RH135-11-控制对文件的访问

1、单元 11控制对文件的访问,管理文件系统访问控制列表,访问控制列表支持 标准linux文件系统（ext2/3/4）支持使用POSIX ACL 设置多个复杂文件权限，前提是文件系统是使用acl选项挂载的。 在rhel中，如果通过ls -l 显示的权限字符串的最后一个字符是 + ，则文件或目录设置了ACL。,显示文件的acl,getfacl file 用户显示文件的acl u:elvis:rw-#用户elvis u:3124:-#用户id 3142 u:rwx#文件所有者 g:music:rwx#组music g:10:r-x#组id 10 g:rw-#文件属于组 o:rwx#其他所有,设置或修改

2、文件的acl,setfacl 用于设置或修改文件的acl $ setfacl -m u:friend:rw filename#授予rw权限给friend用户 $ setfacl -m g:grads:rw filename $ setfacl -m g:profs:r filename $ setfacl -x u:friend filename#移除friend现有acl $ setfacl -m o:- filename#更改other组拒绝,权限优先级,在确定某个进程（即某个运行程序）是否能够访问某一文件时，可以按照以下方式应用文件权限和acl： 1.如果是以拥有该文件的用户身份运行该进

3、程，那么可应用该文件的用户权限 2.另外，如果是作为列于用户acl条目中的用户运行进程，那么应用用户acl（只要受mask允许） 3.另外，如果是以与拥有该文件的组相匹配的组身份或以具有明确组acl条目的组身份运行该进程，如果权限是由任意匹配组授予的，则应用该权限（只要mask许可） 4.否则，应用文件的其他权限,ACL掩码,ACL掩码 具有ACL的文件拥有一个“mask”（掩码），这个掩码既能够限制拥有该文件的组的最大权限，又能够限制acl 中的补充用户和组所拥有的最大权限。 getfacl file 将当前掩码显示为mask:permissions 由ls -ld file 显示的组权限也

4、反映了当前掩码（并非所拥有组的权限！）,默认acl（继承）,默认acl（继承） 目录可以有“默认acl“条目，系统自动针对在该目录中创建的新文件设置这些条目 setfacl -m d:u:elvis:rw directory 将设置默认acl条目，授予用户elvis对在directory 中创建的所有新文件的读写访问权限。 这类似于setgid 权限的方法（针对目录设置时），使得在该目录中创建的新文件归拥有该目录的组所有。,目录权限,当在某一个目录中设置默认acl时，如果你要确保用户能够访问其中创建的新子目录的内容，请确保包含对其acl的可执行权限。 $ setfacl -m d:u:elvi

5、s:rx directory 通常，用户对新创建的常规文件不会自动获得可执行的权限，因为与新目录不同，新常规文件的acl掩码默认情况下为rw-。,ACL挂载选项,ACL挂载选项 挂载文件系统后，必须启用对POSIX ACL条目支持。 安装程序会配置它创建的所有ext4 文件系统，以自动启用 acl 支持。 # dumpe2fs /dev/block-dev | grep Default mount Default mount options:user_xattr acl,ACL挂载选项,如果手动格式化了文件系统，则需要使用acl 挂载选项挂载该系统。 你可以将手动格式化的ext4文件系统设置为

6、在 挂载时自动启用支持，方法是使用tune2fs 设置默认挂载选项： # tune2fs -o acl,user_xattr /dev/block-dev,练习,使用acl授予和限制访问权限 研究生需要名为 /opt/research 的协作目录，用于存储他们的研究成果。只有组profs和grads 中的成员能够在该目录创建新文件，并且新文件应具有以下的属性： 目录应归用户root所有 新文件应归组grads所有 教授（组profs的成员）应自动拥有对新文件的读/写 访问权限。 暑期实习生（组interns 的成员）应自动拥有对新文件的只读访问权限 其他用户（不是组profs，grads或 i

7、nterns 的成员）绝对不能拥有对该目录及其内容的访问权限。,一种解决方案： # mkdir /opt/research # chgrp grads /opt/research # chmod 2770 /opt/research # setfacl -m g:profs:rwx /opt/research # setfacl -m g:interns:rx /opt/research # setfacl -m d:g:profs:rwx /opt/research # setfacl -m d:g:interns:rx /opt/research # setfacl -m d:o:- /opt/research,前三行创建了/opt/research ，并确保其归用户root，组grads所有，所拥有用户和组具有读，写和访问文件的权限，并且grads 将拥有该目录中创建的文件（set-GID开启）。 接下来的两行则通过使用acl 为组 profs 和interns 授予对目录的适当权限。,接着两行通过向默认acl添加执行权限，组profs 和 interns 的成员将可以自动访问新创建的/opt/research 的