Linux ACL
阿新 • • 發佈:2018-11-21
1. 為什麼要使用ACL
先讓我們來簡單地複習一下Linux的file permission.
在linux下,對一個檔案(或者資源)可以進行操作的物件被分為三類: file owner(檔案的擁有者), group(組,注意不一定是檔案擁有者所在的組), other (其他)
而對於每一類別又分別定義了read, write and execute/search permission (這裡不討論SUID, SGID以及Sticky bit的設定) 通過ls -l命令就我們就可以列出一個檔案的permission 程式碼: # ls -l [[email protected] ~]$ ls -l -rw-rw---- 1 leonard admin 0 Jul 3 20:12 test.txt
在這裡說明了對於test.txt這個檔案leonard使用者(由於是file owner)擁有read & write permission. 所有屬於admin group的使用者(group)擁有read & write permission. 其他任何使用者(other)對於檔案沒有任何的permission 如果我們現在希望john這個使用者也可以對test.txt檔案進行讀寫操作. 我自己大概會想到以下幾種辦法 (這裡假設john不屬於admin group) 1. 給檔案的other類別增加read and write permission. 這樣由於john會被歸為other類別,那麼他也將擁有讀寫的許可權
2. 將john加入到admin group. 那麼john會被歸為group類別,那麼他將擁有讀寫的許可權
3. 設定sudo, 使john能夠以leonard的身份對test.txt進行操作,從而獲得讀寫許可權 第一種做法的問題在於所有使用者都將對test.txt擁有讀寫操作,顯然這種做法不可取
第二種做法的問題在於john被賦予了過多的許可權.所有屬於admin組的檔案,john都可以擁有其等同的許可權了
第三種做法雖然可以達到只限定john使用者一人擁有對test.txt檔案的讀寫許可權.但是需要對sudoers檔案進行嚴格的格式控制. 而且當檔案數量和使用者很多的時候,這種方法就相當地不靈活了 看來好像都沒有一個很好的解決方案. 其實問題就出在Linux file permission裡面,對於other的定義過於廣泛,以至於很難把permission限定於一個不屬於file owner和group的使用者身上. 那麼Access Control List (ACL)就是用來幫助我們解決這個問題的. 簡單地來說ACL就是可以設定特定使用者或者使用者組對於一個檔案的操作許可權. 需要掌握的命令也只有三個: getfacl, setfacl, chacl 在接下去討論之前大家可以先安裝上ACL的RPM包
程式碼: # rpm -ivh libacl-2.2.39-1.1 acl-2.2.39-1.1.i386.rpm 2. ACL的名詞定義 先來看看在ACL裡面每一個名詞的定義.這些名詞我大多從man page上摘下來雖然有些枯燥,但是對於理解下面的內容還是很有幫助的 ACL 是由一系列的Access Entry所組成的. 每一條Access Entry定義了特定的類別可以對檔案擁有的操作許可權. Access Entry有三個組成部分: Entry tag type, qualifier (optional), permission 我們先來看一下最重要的Entry tag type, 它有以下幾個型別 ACL_USER_OBJ: 相當於Linux裡file_owner的permission
ACL_USER: 定義了額外的使用者可以對此檔案擁有的permission
ACL_GROUP_OBJ: 相當於Linux裡group的permission
ACL_GROUP: 定義了額外的組可以對此檔案擁有的permission
ACL_MASK: 定義了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大許可權 (這個我下面還會專門討論)
ACL_OTHER: 相當於Linux裡other的permission 讓我們來據個例子說明一下. 下面我們就用getfacl命令來檢視一個定義好了的ACL檔案 程式碼: [
前面三個以#開頭的定義了檔名,file owner和group. 這些資訊沒有太大的作用,接下來我們可以用 --omit-header來省略掉
user::rw- 定義了ACL_USER_OBJ, 說明file owner擁有read and write permission
user:john:rw- 定義了ACL_USER,這樣使用者john就擁有了對檔案的讀寫許可權,實現了我們一開始要達到的目的
group::rw- 定義了ACL_GROUP_OBJ,說明檔案的group擁有read and write permission
group:dev:r-- 定義了ACL_GROUP,使得dev組擁有了對檔案的read permission
mask::rw- 定義了ACL_MASK的許可權為read and write
other::r-- 定義了ACL_OTHER的許可權為read 從這裡我們就可以看出ACL提供了我們可以定義特定使用者和使用者組的功能. 那麼接下來我們就來看一下如何設定一個檔案的ACL
