Linux 進階的權限管理ACL(轉)

轉:http://railery.spaces.live.com/Blog/cns!490DE0D7BCF1AB67!249.entry

1. 為什麼要使用ACL

先讓我們來簡單地複習一下Linux的file permission.

在linux下,對一個檔案(或者資源)可以進行操作的對象被分為三類: file owner(檔案的擁有者), group(組,注意不一定是檔案擁有者所在的組), other (其他)

而對于每一類别又分别定義了read, write and execute/search permission (這裡不讨論SUID, SGID以及Sticky bit的設定)

通過ls -l指令就我們就可以列出一個檔案的permission

代碼:

# ls -l [leonard@localhost ~]$ ls -l -rw-rw---- 1 leonard admin 0 Jul 3 20:12 test.txt

在這裡說明了對于test.txt這個檔案leonard使用者(由于是file owner)擁有read & write permission. 所有屬于admin group的使用者(group)擁有read & write permission. 其他任何使用者(other)對于檔案沒有任何的permission

如果我們現在希望john這個使用者也可以對test.txt檔案進行讀寫操作. 我自己大概會想到以下幾種辦法 (這裡假設john不屬于admin group)

1. 給檔案的other類别增加read and write permission. 這樣由于john會被歸為other類别,那麼他也将擁有讀寫的權限

2. 将john加入到admin group. 那麼john會被歸為group類别,那麼他将擁有讀寫的權限

3. 設定sudo, 使john能夠以leonard的身份對test.txt進行操作,進而獲得讀寫權限

第一種做法的問題在于所有使用者都将對test.txt擁有讀寫操作,顯然這種做法不可取

第二種做法的問題在于john被賦予了過多的權限.所有屬于admin組的檔案,john都可以擁有其等同的權限了

第三種做法雖然可以達到隻限定john使用者一人擁有對test.txt檔案的讀寫權限.但是需要對sudoers檔案進行嚴格的格式控制. 而且當檔案數量和使用者很多的時候,這種方法就相當地不靈活了

看來好像都沒有一個很好的解決方案. 其實問題就出在Linux file permission裡面,對于other的定義過于廣泛,以至于很難把permission限定于一個不屬于file owner和group的使用者身上. 那麼Access Control List (ACL)就是用來幫助我們解決這個問題的.

簡單地來說ACL就是可以設定特定使用者或者使用者組對于一個檔案的操作權限. 需要掌握的指令也隻有三個: getfacl, setfacl, chacl

在接下去讨論之前大家可以先安裝上ACL的RPM包

# rpm -ivh libacl-2.2.39-1.1 acl-2.2.39-1.1.i386.rpm

2. ACL的名詞定義

先來看看在ACL裡面每一個名詞的定義.這些名詞我大多從man page上摘下來雖然有些枯燥,但是對于了解下面的内容還是很有幫助的

ACL 是由一系列的Access Entry所組成的. 每一條Access Entry定義了特定的類别可以對檔案擁有的操作權限. Access Entry有三個組成部分: Entry tag type, qualifier (optional), permission

我們先來看一下最重要的Entry tag type, 它有以下幾個類型

ACL_USER_OBJ: 相當于Linux裡file_owner的permission

ACL_USER: 定義了額外的使用者可以對此檔案擁有的permission

ACL_GROUP_OBJ: 相當于Linux裡group的permission

ACL_GROUP: 定義了額外的組可以對此檔案擁有的permission

ACL_MASK: 定義了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大權限 (這個我下面還會專門讨論)

