Linux高级权限管理

传统权限模型缺点:

传统的UGO权限模型无法应对负责的权限设置要求，如对于一个文件只能设置一个组，并且对该组进行权限控制，但是如果该文件有多个组合会对其进行访问，并且都要要求权限限制时，传统的UGO模型就无法满足需求了。

这时候就需要采用ACL权限来管理了

ACL(Access Control List)是一种高级权限机制，允许我们对一个文件或文件夹进行灵活的、复杂的权限设置

ACL需要在挂在文件的时候打开ACL功能：

mount -o acl /dev/sda5 /mnt

ACL允许针对不同用户、不同组对一个目标文件、文件夹进行权限设置，不受UGO模型限制

查看一个文件、文件夹的ACL设置

getfacl linuxcast.net

针对一个用户对文件进行ACL设置：

setfacl -m u:nash_su:rwx linuxcast.net

m是modify的意思，u是user，nash_su是用户名，rwx是赋予nash_su对linuxcast.net文件的权限

针对一个组对文件进行ACL设置

setfacl -m g:training:rw linuxcast.net

m是group,training是group的名字，rw是training组对linuxcast.net的权限

删除一个ACL设置：

setfacl -x u:nash_su linuxcast.net

这时候用户名后面就不需要带权限，直接删除就OK

 第一步，新建一个统一的文件夹

mkdir linuxcast.net

然后在其下面新建三个子文件夹，文件夹名分别为：training , market , manage

mkdir training
mkdir market
mkdir manage

这时的默认权限为

drwxr-xr-x. 2 root root 4096 Sep 22 05:54 manage
drwxr-xr-x. 2 root root 4096 Sep 22 05:54 market
drwxr-xr-x. 2 root root 4096 Sep 22 05:54 training

这时，使用以下命令修改training文件夹所在的组，其它两个组类似

chgrp training training

这时权限为：

drwxr-xr-x. 2 root manage   4096 Sep 22 05:54 manage
drwxr-xr-x. 2 root market   4096 Sep 22 05:54 market
drwxr-xr-x. 2 root training 4096 Sep 22 05:54 training

建好文件后，因为其它组的用户不能访问本组的用户的文件，所以使用

chmod o-rwx training

每个组的other的权限减去rwx，这时其他组就不能再访问本组的权限了。

这时候新建的用户目录的组应该继承其部门的组，所以使用

chmod g+s training

g是组的意思，s是继承的意思，也就是training下面的组就都是trining组了，修改后信息如下

drwxr-s---. 2 root manage   4096 Sep 22 04:49 manage
drwxr-s---. 2 root market   4096 Sep 22 04:49 market
drwxr-s---. 2 root training 4096 Sep 22 04:48 training

新建用户的权限为：

drwxr-sr-x. 2 root training 4096 Sep 22 04:55 bob
drwxr-sr-x. 2 root training 4096 Sep 22 04:55 nash_su

再分别使用

chmod nash_su nash_su

把该文件的默认用户名root修改为该用户名

drwxr-sr-x. 2 bob     training 4096 Sep 22 04:55 bob
drwxr-sr-x. 2 nash_su training 4096 Sep 22 04:55 nash_su

现在就差最后一部了，传统的UGO权限这时已经无法在给boss查看和执行的权限了，这时候，就可以用到 setfacl 了，使用命令

setfacl -m g:boss:rx training

m是modify的意思，g是group的意思，g后面接组的名字，组名后再接权限，这样就实现training部门，boss就有查看和执行该文件下面所有的权限了

使用 getfacl training 查看该文件下的权限信息

# file: training
# owner: root
# group: training
# flags: -s-
user::rwx
group::r-x
group:boss:r-x
mask::r-x
other::---

这时候的组中就有了boss组的查看和执行的权限了。