3. 如何設定ACL檔案 首先我們還是要講一下設定ACL檔案的格式. 從上面的例子中我們可以看到每一個Access Entry都是由三個被:號分隔開的欄位所組成. 第一個就是Entry tag type user 對應了ACL_USER_OBJ和ACL_USER
group 對應了ACL_GROUP_OBJ和ACL_GROUP
mask 對應了ACL_MASK
other 對應了ACL_OTHER 第二個欄位稱之為qualifier.也就是上面例子中的john和dev組.它定義了特定使用者和擁護組對於檔案的許可權.這裡我們也可以發現只有user和group才有qualifier,其他的都為空 第三個欄位就是我們熟悉的permission了. 它和Linux的permission一樣定義,這裡就不多講了 下面我們就來看一下怎麼設定test.txt這個檔案的ACL讓它來達到我們上面的要求 一開始檔案沒有ACL的額外屬性 程式碼: [
我們先讓使用者john擁有對test.txt檔案的讀寫許可權 程式碼: [[email protected] ~]$ setfacl -m user:john:rw- ./test.txt [
這時我們就可以看到john使用者在ACL裡面已經擁有了對檔案的讀寫許可權. 這個時候如果我們檢視一下linux的permission我們還會發現一個不一樣的地方 程式碼: [[email protected] ~]$ ls -l ./test.txt -rw-rw-r--+ 1 leonard admin 0 Jul 3 22:06 ./test.txt
在檔案permission的最後多了一個+號. 當任何一個檔案擁有了ACL_USER或者ACL_GROUP的值以後我們就可以稱它為ACL檔案.這個+號就是用來提示我們的
我們還可以發現當一個檔案擁有了ACL_USER或者ACL_GROUP的值時ACL_MASK同時也會被定義 接下來我們來設定dev組擁有read permission 程式碼: [[email protected] ~]$ setfacl -m group:dev:r-- ./test.txt [[email protected] ~]$ getfacl --omit-header ./test.txt user::rw- user:john:rw- group::rw- group:dev:r-- mask::rw- other::r--
到這裡就完成了我們上面講到的要求.是不是很簡單呢
4. ACL_MASK 和 Effective permission 這裡需要重點講一下ACL_MASK, 因為這是掌握ACL的另一個關鍵 在Linux file permission裡面大家都知道比如對於rw-rw-r--來說, 當中的那個rw-是指檔案組的permission. 但是在ACL裡面這種情況只是在ACL_MASK不存在的情況下成立. 如果檔案有ACL_MASK值,那麼當中那個rw-代表的就是mask值而不再是group permission了 讓我們來看下面這個例子 程式碼: [[email protected] ~]$ ls -l -rwxrw-r-- 1 leonard admin 0 Jul 3 23:10 test.sh
這裡說明test.sh檔案只有file owner: leonard擁有read, write, execute/search permission. admin組只有read and write permission
現在我們想讓使用者john也對test.sh具有和leonard一樣的permission 程式碼: [[email protected] ~]$ setfacl -m user:john:rwx ./test.sh [[email protected] ~]$ getfacl --omit-header ./test.sh user::rwx user:john:rwx group::rw- mask::rwx other::r--
這裡我們看到john已經擁有了rwx的permission. mask值也被設定為rwx.那是因為它規定了ACL_USER, ACL_GROUP和ACL_GROUP_OBJ的最大值
現在我們再來看test.sh的Linux permission, 它已經變成了 程式碼: [[email protected] ~]$ ls -l -rwxrwxr--+ 1 leonard admin 0 Jul 3 23:10 test.sh
那麼如果現在admin組的使用者想要執行test.sh的程式會發生什麼情況呢? 它會被permission deny.原因在於實際上admin組的使用者只有read and write permission.這裡當中顯示的rwx是ACL_MASK的值而不是group的permission 所以從這裡我們就可以知道,如果一個檔案後面有+標記,我們都需要用getfacl來確認它的permission,以免發生混淆 下面我們再來繼續看一個例子
假如現在我們設定test.sh的mask為read only,那麼admin組的使用者還會有write permission嗎? 程式碼: [[email protected] ~]$ setfacl -m mask::r-- ./test.sh [[email protected] ~]$ getfacl --omit-header ./test.sh user::rwx user:john:rwx #effective:r-- group::rw- #effective:r-- mask::r-- other::r--
這時候我們可以看到ACL_USER和ACL_GROUP_OBJ旁邊多了個#effective:r--, 這是什麼意思呢?
