ACL,就是Access Control List,一個文件/目錄的訪問控制列表,可以針對任意指定的用戶/組分配RWX權限
用戶權限管理始終是 Unix 系統管理中最重要的環節。大家對 Linux/Unix 的 UGO 權限管理方式一定不陌生,還有最常用的 chmod 命令。為了實現一些比較復雜的權限管理,往往不得不創建很多的組,并加以詳細的記錄和區分(很多時候就是管理員的噩夢)。可以針對某一個用戶對某一文件指定一個權限,恐怕管理員都期待的功能。比如對某一個特定的文件,用戶A可以讀取,用戶B所在的組可以修改,惟獨用戶B不可以……。于是就有了IEEE POSIX 1003.1e這個ACL的標準。所謂ACL,就是Access Control List,一個文件/目錄的訪問控制列表,可以針對任意指定的用戶/組分配RWX權限。現在主流的商業Unix系統都支持ACL。FreeBSD也提供了對ACL的支持。Linux在這個方面也不會落后,從2.6版內核開始支持ACL。
準備工作:
支持ACL需要內核和文件系統的支持。現在2.6內核配合EXT2/EXT3, JFS, XFS, ReiserFS等文件系統都是可以支持ACL的。用自己工作用的物理分區體驗ACL,總是不明智的行為。萬一誤操作導致分區的損壞,造成數據的丟失,損失就大了。作一個loop設備是個安全的替代方法。這樣不需要一個單獨的分區,也不需要很大的硬盤空間,大約有個幾百KB就足夠進行我們的體驗了。OK,下面我使用Fedora Core 5和Ext3文件開始對Linux的ACL的體驗。
首先創建一個512KB的空白文件:
#dd if=/dev/zero of=/opt/testptn bs=1k count=512
和一個loop設備聯系在一起:
#losetup /dev/loop1 /opt/testptn
創建一個ext3文件系統
#mkfs.ext3 /dev/loop1
掛載此文件系統,在掛載時需要告知內核在此設備中使用acl
#mount -o rw,acl /dev/loop1 /mnt
現在我已經得到了一個小型的文件系統。而且是支持ACL的。并且即使徹底損壞也不會影響硬盤上其他有價值的數據。可以開始我們的ACL體驗之旅了。
首先新建一個文件作為實施ACL的對象:
#touch file1
#ll file1
然后看一下這個文件缺省的ACL ,這時這個文件除了通常的UGO權限外,并沒有ACL
#getfacl file1
#file:file1
#owner:root
#group:root
user::rw-
group::r--
other::r--
注意:即使是不支持ACL的情況下,getfacl仍然返回一個這樣的結果,不過setfacl是不能工作的。
下面添加幾個用戶和用戶組,一會我將使用ACL賦予他們不同的權限:
#useradd ceshi1
#useradd ceshi2
#useradd ceshi3
#groupadd ceshi
#usermod -G ceshi ceshi1 ceshi2 ceshi3
在目前情況下,新建的用戶沒有權限在file1中操作
現在我們對file1的ACL賦予ceshi1足夠的權限
#setfacl -m u:ceshi1:rw file1
#su - ceshi1
#echo "ceshi1" >>file1
#cat file1
顯示修改成功,用戶ceshi1可以對file1做讀寫操作,我們來看一下file1的ACL
#getfacl file1
#file:file1
#owner:root
#group:root
user::rw-
user:ceshi1:rw-
group::r--
mask::rw-
other::r--
ll file1
-rw-rw-r--+ root root
權限后面有個‘+’這個說明file1設置了ACL,接下來我們修改一下ceshi1的權限,同時給ceshi這個組讀的權限
#setfacl -m u:ceshi1:rwx,g:ceshi:r file1
#getfacl file1
#file:file1
#owner:root
#group:root
user::rw-
user:ceshi1:rwx
group::rw-
group:ceshi:r--
mask::rwx
other::r--
可以看到設置后的權限,ceshi1已經有了執行的權限,而ceshi這個組也獲得了讀取文件內容的權限。也許有人已經注意到了兩個問題:首先, file1的組權限從r--變成了rw-。其次,mask是什么?為什么也變化了呢?我們先從mask說起。如果說acl的優先級高于UGO,那么 mask就是一個名副其實的最后一道防線。它決定了一個用戶/組能夠得到的最大的權限。這樣我們在不破壞已有ACL的定義的基礎上,可以臨時提高或是降低安全級別:
