢視一個定義好了的ACL檔案

[leonard@localhost ~]$ getfacl ./test.txt

# file: test.txt

# owner: leonard

# group: admin

user::rw-

user:john:rw-

group::rw-

group:dev:r--

mask::rw- other::r--

前面三個以#開頭的定義了檔案名,file owner和group. 這些資訊沒有太大的作用,接下來我們可以用 --omit-header來省略掉

user::rw- 定義了ACL_USER_OBJ, 說明file owner擁有read and write permission

user:john:rw- 定義了ACL_USER,這樣使用者john就擁有了對檔案的讀寫權限,實作了我們一開始要達到的目的

group::rw- 定義了ACL_GROUP_OBJ,說明檔案的group擁有read and write permission

group:dev:r-- 定義了ACL_GROUP,使得dev組擁有了對檔案的read permission

mask::rw- 定義了ACL_MASK的權限為read and write

other::r-- 定義了ACL_OTHER的權限為read

從這裡我們就可以看出ACL提供了我們可以定義特定使用者和使用者組的功能. 那麼接下來我們就來看一下如何設定一個檔案的ACL

3. 如何設定ACL檔案

首先我們還是要講一下設定ACL檔案的格式. 從上面的例子中我們可以看到每一個Access Entry都是由三個被:号分隔開的字段所組成. 第一個就是Entry tag type

user 對應了ACL_USER_OBJ和ACL_USER

group 對應了ACL_GROUP_OBJ和ACL_GROUP

mask 對應了ACL_MASK

other 對應了ACL_OTHER

第二個字段稱之為qualifier.也就是上面例子中的john和dev組.它定義了特定使用者和擁護組對于檔案的權限.這裡我們也可以發現隻有user和group才有qualifier,其他的都為空

第三個字段就是我們熟悉的permission了. 它和Linux的permission一樣定義,這裡就不多講了

下面我們就來看一下怎麼設定test.txt這個檔案的ACL讓它來達到我們上面的要求

一開始檔案沒有ACL的額外屬性

[leonard@localhost ~]$ ls -l

-rw-rw-r-- 1 leonard admin 0 Jul 3 22:06 test.txt

[leonard@localhost ~]$ getfacl --omit-header ./test.txt

user::rw- group::rw- other::r--

我們先讓使用者john擁有對test.txt檔案的讀寫權限

[leonard@localhost ~]$ setfacl -m user:john:rw- ./test.txt

mask::rw-

other::r--

這時我們就可以看到john使用者在ACL裡面已經擁有了對檔案的讀寫權限. 這個時候如果我們檢視一下linux的permission我們還會發現一個不一樣的地方

[leonard@localhost ~]$ ls -l ./test.txt

-rw-rw-r--+ 1 leonard admin 0 Jul 3 22:06 ./test.txt

在檔案permission的最後多了一個+号. 當任何一個檔案擁有了ACL_USER或者ACL_GROUP的值以後我們就可以稱它為ACL檔案.這個+号就是用來提示我們的

我們還可以發現當一個檔案擁有了ACL_USER或者ACL_GROUP的值時ACL_MASK同時也會被定義

接下來我們來設定dev組擁有read permission

[leonard@localhost ~]$ setfacl -m group:dev:r-- ./test.txt

到這裡就完成了我們上面講到的要求.是不是很簡單呢

4. ACL_MASK 和 Effective permission

這裡需要重點講一下ACL_MASK, 因為這是掌握ACL的另一個關鍵

在Linux file permission裡面大家都知道比如對于rw-rw-r--來說, 當中的那個rw-是指檔案組的permission. 但是在ACL裡面這種情況隻是在ACL_MASK不存在的情況下成立. 如果檔案有ACL_MASK值,那麼當中那個rw-代表的就是mask值而不再是group permission了

讓我們來看下面這個例子

-rwxrw-r-- 1 leonard admin 0 Jul 3 23:10 test.sh

這裡說明test.sh檔案隻有file owner: leonard擁有read, write, execute/search permission. admin組隻有read and write permission

現在我們想讓使用者john也對test.sh具有和leonard一樣的permission

[leonard@localhost ~]$ setfacl -m user:john:rwx ./test.sh

[leonard@localhost ~]$ getfacl --omit-header ./test.sh

user::rwx user:john:rwx

mask::rwx

這裡我們看到john已經擁有了rwx的permission. mask值也被設定為rwx.那是因為它規定了ACL_USER, ACL_GROUP和ACL_GROUP_OBJ的最大值

現在我們再來看test.sh的Linux permission, 它已經變成了

-rwxrwxr--+ 1 leonard admin 0 Jul 3 23:10 test.sh

那 麼如果現在admin組的使用者想要執行test.sh的程式會發生什麼情況呢? 它會被permission deny.原因在于實際上admin組的使用者隻有read and write permission.這裡當中顯示的rwx是ACL_MASK的值而不是group的permission

是以從這裡我們就可以知道,如果一個檔案後面有+标記,我們都需要用getfacl來确認它的permission,以免發生混淆

下面我們再來繼續看一個例子

假如現在我們設定test.sh的mask為read only,那麼admin組的使用者還會有write permission嗎?

