1. 为什么要使用ACL
先让我们来简单地复习一下Linux的file permission.
在linux下,对一个文件(或者资源)可以进行操作的对象被分为三类: file owner(文件的拥有者), group(组,注意不一定是文件拥有者所在的组), other (其他)
而对于每一类别又分别定义了read, write and execute/search permission (这里不讨论SUID, SGID以及Sticky bit的设置)
通过ls -l命令就我们就可以列出一个文件的permission
代码:# ls -l
[leonard@localhost ~]$ ls -l
-rw-rw---- 1 leonard admin 0 Jul 3 20:12 test.txt
在这里说明了对于
test.txt
这个文件
leonard
用户
(
由于是
file owner)
拥有
read & write permission.
所有属于
admin group
的用户
(group)
拥有
read & write permission.
其他任何用户
(other)
对于文件没有任何的
permission
如果我们现在希望john这个用户也可以对test.txt文件进行读写操作. 我自己大概会想到以下几种办法 (这里假设john不属于admin group)
1. 给文件的other类别增加read and write permission. 这样由于john会被归为other类别,那么他也将拥有读写的权限
2. 将john加入到admin group. 那么john会被归为group类别,那么他将拥有读写的权限
3. 设置sudo, 使john能够以leonard的身份对test.txt进行操作,从而获得读写权限
第一种做法的问题在于所有用户都将对test.txt拥有读写操作,显然这种做法不可取
第二种做法的问题在于john被赋予了过多的权限.所有属于admin组的文件,john都可以拥有其等同的权限了
第三种做法虽然可以达到只限定john用户一人拥有对test.txt文件的读写权限.但是需要对sudoers文件进行严格的格式控制. 而且当文件数量和用户很多的时候,这种方法就相当地不灵活了
看来好像都没有一个很好的解决方案. 其实问题就出在Linux file permission里面,对于other的定义过于广泛,以至于很难把permission限定于一个不属于file owner和group的用户身上. 那么Access Control List (ACL)就是用来帮助我们解决这个问题的.
简单地来说ACL就是可以设置特定用户或者用户组对于一个文件的操作权限. 需要掌握的命令也只有三个: getfacl, setfacl, chacl
在接下去讨论之前大家可以先安装上ACL的RPM包
代码:
# rpm -ivh libacl- 2.2.39 -1.1 acl-2.2.39-1.1.i386.rpm
2. ACL的名词定义
先来看看在ACL里面每一个名词的定义.这些名词我大多从man page上摘下来虽然有些枯燥,但是对于理解下面的内容还是很有帮助的
ACL是由一系列的Access Entry所组成的. 每一条Access Entry定义了特定的类别可以对文件拥有的操作权限. Access Entry有三个组成部分: Entry tag type, qualifier (optional), permission
我们先来看一下最重要的Entry tag type, 它有以下几个类型
ACL_USER_OBJ: 相当于Linux里file_owner的permission
ACL_USER: 定义了额外的用户可以对此文件拥有的permission
ACL_GROUP_OBJ: 相当于Linux里group的permission
ACL_GROUP: 定义了额外的组可以对此文件拥有的permission
ACL_MASK: 定义了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大权限 (这个我下面还会专门讨论)
ACL_OTHER: 相当于Linux里other的permission
让我们来据个例子说明一下. 下面我们就用getfacl命令来查看一个定义好了的ACL文件
代码
:
[leonard@localhost ~]$ getfacl ./test.txt
# file: test.txt
# owner: leonard
# group: admin
user::rw-
user:john:rw-
group::rw-
group:dev:r--
mask::rw-
other::r--
前面三个以
#
开头的定义了文件名
,file owner
和
group.