#setfacl -m mask::r file1
#getfacl file1
#file:file1
#owner:root
#group:root
user::rw-
user:ceshi1:rwx #effective:r--
group::r--
group:ceshi:r--
mask::r--
other::r--
在ceshi1對應的ACL項的后邊出現了effective的字樣,這是實際ceshi1得到的權限。Mask只對其他用戶和組的權限有影響,對owner和other的權限是沒有任何影響的。執行ls的結果也顯示UGO的設置也有了對應的變化。因為在使用了ACL的情況下,group的權限顯示的就是當前的mask。通常我們把mask設置成rwx,以不阻止任何的單個ACL項。
*需要注意的是,每次修改或添加某個用戶或組的ACL項的時候,mask都會隨之修改以使最新的修改能夠真正生效。所以如果需要一個比較嚴格的mask的話,可能需要每次都重新設置一下mask。
體驗2 - ACL的其他功能:刪除和覆蓋
如何刪除已有的ACL項?
#setfacl -x g:ceshi file1
#getfacl file1
#file:file1
#owner:root
#group:root
user::rw-
user:ceshi1:rwx
group::r--
mask::rwx
other::r--
刪除了ceshi組的權限 ,如果需要去除所有ACL權限,也可以使用-b選項,所有的ACL都會被刪除
#setfacl -d file1
#getfacl file1
#file:file1
#owner:root
#group:root
user::rw-
group::r--
other::r--
我們可以用--set設置一些新的ACL項,并把原有的ACL項全部覆蓋掉,和-m不同,-m選項只是修改已有的配置或是新增加一些,--set選項會把原有的ACL項都刪除,用新的替代,需要注意的是一定要包含UGO的設置,不能象-m一樣只是添加ACL就可以了。如:
#setfacl --set u::rw,u:ceshi1:rw,g::r,o::- file1
#getfacl file1
#file:file1
#owner:root
#group:root
user::rw-
user:ceshi1:rw-
group::r--
mask::rw-
other::---
o::-的完整寫法是other::---,通常我們可以把“-”省掉,但是當權限位只包含一個“-”必須至少保留一個
如果希望對目錄下的所有子目錄都設置同樣的ACL,可以使用-R參數:
#setfacl --set -R u::rw,u:ceshi1:rw,g::r,o::- dir1 ??
如果希望從一個文件讀入ACL,并修改當前的文件的ACL,可以用-M參數:
#cat test.acl
user:testu1:rw-
user:testu2:rw-
group:testg1:r--
group:testg2:r--
mask::rw-
other::---
如果我們希望在一個目錄中新建的文件和目錄都是用一個預定的ACL,那么我們可以使用默認(default)ACL。在對一個目錄設置了默認的ACL以后,每個在目錄中創建的文件會自動繼承目錄的默認ACL作為自己的ACL。用setfacl的-d選項可以做到這一點:
#setfacl -d --set g:ceshi:rwx dir1
#getfacl dir1
# file: dir1
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x
default:group:testg1:rwx
default:mask::rwx
default:other::r-x
默認ACL已經被設置,建立一個文件試試:
#touch dir1/file1
#getfacl /dir1/file1
#owner:root
#group:root
user::rw-
group::r-x #effective:r--
group:ceshi:rwx #effective:rw-
mask::rw-
other::r--
file1自動繼承了dir1對testg1設置的ACL。只是由于mask的存在使得testg1只能獲得rw-權限
體驗4 - 備份和恢復ACL
| 