ACL_OTHER: 相當于Linux裡other的permission

讓我們來據個例子說明一下. 下面我們就用getfacl指令來檢視一個定義好了的ACL檔案

[leonard@localhost ~]$ getfacl ./test.txt

# file: test.txt

# owner: leonard

# group: admin

user::rw-

user:john:rw-

group::rw-

group:dev:r--

mask::rw- other::r--

前面三個以#開頭的定義了檔案名,file owner和group. 這些資訊沒有太大的作用,接下來我們可以用 --omit-header來省略掉

user::rw- 定義了ACL_USER_OBJ, 說明file owner擁有read and write permission

user:john:rw- 定義了ACL_USER,這樣使用者john就擁有了對檔案的讀寫權限,實作了我們一開始要達到的目的

group::rw- 定義了ACL_GROUP_OBJ,說明檔案的group擁有read and write permission

group:dev:r-- 定義了ACL_GROUP,使得dev組擁有了對檔案的read permission

mask::rw- 定義了ACL_MASK的權限為read and write

other::r-- 定義了ACL_OTHER的權限為read

從這裡我們就可以看出ACL提供了我們可以定義特定使用者和使用者組的功能. 那麼接下來我們就來看一下如何設定一個檔案的ACL

3. 如何設定ACL檔案

首先我們還是要講一下設定ACL檔案的格式. 從上面的例子中我們可以看到每一個Access Entry都是由三個被:号分隔開的字段所組成. 第一個就是Entry tag type

user 對應了ACL_USER_OBJ和ACL_USER

group 對應了ACL_GROUP_OBJ和ACL_GROUP

mask 對應了ACL_MASK

other 對應了ACL_OTHER

第二個字段稱之為qualifier.也就是上面例子中的john和dev組.它定義了特定使用者和擁護組對于檔案的權限.這裡我們也可以發現隻有user和group才有qualifier,其他的都為空

第三個字段就是我們熟悉的permission了. 它和Linux的permission一樣定義,這裡就不多講了

下面我們就來看一下怎麼設定test.txt這個檔案的ACL讓它來達到我們上面的要求

一開始檔案沒有ACL的額外屬性

[leonard@localhost ~]$ ls -l

-rw-rw-r-- 1 leonard admin 0 Jul 3 22:06 test.txt

[leonard@localhost ~]$ getfacl --omit-header ./test.txt

user::rw- group::rw- other::r--

我們先讓使用者john擁有對test.txt檔案的讀寫權限

[leonard@localhost ~]$ setfacl -m user:john:rw- ./test.txt

mask::rw-

other::r--

這時我們就可以看到john使用者在ACL裡面已經擁有了對檔案的讀寫權限. 這個時候如果我們檢視一下linux的permission我們還會發現一個不一樣的地方

[leonard@localhost ~]$ ls -l ./test.txt

-rw-rw-r--+ 1 leonard admin 0 Jul 3 22:06 ./test.txt

在檔案permission的最後多了一個+号. 當任何一個檔案擁有了ACL_USER或者ACL_GROUP的值以後我們就可以稱它為ACL檔案.這個+号就是用來提示我們的

我們還可以發現當一個檔案擁有了ACL_USER或者ACL_GROUP的值時ACL_MASK同時也會被定義

接下來我們來設定dev組擁有read permission

[leonard@localhost ~]$ setfacl -m group:dev:r-- ./test.txt

到這裡就完成了我們上面講到的要求.是不是很簡單呢

4. ACL_MASK 和 Effective permission

這裡需要重點講一下ACL_MASK, 因為這是掌握ACL的另一個關鍵

在Linux file permission裡面大家都知道比如對于rw-rw-r--來說, 當中的那個rw-是指檔案組的permission. 但是在ACL裡面這種情況隻是在ACL_MASK不存在的情況下成立. 如果檔案有ACL_MASK值,那麼當中那個rw-代表的就是mask值而不再是group permission了

讓我們來看下面這個例子

-rwxrw-r-- 1 leonard admin 0 Jul 3 23:10 test.sh

這裡說明test.sh檔案隻有file owner: leonard擁有read, write, execute/search permission. admin組隻有read and write permission

現在我們想讓使用者john也對test.sh具有和leonard一樣的permission

[leonard@localhost ~]$ setfacl -m user:john:rwx ./test.sh

[leonard@localhost ~]$ getfacl --omit-header ./test.sh

user::rwx user:john:rwx

mask::rwx

這裡我們看到john已經擁有了rwx的permission. mask值也被設定為rwx.那是因為它規定了ACL_USER, ACL_GROUP和ACL_GROUP_OBJ的最大值

現在我們再來看test.sh的Linux permission, 它已經變成了

-rwxrwxr--+ 1 leonard admin 0 Jul 3 23:10 test.sh

那麼如果現在admin組的使用者想要執行test.sh的程式會發生什麼情況呢? 它會被permission deny.原因在于實際上admin組的使用者隻有read and write permission.這裡當中顯示的rwx是ACL_MASK的值而不是group的permission

是以從這裡我們就可以知道,如果一個檔案後面有+标記,我們都需要用getfacl來确認它的permission,以免發生混淆

下面我們再來繼續看一個例子

假如現在我們設定test.sh的mask為read only,那麼admin組的使用者還會有write permission嗎?