这些信息没有太大的作用
,
接下来我们可以用
--omit-header
来省略掉
user::rw-
定义了
ACL_USER_OBJ,
说明
file owner
拥有
read and write permission
user:john:rw-
定义了
ACL_USER,
这样用户
john
就拥有了对文件的读写权限
,
实现了我们一开始要达到的目的
group::rw-
定义了
ACL_GROUP_OBJ,
说明文件的
group
拥有
read and write permission
group:dev:r--
定义了
ACL_GROUP,
使得
dev
组拥有了对文件的
read permission
mask::rw-
定义了
ACL_MASK
的权限为
read and write
other::r--
定义了
ACL_OTHER
的权限为
read
从这里我们就可以看出ACL提供了我们可以定义特定用户和用户组的功能. 那么接下来我们就来看一下如何设置一个文件的ACL
3. 如何设置ACL文件
首先我们还是要讲一下设置ACL文件的格式. 从上面的例子中我们可以看到每一个Access Entry都是由三个被:号分隔开的字段所组成. 第一个就是Entry tag type
user 对应了ACL_USER_OBJ和ACL_USER
group 对应了ACL_GROUP_OBJ和ACL_GROUP
mask 对应了ACL_MASK
other 对应了ACL_OTHER
第二个字段称之为qualifier.也就是上面例子中的john和dev组.它定义了特定用户和拥护组对于文件的权限.这里我们也可以发现只有user和group才有qualifier,其他的都为空
第三个字段就是我们熟悉的permission了. 它和Linux的permission一样定义,这里就不多讲了
下面我们就来看一下怎么设置test.txt这个文件的ACL让它来达到我们上面的要求
一开始文件没有ACL的额外属性
代码
:
[leonard@localhost ~]$ ls -l
-rw-rw-r-- 1 leonard admin 0 Jul 3 22:06 test.txt
[leonard@localhost ~]$ getfacl --omit-header ./test.txt
user::rw-
group::rw-
other::r--
我们先让用户john拥有对test.txt文件的读写权限
代码
:[leonard@localhost ~]$ setfacl -m user:john:rw- ./test.txt
[leonard@localhost ~]$ getfacl --omit-header ./test.txt
user::rw-
user:john:rw-
group::rw-
mask::rw-
other::r--
这时我们就可以看到john用户在ACL里面已经拥有了对文件的读写权限. 这个时候如果我们查看一下linux的permission我们还会发现一个不一样的地方
[leonard@localhost ~]$ ls -l ./test.txt
-rw-rw-r--+ 1 leonard admin 0 Jul 3 22:06 ./test.txt
在文件
permission
的最后多了一个
+
号
.
当任何一个文件拥有了
ACL_USER
或者
ACL_GROUP
的值以后我们就可以称它为
ACL
文件
.
这个
+
号就是用来提示我们的
我们还可以发现当一个文件拥有了
ACL_USER
或者
ACL_GROUP
的值时
ACL_MASK
同时也会被定义
接下来我们来设置
dev
组拥有
read permission
代码
:[leonard@localhost ~]$ setfacl -m group:dev:r-- ./test.txt
[leonard@localhost ~]$ getfacl --omit-header ./test.txt
user::rw-
user:john:rw-
group::rw-
group:dev:r--
mask::rw-
other::r--
到这里就完成了我们上面讲到的要求
.
是不是很简单呢
4. ACL_MASK
和
Effective permission
这里需要重点讲一下ACL_MASK, 因为这是掌握ACL的另一个关键
在Linux file permission里面大家都知道比如对于rw-rw-r--来说, 当中的那个rw-是指文件组的permission. 但是在ACL里面这种情况只是在ACL_MASK不存在的情况下成立. 如果文件有ACL_MASK值,那么当中那个rw-代表的就是mask值而不再是group permission了
让我们来看下面这个例子
代码
:
[leonard@localhost ~]$ ls -l
-rwxrw-r-- 1 leonard admin 0 Jul 3 23:10 test.sh
这里说明
test.sh
文件只有
file owner: leonard
拥有
read, write, execute/search permission. admin
组只有
read and write permission
现在我们想让用户
john
也对
test.sh
具有和
leonard
一样的
permission
代码
:
[leonard@localhost ~]$ setfacl -m user:john:rwx ./test.sh
[leonard@localhost ~]$ getfacl --omit-header ./test.sh
user::rwx
user:john:rwx
group::rw-
mask::rwx
other::r--
这里我们看到
john
已经拥有了
rwx
的
permission. mask
值也被设定为
rwx.
那是因为它规定了
ACL_USER, ACL_GROUP
和
ACL_GROUP_OBJ
的最大值
现在我们再来看
test.sh
的
Linux permission,
它已经变成了
代码
:
[leonard@localhost ~]$ ls -l
-rwxrwxr--+ 1 leonard admin 0 Jul 3 23:10 test.sh
那么如果现在
admin
组的用户想要执行
test.sh
的程序会发生什么情况呢
?