讓我們再來回顧一下ACL_MASK的定義. 它規定了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大許可權.那麼在我們這個例子中他們的最大許可權也就是read only.雖然我們這裡給ACL_USER和ACL_GROUP_OBJ設定了其他許可權,但是他們真正有效果的只有read許可權. 這時我們再來檢視test.sh的Linux file permission時它的group permission也會顯示其mask的值(i.e. r--) 程式碼: [[email protected] ~]$ ls -l -rwxr--r--+ 1 leonard admin 0 Jul 3 23:10 test.sh 5. Default ACL 上面我們所有講的都是Access ACL, 也就是對檔案而言. 下面我簡單講一下Default ACL. Default ACL是指對於一個目錄進行Default ACL設定,並且在此目錄下建立的檔案都將繼承此目錄的ACL 同樣我們來做一個試驗說明
比如現在leonard使用者建立了一個dir目錄 程式碼: [[email protected] ~]$ mkdir dir
他希望所有在此目錄下建立的檔案都可以被john使用者所訪問. 那麼我們就應該對dir目錄設定Default ACL 程式碼: [[email protected] ~]$ setfacl -d -m user:john:rw ./dir [[email protected] ~]$ getfacl --omit-header ./dir user::rwx group::rwx other::r-x default:user::rwx default:user:john:rwx default:group::rwx default:mask::rwx default: other::r-x
這裡我們可以看到ACL定義了default選項, john使用者擁有了default的read, write, excute/search permission.所有沒有定義的default都將從file permission裡copy過來 現在leonard使用者在dir下建立一個test.txt檔案 程式碼: [[email protected] ~]$ touch ./dir/test.txt [[email protected] ~]$ ls -l ./dir/test.txt -rw-rw-r--+ 1 leonard leonard 0 Jul 3 23:46 ./dir/test.txt [[email protected] ~]$ getfacl --omit-header ./dir/test.txt user::rw- user:john:rw- group::rwx #effective:rw- mask::rw- other::r--
這裡我們看到在dir下建立的檔案john使用者自動就有了read and write permission
6. ACL 相關命令 前面的例子中我們都注意到了getfacl命令是用來讀取檔案的ACL, setfacl是用來設定檔案的Acess ACL. 這裡還有一個chacl是用來改變檔案和目錄的Access ACL and Default ACL. 它的具體引數大家可以去看man page. 我只想提及一下chacl -B. 它可以徹底刪除檔案或者目錄的ACL屬性(包括Default ACL). 比如你即使用了setfacl -x刪除了所有檔案的ACL屬性,那個+號還是會出現在檔案的末尾.所以正確的刪除方法應該是用chacl -B
用cp來複制檔案的時候我們現在可以加上-p選項.這樣在拷貝檔案的時候也將拷貝檔案的ACL屬性.對於不能拷貝的ACL屬性將給出警告 mv命令將會預設地移動檔案的ACL屬性. 同樣如果操作不允許的情況下會給出警告
7. 需要注意的幾點 如果你的檔案系統不支援ACL的話,你也許需要重新mount你的file system
mount -o remount, acl [mount point] 如果用chmod命令改變Linux file permission的時候相應的ACL值也會改變.反之改變ACL的值,相應的file permission也會改變
而對於每一類別又分別定義了read, write and execute/search permission (這裡不討論SUID, SGID以及Sticky bit的設定) 通過ls -l命令就我們就可以列出一個檔案的permission 程式碼: # ls -l [[email protected] ~]$ ls -l -rw-rw---- 1 leonard admin 0 Jul 3 20:12 test.txt