[leonard@localhost ~]$ setfacl -m mask::r-- ./test.sh

user::rwx

user:john:rwx   #effective:r--

group::rw-      #effective:r--

mask::r--

這時候我們可以看到ACL_USER和ACL_GROUP_OBJ旁邊多了個#effective:r--, 這是什麼意思呢?

讓 我們再來回顧一下ACL_MASK的定義. 它規定了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大權限.那麼在我們這個例子中他們的最大權限也就是read only.雖然我們這裡給ACL_USER和ACL_GROUP_OBJ設定了其他權限,但是他們真正有效果的隻有read權限.

這時我們再來檢視test.sh的Linux file permission時它的group permission也會顯示其mask的值(i.e. r--)

-rwxr--r--+ 1 leonard admin 0 Jul 3 23:10 test.sh

5. Default ACL

上面我們所有講的都是Access ACL, 也就是對檔案而言. 下面我簡單講一下Default ACL. Default ACL是指對于一個目錄進行Default ACL設定,并且在此目錄下建立的檔案都将繼承此目錄的ACL

同樣我們來做一個試驗說明

比如現在leonard使用者建立了一個dir目錄

[leonard@localhost ~]$ mkdir dir

他希望所有在此目錄下建立的檔案都可以被john使用者所通路. 那麼我們就應該對dir目錄設定Default ACL

[leonard@localhost ~]$ setfacl -d -m user:john:rw ./dir

[leonard@localhost ~]$ getfacl --omit-header ./dir

group::rwx

other::r-x

default:user::rwx

default:user:john:rwx

default:group::rwx

default:mask::rwx

default: other::r-x

這裡我們可以看到ACL定義了default選項, john使用者擁有了default的read, write, excute/search permission.所有沒有定義的default都将從file permission裡copy過來

現在leonard使用者在dir下建立一個test.txt檔案

[leonard@localhost ~]$ touch ./dir/test.txt

[leonard@localhost ~]$ ls -l ./dir/test.txt

-rw-rw-r--+ 1 leonard leonard 0 Jul 3 23:46 ./dir/test.txt

[leonard@localhost ~]$ getfacl --omit-header ./dir/test.txt

group::rwx #effective:rw-

這裡我們看到在dir下建立的檔案john使用者自動就有了read and write permission

6. ACL 相關指令

前 面的例子中我們都注意到了getfacl指令是用來讀取檔案的ACL, setfacl是用來設定檔案的Acess ACL. 這裡還有一個chacl是用來改變檔案和目錄的Access ACL and Default ACL. 它的具體參數大家可以去看man page. 我隻想提及一下chacl -B. 它可以徹底删除檔案或者目錄的ACL屬性(包括Default ACL). 比如你即使用了setfacl -x删除了所有檔案的ACL屬性,那個+号還是會出現在檔案的末尾.是以正确的删除方法應該是用chacl -B

用cp來複制檔案的時候我們現在可以加上-p選項.這樣在拷貝檔案的時候也将拷貝檔案的ACL屬性.對于不能拷貝的ACL屬性将給出警告

mv指令将會預設地移動檔案的ACL屬性. 同樣如果操作不允許的情況下會給出警告

7. 需要注意的幾點

mount -o remount, acl [mount point]

如果用chmod指令改變Linux file permission的時候相應的ACL值也會改變.反之改變ACL的值,相應的file permission也會改變

8. 參考資料

1. man acl 個人感覺man page已經講的比較詳細,隻是上面名詞比較多看起來會比較繁瑣

2. http://www.suse.de/~agruen/acl/linux-acls/online/ 如果你英語不錯的話可以看一下這篇關于POSIX ACL的介紹,上面有許多不錯的例子。

扶凱注:用這種方法管理權限很不錯,但要記的,對檔案管理隻能有rwx三種權限，所能直實權限中的所有都才能改變檔案本身的權限。用acl隻能控制

本文轉自 kk5234 51CTO部落格，原文連結：http://blog.51cto.com/kk5234/778572，如需轉載請自行聯系原作者