Linux常用命令之--ACL(getfacl，setfacl)

ACL可以为某个文件单独设置该文件具体的某用户或组的权限，不走三类权限位

默认 ACL 权限的作用是：如果给父目录设定了默认 ACL 权限，那么父目录中所有新建的子文件都会继承父目录的 ACL 权限。但是要加 -R

※ACL权限更高，会先查看ACL再看传统的权限。如果没有ACL才会走三类权限位

※如果一个用户在ACL的user中一个权限，他所在的ACL的group中是另外一个权限，会按照user权限来

• getfacl <文件名>

获取文件的访问控制信息

• setfacl设置文件的acl

-m修改文件的acl

-x取消用户或组对文件的权限

语法：

• setfacl –m u:用户名:权限 <文件名> 设置某用户名的访问权限

• setfacl –m g:组名:权限 <文件名> 设置某个组的访问权限

例1： 想要实现这个↓需求

user1:rwx，user2:rw-，user3:r-x，user4:r--，user5:--x，user6:-w-，

传统权限无法满足上述要求，这时就可以用↓命令进行权限添加

建一个名字为1的文件，查看文件1的权限↓

设置权限

修改后看文件1的权限↓

例2：

有组A(groupA)和组B(groupB)两个组，文件1所属于A组，如果通过三类权限位设置文件权限，其他用户没有任何权限，而B组为其他用户，因此无法对文件1进行任何 *** 作。这时可以通过ACL给组B设置权限：

setfacl -m g:groupB:r 1 B组里的所有成员就有读权限了

• setfacl –x u:用户名 <文件名>//取消某用户的访问权限

• setfacl –x g:组名 <文件名>//取消某个组的访问权限

❉↑这时是将这个user或group的ACL整个删除，如果只是想删除某一个权限，还是需要setfacl -m来进行重新设置

例3：

setfacl -m d:u:qin:rwx /caiwubu

d：default，即将caiwubu这个文件夹的权限对qin开放rwx权限，getfacl /caiwubu的时候会发现有一条default:user:qin:rwx。即在/caiwubu文件夹里 新建 的文件夹以及文件对qin的权限都为rwx，但是之前已经存在的文件及文件夹的权限在修改ACL权限之前是什么现在还是什么

setfacl -x u:qin /caiwubu/zhangben 取消qin这个用户对该文件的acl权限

取消qin这个用户对该文件的acl权限

❀如果这个文件给两个及两个以上的用户设定了ACL，取消其中一个用户的权限可以用这个命令。但是如果这个文件只给一个用户设定了ACL且想删除ACL，或者想把该文件里所有的ACL权限都删除的话，需要用↓的命令

setfacl -b /caiwubu/zhangben

关于权限列的.和+：

ls -lZ ：

① drwxrwxrwt. root root system_u:object_r:tmp_t:s0 tmp

② dr-xr-xr-x root root system_u:object_r:boot_t:s0 boot

③ drwxrwxr-x+ root root unconfined_u:object_r:admin_home_t:s0 DCGH-DIR

Linux权限列的点不是无意义字符

・在开启SELinux的情况下创建的目录和文件有这个点，权限列有这个点说明该目录或文件设置了SELinux相关的权限①

・在禁用SELinux权限之后，在之前开启SELinux权限时创建的文件或目录保持原来的权限不便，权限列的点依然显示，而新创建的目录或文件在权限列无这个点显示②

・权限列中最后一个位置如果是加号，说明这个目录或文件已经设置了ACL权限相关的内容。如果加号存在，则已经有点的目录或文件中的点的显示会被覆盖，但原来的SELinux属性保持不变

在了解到Linux系统上的文件目录权限，有时候你会发现为什么刚创建的文件是 -rw-r--r-- 这个权限，目录是 drwxr-xr-x 权限，有些是 -rwsr-xr-x ，又有些是 drwsrws--T ?这些则与umask、特殊权限有关。

什么是umask？umask一般是用在你初始创建一个目录或者文件的时候赋予他们的权限。它与chmod的效果刚好相反，umask设置的是权限“补码”，而chmod设置的是文件权限码。一般在/etc/profile、

或用户家目录下的.bash_profile或.profile中设置umask值。

默认的umask是0022，0022四个数字代表是赋值初始化准备丢弃的权限。（相对应文件来说，x权限就算没说明出来丢弃一样必须默认丢弃）

第一个0代表suid 丢弃的权限；

第二个0代表本文件/目录拥有者什么权限都没丢弃；

第三个2代表本文件/目录的用户组丢弃了w权限；

第四个2代表本文件/目录的文件/目录的用户组丢弃了w权限。

一般我们会这样表示：

umask +default permission（默认权限） =777(目录)/666(文件)

但存在特殊情况如果把umask设为135呢？

要了解特殊权限需对安全上下文有一个概念：

前提：进程有属主和属组；文件有属主和属组

(1) 任何一个可执行程序文件能不能启动为进程,取决发起者对程序文件是否拥有执行权限

(2) 启动为进程之后，其进程的属主为发起者,进程的属组为发起者所属的组

(3) 进程访问文件时的权限，取决于进程的发起者

(a) 进程的发起者，同文件的属主：则应用文件属主权限

(b) 进程的发起者，属于文件属组；则应用文件属组权限

(c) 应用文件“其它”权限

1.SUID 权限仅对二进制程序(binary program)有效；

2.执行者对于该程序需要具有x 的可执行权限；

3.本权限仅在执行该程序的过程中有效(run-time)；

4.执行者将具有该程序拥有者(owner) 的权限。

5.SUID设置在目录上无意义

权限设定：

chmod u+s FILE...