在這裡說明了對於test.txt這個檔案leonard使用者(由於是file owner)擁有read & write permission. 所有屬於admin group的使用者(group)擁有read & write permission. 其他任何使用者(other)對於檔案沒有任何的permission 如果我們現在希望john這個使用者也可以對test.txt檔案進行讀寫操作. 我自己大概會想到以下幾種辦法 (這裡假設john不屬於admin group) 1. 給檔案的other類別增加read and write permission. 這樣由於john會被歸為other類別,那麼他也將擁有讀寫的許可權
2. 將john加入到admin group. 那麼john會被歸為group類別,那麼他將擁有讀寫的許可權
3. 設定sudo, 使john能夠以leonard的身份對test.txt進行操作,從而獲得讀寫許可權 第一種做法的問題在於所有使用者都將對test.txt擁有讀寫操作,顯然這種做法不可取
第二種做法的問題在於john被賦予了過多的許可權.所有屬於admin組的檔案,john都可以擁有其等同的許可權了
第三種做法雖然可以達到只限定john使用者一人擁有對test.txt檔案的讀寫許可權.但是需要對sudoers檔案進行嚴格的格式控制. 而且當檔案數量和使用者很多的時候,這種方法就相當地不靈活了 看來好像都沒有一個很好的解決方案. 其實問題就出在Linux file permission裡面,對於other的定義過於廣泛,以至於很難把permission限定於一個不屬於file owner和group的使用者身上. 那麼Access Control List (ACL)就是用來幫助我們解決這個問題的. 簡單地來說ACL就是可以設定特定使用者或者使用者組對於一個檔案的操作許可權. 需要掌握的命令也只有三個: getfacl, setfacl, chacl 在接下去討論之前大家可以先安裝上ACL的RPM包
程式碼: # rpm -ivh libacl-2.2.39-1.1 acl-2.2.39-1.1.i386.rpm 2. ACL的名詞定義 先來看看在ACL裡面每一個名詞的定義.這些名詞我大多從man page上摘下來雖然有些枯燥,但是對於理解下面的內容還是很有幫助的 ACL 是由一系列的Access Entry所組成的. 每一條Access Entry定義了特定的類別可以對檔案擁有的操作許可權. Access Entry有三個組成部分: Entry tag type, qualifier (optional), permission 我們先來看一下最重要的Entry tag type, 它有以下幾個型別 ACL_USER_OBJ: 相當於Linux裡file_owner的permission
ACL_USER: 定義了額外的使用者可以對此檔案擁有的permission
ACL_GROUP_OBJ: 相當於Linux裡group的permission
ACL_GROUP: 定義了額外的組可以對此檔案擁有的permission
ACL_MASK: 定義了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大許可權 (這個我下面還會專門討論)
ACL_OTHER: 相當於Linux裡other的permission 讓我們來據個例子說明一下. 下面我們就用getfacl命令來檢視一個定義好了的ACL檔案 程式碼: [
前面三個以#開頭的定義了檔名,file owner和group. 這些資訊沒有太大的作用,接下來我們可以用 --omit-header來省略掉
user::rw- 定義了ACL_USER_OBJ, 說明file owner擁有read and write permission
user:john:rw- 定義了ACL_USER,這樣使用者john就擁有了對檔案的讀寫許可權,實現了我們一開始要達到的目的
group::rw- 定義了ACL_GROUP_OBJ,說明檔案的group擁有read and write permission
group:dev:r-- 定義了ACL_GROUP,使得dev組擁有了對檔案的read permission
mask::rw- 定義了ACL_MASK的許可權為read and write
