Linux操作系统安全配置 课件 02-005-ACL设置

单击此处编辑母版标题样式

ACL设置学习内容企业需求0102ACL简介03ACL设置04总结企业需求1某公司服务器管理员需要对服务器进行特殊权限的设定，具体要求如下：（1）能够针对单个用户、单个文件或目录进行权限的设定企业需求1需求分析：此处需要针对单个用户，单个文件或目录进行r，w，x的权限设定，Linux中可以实现该功能的是：ACLACL功能的命令有：setfacl：设置文件/目录权限getfacl：查看文件/目录权限

ACL简介21.ACL介绍ACL是AccessControlList的缩写，主要的目的是在提供传统的owner，group，others的read，write，execute权限之外的局部权限设定。ACL可以针对单个用户，单个文件或目录来进行r，w，x的权限设定；特别适用于需要特殊权限的使用情况。简单来说，ACL就是可以设置特定用户或用户组对于一个文件/目录的操作权限。

ACL简介22.ACL控制权限ACL可以针对以下几个项目来控制权限：用户（user）：可以针对用户设置权限用户组（group）：可以针对用户组设置权限默认属性（mask）：可以在该目录下新建文件/目录时设置新数据的默认权限

ACL简介23.ACL命令ACL主要命令如下：setfacl：设置某个目录/文件的ACL规则getfacl：查看某个目录/文件的ACL设置项目

ACL设置31.查看Linux系统支持ACL功能[root@server~]#cat/boot/config-3.10.0-963.el7.x86_64|grep-iext4CONFIG_EXT4_FS=mCONFIG_EXT4_USE_FOR_EXT23=yCONFIG_EXT4_FS_POSIX_ACL=y//表示支持ACLCONFIG_EXT4_FS_SECURITY=y

ACL设置32.setfacl命令setfacl语法：setfacl<选项>[规则]<文件/目录>选项：-m新增一条ACL规则-x删除一条ACL规则-b清空所有ACL规则-R：递归设置ACL参数-d：设置预设的ACL参数（只对目录有效，在该目录新建的文件也会使用此ACL默认值）-k：删除预设的ACL参数

ACL设置32.setfacl命令setfacl语法：setfacl<选项>[规则]<文件/目录>“规则“组成结构：身份：对应身份名：三种权限[u|g]：[用户名|用户组名]：[rwx]

ACL设置33.getfacl命令getfacl语法：getfacl<文件/目录>说明：[root@server~]#getfacl/tmpgetfacl:Removingleading'/'fromabsolutepathnames#file:tmp//目录名称#owner:root//目录所有者#group:root//目录所属用户组#flags:--t//目录有特殊权限SBITuser::rwx//目录所有者拥有rwx权限，没有设置ACLgroup::rwx//目录所属用户组拥有rwx权限other::rwx//其它用户拥有rwx权限

ACL设置34.ACL设置-用户为/srv/acltest文件设置ACL，使用户user1对其具有rwx权限[root@serversrv]#setfacl-mu:user1:rwxacltest原权限：-rwxr--r--.1rootroot0Oct804:58acltest设置后：-rwxrwxr--+1rootroot0Oct804:58acltest权限部分多了个“+”，代表了该文件设置了ACL

ACL设置34.ACL设置-用户getfacl查看ACL权限[root@serversrv]#getfaclacltest#file:acltest#owner:root#group:rootuser::rwxuser:user1:rwx//在文件acltest上针对用户user1设置了rwx权限group::r--mask::rwxother::r--

ACL设置34.ACL设置-用户组为/srv/acltest文件设置ACL，使群组manager对其具有rx权限[root@serversrv]#setfacl-mg:manager:rxacltest[root@serversrv]#getfaclacltest//getfacl查看ACL权限#file:acltest#owner:root#group:rootuser::rwxuser:user1:rwxgroup::r--group:manager:r-x//在文件acltest上针对用户群组manager设置了rx权限mask::rwxother::r--

ACL设置34.ACL设置-有效权限mask值为acltest文件设置ACL，使user1用户、manager组只具有r权限[root@serversrv]#setfacl-mm::racltest[root@serversrv]#getfaclacltest#file:acltest#owner:root#group:rootuser::rwxuser:user1:rwx #effective:r--//user1对文件只有r权限而已group::r--group:manager:r-x #effective:r--//manager对文件只有r权限而已mask::r--other::r--

ACL设置34.ACL设置-有效权限mask值说明：user:user1:rwx #effective:r-- “user:user1:rwx“表示给user1设置了rwx权限，”effective:r--”表示虽然user1拥有rwx权限，但是真正有效果的只有r权限。group:manager:r-x #effective:r--“group:manager:r-x”表示给manager设置了rx权限，”effective:r--”表示虽然manager拥有rwx权限，但是真正有效果的只有r权限。

ACL设置34.ACL设置-有效权限mask值测试：用户user1为acltest文件内添加内容“123”[user1@serversrv]$echo"123">acltestbash:acltest:Permissiondenied因为用户user1有效权限为r，没有wx权限

ACL设置34.ACL设置-DefaultACL以上讲的ACL都是对文件而言，而DefaultACL是指对一个目录进行默认ACL设置，在此目录下建立的文件或目录都将继承父目录的ACL。例如：希望所有在/srv/acldir目录下建立的文件或目录都可以被用户user1访问（权限为rwx），那么应该对acldir目录设置DefaultACL。[root@serversrv]#setfacl-md:u:user1:rwxacldir

ACL设置34.ACL设置-DefaultACL[root@serversrv]#getfaclacldir//getfacl查看ACL权限#file:acldir#owner:root#group:rootuser::rwxgroup::r-xother::r-xdefault:user::rwxdefault:user:user1:rwxdefault:group::r-xdefault:mask::rwxdefault:other::r-x

ACL设置34.ACL设置-DefaultACL在acldir目录下新建一个file1文件，并查看其权限。[root@serveracldir]#getfaclfile1#file:file1#owner:root#group:rootuser::rw-user:user1:rwx #effective:rw-group::r-x #effective:r--mask::rw-other::r--

ACL设置34.ACL设置-DefaultACL在acldir目录下新建目录abc，并查看其权限。[root@serveracldir]#getfacl--omit-headerabc