chmod u-s FILE...

s 标志在文件拥有者的x 项目为SUID，那s 在群组的x 时则称为Set GID

[root@centos7 ~]# ls -l /usr/bin/locate

-rwx--s--x. 1 root slocate 40496 Jun 10 2014 /usr/bin/locate

与SUID 不同的是，SGID 可以针对文件或目录来设定！如果是对文件来说， SGID 有如下的功能：

-1.SGID 对二进制程序有用；

-2.程序执行者对于该程序来说，需具备x 的权限；

-3.执行者在执行的过程中将会获得该程序群组的支持！

[root@centos7 ~]# ll /usr/bin/locate /var/lib/mlocate/mlocate.db

-rwx--s--x. 1 root slocate 40496 Jun 10 2014 /usr/bin/locate

-rw-r-----. 1 root slocate 2349055 Jun 15 03:44 /var/lib/mlocate/mlocate.db

与SUID 非常的类似，使用xiaoming 这个账号去执行locate 时，那xiaoming将会取得slocate 群组的支持， 因此就能够去读取 mlocate.db 。

SGID 也能够用在目录上，这也是非常常见的一种用途

目录设定了SGID 的权限后，他将具有如下的功能：

-1. 用户若对于此目录具有r 与x 的权限时，该用户能够进入此目录；

-2.用户在此目录下的有效群组(effective group)将会变成该目录的群组；

-3.用途：若用户在此目录下具有w 的权限(可以新建文件)，则使用者所建立的新文件，该新文件的群组与此目录的群组相同。

这个 Sticky Bit, SBIT 目前只针对目录有效，sticky 设置在文件上无意义。SBIT 对于目录的作用是：

-1.当用户对于此目录具有w, x 权限，亦即具有写入的权限时；

-2.当用户在该目录下建立文件或目录时，仅有自己与root 才有权力删除该文件

SUID/SGID/SBIT 权限设定

-rwSrwSrwT 1 root root 0 Jun 16 02:53 test

设定权限成为 -rws--x--x 的模样：

[root@centos7 tmp]# chmod u=rwxs,go=x testls -l test

-rws--x--x 1 root root 0 Jun 16 02:53 test

承上，加上 SGID 与 SBIT 在上述的文件权限中！

[root@centos7 tmp]# chmod g+s,o+t testls -l test

-rws--s--t 1 root root 0 Jun 16 02:53 test

1】ACL 是Access Control List 的缩写，主要的目的是在提供传统的owner,group,others 的read,write,execute 权限之外的细部权限设定。ACL 可以针对单一使用者，单一文件或目录来进行

ACL 主要可以针以下来控制权限呢：

1.使用者 (user)：可以针对使用者来设定权限；

2.群组 (group)：针对群组为对象来设定其权限；

3.默认属性(mask)：还可以针对在该目录下在建立新文件/目录时，规范新数据的默认权限；

及1.ACL：Access Control List，实现灵活的权限管理；2.CentOS7默认创建的xfs和ext4文件系统具有ACL功能；3.CentOS7之前版本，默认手工创建的ext4文件系统无ACL功能,需手动增加tune2fs –o acl/dev/sdb1

mount –o acl/dev/sdb1 /mnt/test

4.ACL生效顺序：所有者，自定义用户，自定义组，其他人

为多用户或者组的文件和目录赋予访问权限rwx

2】ACL 的设定技巧： getfacl, setfacl

-x ：删除后续的 acl 参数，不可与 -m 合用；

-b ：移除『所有的』 ACL 设定参数；

-k ：移除『预设的』 ACL 参数，

-R ：递归设定 acl ，亦即包括次目录都会被设定起来；

-d ：设定『预设 acl 参数』的意思！只对目录有效，在该目录新建的数据会引用此默认值

例：[root@centos7 ~]# touch acl_test1

[root@centos7 ~]# ll acl_test1

-rw-r--r--. 1 root root 0 Jul 21 17:33 acl_test1

[root@centos7 ~]# setfacl -m u:xiaoming:rx acl_test1

[root@centos7 ~]# ll acl_test1

-rw-r-xr--+ 1 root root 0 Jul 21 17:33 acl_test1

[root@centos7 ~]# setfacl -m u::rwx acl_test1

[root@centos7 ~]# ll acl_test1

-rwxr-xr--+ 1 root root 0 Jul 21 17:33 acl_test1

设定值中的 u 后面无使用者列表，代表设定该文件拥有者

2.getfacl 指令用法余setfacl一样

例：[root@centos7 ~]# getfacl acl_test1

file: acl_test1 <==说明档名而已！

owner: root <==说明此文件的拥有者，亦即 ls -l 看到的第三使用者字段

group: root <==此文件的所属群组，亦即 ls -l 看到的第四群组字段

user::rwx <==使用者列表栏是空的，代表文件拥有者的权限

user:xiaoming:r-x <==针对xiaoming 的权限设定为 rx ，与拥有者并不同！

group::r-- <==针对文件群组的权限设定仅有 r

mask::r-x <==此文件预设的有效权限 (mask)

other::r--

3】特定的单一群组的权限设定：『g:群组名:权限』

4】主要的文件 *** 作命令cp和mv都支持ACL，只是cp命令需要加上-p 参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息

getfacl -R /tmp/dir1 >acl.txt

setfacl -R -b /tmp/dir1

清除dir目录的ACL权限

setfacl -R --set-file=acl.txt /tmp/dir1

setfacl --restore acl.txt

getfacl -R /tmp/dir1

---