常见的文件系统的一般权限(rwx)、特殊权限(SUID,SGID,STICK)、隐藏权限(chattr)其实有个共性——权限是针对某一类用户设置的。而如果希望对某个指定的用户进行单独的权限控制,那么就需要用文件的访问控制列表来实现啦。基于普通文件或目录设置文件访问控制列表(Access Control Lists,ACL)访问控制策略,通俗来说就是设置指定的特定用户或用户组对某个文件的操作权限。另外如果对某个目录设置了访问控制策略,那么子文件则继承其访问策略,而若对文件设置了访问控制策略则不再继承上级目录的控制策略。
如何设置ACL(文件控制访问列表)
获取文件控制访问列表的方式为:
getfacl FileName
设定文件控制访问列表的命令为setfacl,如果加上-m,就表示设定访问权限,-x表示取消访问权限:
setfacl -m u:USERNAME:MODE FileName
setfacl -m g:GROUPNAME:MODE FileName
如果是取消权限,则无需指定具体的权限,只指定用户名或组名即可:
setfacl -x u:USERNAME:MODE FileName
setfacl -x g:GROUPNAME:MODE FileName
setfacl -b FileName 取消对该文件上的所有ACL权限。
其它:
对用户设置权限实例
#setfacl -m u:username:rw- /test.txt //普通的文件
#setfacl -Rm d:u:username:rw- /test/ //对目录设置
对组设置权限
#setfacl -m g:group:r-- /test.txt
#setfacl -m d:g:group:r-- /test/
查看权限
#getfacl filename/directory //文件或目录名
常用的ls命令是看不到访问控制列表信息的,但是却可以看到文件的权限最后一个点(.)变成了加号(+),而这就意味着这个文件已经被设置有了ACL访问策略。
[root@rhel7 rusky]# ll total 8 drwxrwxr-x+ 2 lxjtest users 6 Jul 21 02:33 lxjtest_mkdirtest drwxrwxrwt+ 2 rusky rusky 6 Jul 20 21:58 testSticky
[rusky@localhost ~]$ cd /root/ -bash: cd: /root/: Permission denied [rusky@localhost ~]$ su - Password: Last login: Mon Nov 27 15:44:08 CST 2017 on pts/1 [root@localhost ~]# setfacl -Rm u:rusky:rwx /root/ [root@localhost ~]# su - rusky Last login: Mon Nov 27 15:44:28 CST 2017 on pts/1 [rusky@localhost ~]$ cd /root/ [rusky@localhost root]$ cat anaconda-ks.cfg [rusky@localhost root]$ ls -ld /root/ dr-xrwx---+ 15 root root 4096 Nov 27 11:21 /root/ getfacl命令用于显示文件的ACL规则,格式为:"getfacl 文件名称"。 [root@localhost ~]# getfacl /root/ getfacl: Removing leading '/' from absolute path names # file: root/ # owner: root # group: root user::r-x user:rusky:rwx group::r-x mask::rwx other::---