它会被
permission deny.
原因在于实际上
admin
组的用户只有
read and write permission.
这里当中显示的
rwx
是
ACL_MASK
的值而不是
group
的
permission
所以从这里我们就可以知道,如果一个文件后面有+标记,我们都需要用getfacl来确认它的permission,以免发生混淆
下面我们再来继续看一个例子
假如现在我们设置test.sh的mask为read only,那么admin组的用户还会有write permission吗?
代码
:
[leonard@localhost ~]$ setfacl -m mask::r-- ./test.sh
[leonard@localhost ~]$ getfacl --omit-header ./test.sh
user::rwx
user:john:rwx #effective:r--
group::rw- #effective:r--
mask::r--
other::r--
这时候我们可以看到
ACL_USER
和
ACL_GROUP_OBJ
旁边多了个
#effective:r--,
这是什么意思呢
?
让我们再来回顾一下
ACL_MASK
的定义
.
它规定了
ACL_USER, ACL_GROUP_OBJ
和
ACL_GROUP
的最大权限
.
那么在我们这个例子中他们的最大权限也就是
read only.
虽然我们这里给
ACL_USER
和
ACL_GROUP_OBJ
设置了其他权限
,
但是他们真正有效果的只有
read
权限
.
这时我们再来查看
test.sh
的
Linux file permission
时它的
group permission
也会显示其
mask
的值
代码
:
[leonard@localhost ~]$ ls -l
-rwxr--r--+ 1 leonard admin 0 Jul 3 23:10 test.sh
5. Default ACL
上面我们所有讲的都是
Access ACL,
也就是对文件而言
.
下面我简单讲一下
Default ACL. Default ACL
是指对于一个目录进行
Default ACL
设置
,
并且在此目录下建立的文件都将继承此目录的
ACL
同样我们来做一个试验说明
比如现在leonard用户建立了一个dir目录
代码:
[leonard@localhost ~]$ mkdir dir
他希望所有在此目录下建立的文件都可以被john用户所访问. 那么我们就应该对dir目录设置Default ACL
代码
:
[leonard@localhost ~]$ setfacl -d -m user:john:rw ./dir
[leonard@localhost ~]$ getfacl --omit-header ./dir
user::rwx
group::rwx
other::r-x
default:user::rwx
default:user:john:rwx
default:group::rwx
default:mask::rwx
default: other::r-x
这里我们可以看到
ACL
定义了
default
选项
, john
用户拥有了
default
的
read, write, excute/search permission.
所有没有定义的
default
都将从
file permission
里
copy
过来
现在
leonard
用户在
dir
下建立一个
test.txt
文件
代码
:
[leonard@localhost ~]$ touch ./dir/test.txt
[leonard@localhost ~]$ ls -l ./dir/test.txt
-rw-rw-r--+ 1 leonard leonard 0 Jul 3 23:46 ./dir/test.txt
[leonard@localhost ~]$ getfacl --omit-header ./dir/test.txt
user::rw-
user:john:rw-
group::rwx #effective:rw-
mask::rw-
other::r--
这里我们看到在
dir
下建立的文件
john
用户自动就有了
read and write permission
6. ACL
相关命令
前面的例子中我们都注意到了
getfacl
命令是用来读取文件的
ACL, setfacl
是用来设定文件的
Acess ACL.
这里还有一个
chacl
是用来改变文件和目录的
Access ACL and Default ACL.
它的具体参数大家可以去看
man page.
我只想提及一下
chacl -B.
它可以彻底删除文件或者目录的
ACL
属性
(
包括
Default ACL).
比如你即使用了
setfacl -x
删除了所有文件的
ACL
属性
,
那个
+
号还是会出现在文件的末尾
.
所以正确的删除方法应该是用
chacl -B
用cp来复制文件的时候我们现在可以加上-p选项.这样在拷贝文件的时候也将拷贝文件的ACL属性.对于不能拷贝的ACL属性将给出警告
mv命令将会默认地移动文件的ACL属
性. 同样如果操作不允许的情况下会给出警告
7. 需要注意的几点
如果你的文件系统不支持ACL的话,你也许需要重新mount你的file system
mount -o remount, acl [mount point]
如果用
chmod
命令改变
Linux file permission
的时候相应的
ACL
值也会改变
.
反之改变
ACL
的值
,
相应的
file permission
也会改变