[leonard@localhost ~]$ setfacl -m mask::r-- ./test.sh

user::rwx

user:john:rwx   #effective:r--

group::rw-      #effective:r--

mask::r--

這時候我們可以看到ACL_USER和ACL_GROUP_OBJ旁邊多了個#effective:r--, 這是什麼意思呢?

讓我們再來回顧一下ACL_MASK的定義. 它規定了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大權限.那麼在我們這個例子中他們的最大權限也就是read only.雖然我們這裡給ACL_USER和ACL_GROUP_OBJ設定了其他權限,但是他們真正有效果的隻有read權限.

這時我們再來檢視test.sh的Linux file permission時它的group permission也會顯示其mask的值(i.e. r--)

-rwxr--r--+ 1 leonard admin 0 Jul 3 23:10 test.sh

5. Default ACL

上面我們所有講的都是Access ACL, 也就是對檔案而言. 下面我簡單講一下Default ACL. Default ACL是指對于一個目錄進行Default ACL設定,并且在此目錄下建立的檔案都将繼承此目錄的ACL

同樣我們來做一個試驗說明

比如現在leonard使用者建立了一個dir目錄

[leonard@localhost ~]$ mkdir dir

他希望所有在此目錄下建立的檔案都可以被john使用者所通路. 那麼我們就應該對dir目錄設定Default ACL

[leonard@localhost ~]$ setfacl -d -m user:john:rw ./dir

[leonard@localhost ~]$ getfacl --omit-header ./dir

group::rwx

other::r-x

default:user::rwx

default:user:john:rwx

default:group::rwx

default:mask::rwx

default: other::r-x

這裡我們可以看到ACL定義了default選項, john使用者擁有了default的read, write, excute/search permission.所有沒有定義的default都将從file permission裡copy過來

現在leonard使用者在dir下建立一個test.txt檔案

[leonard@localhost ~]$ touch ./dir/test.txt

[leonard@localhost ~]$ ls -l ./dir/test.txt

-rw-rw-r--+ 1 leonard leonard 0 Jul 3 23:46 ./dir/test.txt

[leonard@localhost ~]$ getfacl --omit-header ./dir/test.txt

group::rwx #effective:rw-

這裡我們看到在dir下建立的檔案john使用者自動就有了read and write permission

6. ACL 相關指令

前面的例子中我們都注意到了getfacl指令是用來讀取檔案的ACL, setfacl是用來設定檔案的Acess ACL. 這裡還有一個chacl是用來改變檔案和目錄的Access ACL and Default ACL. 它的具體參數大家可以去看man page. 我隻想提及一下chacl -B. 它可以徹底删除檔案或者目錄的ACL屬性(包括Default ACL). 比如你即使用了setfacl -x删除了所有檔案的ACL屬性,那個+号還是會出現在檔案的末尾.是以正确的删除方法應該是用chacl -B

用cp來複制檔案的時候我們現在可以加上-p選項.這樣在拷貝檔案的時候也将拷貝檔案的ACL屬性.對于不能拷貝的ACL屬性将給出警告

mv指令将會預設地移動檔案的ACL屬性. 同樣如果操作不允許的情況下會給出警告

7. 需要注意的幾點

如果你的檔案系統不支援ACL的話,你也許需要重新mount你的file system

mount -o remount, acl [mount point]

如果用chmod指令改變Linux file permission的時候相應的ACL值也會改變.反之改變ACL的值,相應的file permission也會改變

8. 參考資料

1. man acl 個人感覺man page已經講的比較詳細,隻是上面名詞比較多看起來會比較繁瑣

2. http://www.suse.de/~agruen/acl/linux-acls/online/ 如果你英語不錯的話可以看一下這篇關于POSIX ACL的介紹,上面有許多不錯的例子。

扶凱注:用這種方法管理權限很不錯,但要記的,對檔案管理隻能有rwx三種權限，所能直實權限中的所有都才能改變檔案本身的權限。用acl隻能控制rwx.但是.我測試失敗，沒有成功,不知有沒有那位高人知道為什麼.我現在是用SGID的方法來實作的.