ACL

    linux的ACL权限是给一个文件或者目录添加指定的用户或者组,然后给其对应的权限。

一、权限的开启

   CentOS7当中,无论是操作系统安装时还是之后手工创建的文件系统(xfs、ext4)均会默认开启ACL功能。

   CentOS6及之前的版本,仅操作系统安装时创建的文件系统才会默认开启ACL,手工创建的文件系统,需要手工开启ACL功能。

   临时开启方法:1、挂载时指定开启acl,即mount -o acl 文件系统名 挂载点

               或者重新挂载 mount -o remount,acl 文件系统名/挂载点

             2、修改信息 tune2fs -o acl 文件系统名

   永久开启方法:编辑/etc/fstab,在该条目对应的defaults后面加上 ,acl

             重启或者重新挂载可生效

二、ACL权限判断的顺序

   先判断是否是文件的OWNER,如果是,则执行OWNER的权限后结束,如果不是OWNER,则判断是否是ACL的USER,如果是则执行USER权限后结束,如果不是ACL的USER, 则判断是否属于GROUP或ACL GROUP,如果是,则取最大权限(即该权限与mask权限相与)。如果不属于任何GROUP,则执行OTHER。

顺序:所有人->所有组->其他人

三、设置ACL

setfacl -m u:liubei:rx f1  给用户liubei设置ACL权限,使其对f1具有rx权限

setfacl -m g:shuguo:rwx f1  给shuguo组设置ACL权限,使其组中的用户对f1具有rwx权限

getfacl 文件/目录  显示权限信息

getfacl -R 目录   递归显示目录及其文件信息


setfacl -m mask:rwx f1 相当于 chmod g=rwx f1   修改MASK值

  一旦设置了ACL权限后,原有的文件GROUP权限不可再更改,使用chmod即修改ACL MASK

  ACL MASK随着新的ACL设置会被重置,重置的标准是让该文件上的所有ACL及文件原GROUP上的权限都有效。

  mask只影响除所有者和other之外的人和组。

setfacl -Rm u:zhangfei:rwx acltest/   递归设置

setfacl -x u:liubei f1  单独去除一条ACL权限,但是ll查看时权限上还是有个+

setfacl -b f1 去除该文件上ACL属性,+也没有了。


在/app目录下创建一个名为d1的目录,要求其owner,group均为root,权限设置为755。要求guanyu用户对该目录及所有用户在其下创建的新文件新目录均有rwx权限

 答:chown root:root d1  ; chmod 755 d1 ; 

    对该目录有rwx权限需要setfacl -m u:guanyu:rwx d1

    对其下创建的文件有rwx权限需要setfacl -m d:u:guanyu:rwx d1


setfacl -m d:u:guanyu:rwx d1  d表示设置ACL默认权限,仅影响新创建的文件及目录,不影响当前。

setfacl -x d:sunquan d1 删除一条默认权限

setfacl -k d1 删除全部默认权限

setfacl -b d1 删除全部ACL属性


getfacl -R /tmp/dir1 > acl.txt  将目录下的所有文件的ACL属性备份到文件

setfacl -R -b /tmp/dir1清除目录下所有文件的ACL属性

setfacl -R --set-file=acl.txt /tmp/dir1   通过文件还原ACL属性的方法1

setfacl --restore acl.txt    通过文件还原ACL属性的方法2


例、在/testdir/dir里创建的新文件自动属于g1组,

g2的成员如:alice能对这些新文件有读写权限,

组g3的成员如:tom只能对新文件有读权限,

其它用户(不属于g1,g2,g3)不能访问这个文件夹。


[root@centos7 ~]# mkdir -p /testdir/dir

[root@centos7 ~]# groupadd g1

[root@centos7 ~]# groupadd g2

[root@centos7 ~]# groupadd g3

[root@centos7 ~]# useradd -G g2 alice

[root@centos7 ~]# useradd -G g3 tom

[root@centos7 ~]# ls -ld /testdir/dir/

drwxr-xr-x. 2 root root 6 Jul 26 15:06 /testdir/dir/

[root@centos7 ~]# chgrp g1 /testdir/dir/

[root@centos7 ~]# chmod g+s /testdir/dir/

[root@centos7 ~]# ls -ld /testdir/dir/   

drwxr-sr-x. 2 root g1 6 Jul 26 15:06 /testdir/dir/

[root@centos7 ~]# chmod o=- /testdir/dir/

[root@centos7 ~]# ls -ld /testdir/dir/   

drwxr-s---. 2 root g1 6 Jul 26 15:06 /testdir/dir/

[root@centos7 ~]# setfacl -m g:g2:rx,g:g3:rx /testdir/dir/

[root@centos7 ~]# setfacl -m d:g:g2:rw,d:g:g3:r /testdir/dir/