other::r-- 定義了ACL_OTHER的許可權為read 從這裡我們就可以看出ACL提供了我們可以定義特定使用者和使用者組的功能. 那麼接下來我們就來看一下如何設定一個檔案的ACL
3. 如何設定ACL檔案 首先我們還是要講一下設定ACL檔案的格式. 從上面的例子中我們可以看到每一個Access Entry都是由三個被:號分隔開的欄位所組成. 第一個就是Entry tag type user 對應了ACL_USER_OBJ和ACL_USER
group 對應了ACL_GROUP_OBJ和ACL_GROUP
mask 對應了ACL_MASK
other 對應了ACL_OTHER 第二個欄位稱之為qualifier.也就是上面例子中的john和dev組.它定義了特定使用者和擁護組對於檔案的許可權.這裡我們也可以發現只有user和group才有qualifier,其他的都為空 第三個欄位就是我們熟悉的permission了. 它和Linux的permission一樣定義,這裡就不多講了 下面我們就來看一下怎麼設定test.txt這個檔案的ACL讓它來達到我們上面的要求 一開始檔案沒有ACL的額外屬性 程式碼: [
我們先讓使用者john擁有對test.txt檔案的讀寫許可權 程式碼: [[email protected] ~]$ setfacl -m user:john:rw- ./test.txt [
這時我們就可以看到john使用者在ACL裡面已經擁有了對檔案的讀寫許可權. 這個時候如果我們檢視一下linux的permission我們還會發現一個不一樣的地方 程式碼: [[email protected] ~]$ ls -l ./test.txt -rw-rw-r--+ 1 leonard admin 0 Jul 3 22:06 ./test.txt
在檔案permission的最後多了一個+號. 當任何一個檔案擁有了ACL_USER或者ACL_GROUP的值以後我們就可以稱它為ACL檔案.這個+號就是用來提示我們的
我們還可以發現當一個檔案擁有了ACL_USER或者ACL_GROUP的值時ACL_MASK同時也會被定義 接下來我們來設定dev組擁有read permission 程式碼: [[email protected] ~]$ setfacl -m group:dev:r-- ./test.txt [[email protected] ~]$ getfacl --omit-header ./test.txt user::rw- user:john:rw- group::rw- group:dev:r-- mask::rw- other::r--
到這裡就完成了我們上面講到的要求.是不是很簡單呢
4. ACL_MASK 和 Effective permission 這裡需要重點講一下ACL_MASK, 因為這是掌握ACL的另一個關鍵 在Linux file permission裡面大家都知道比如對於rw-rw-r--來說, 當中的那個rw-是指檔案組的permission. 但是在ACL裡面這種情況只是在ACL_MASK不存在的情況下成立. 如果檔案有ACL_MASK值,那麼當中那個rw-代表的就是mask值而不再是group permission了 讓我們來看下面這個例子 程式碼: [[email protected] ~]$ ls -l -rwxrw-r-- 1 leonard admin 0 Jul 3 23:10 test.sh
這裡說明test.sh檔案只有file owner: leonard擁有read, write, execute/search permission. admin組只有read and write permission
現在我們想讓使用者john也對test.sh具有和leonard一樣的permission 程式碼: [[email protected] ~]$ setfacl -m user:john:rwx ./test.sh [[email protected] ~]$ getfacl --omit-header ./test.sh user::rwx user:john:rwx group::rw- mask::rwx other::r--
這裡我們看到john已經擁有了rwx的permission. mask值也被設定為rwx.那是因為它規定了ACL_USER, ACL_GROUP和ACL_GROUP_OBJ的最大值
現在我們再來看test.sh的Linux permission, 它已經變成了 程式碼: [[email protected] ~]$ ls -l -rwxrwxr--+ 1 leonard admin 0 Jul 3 23:10 test.sh
那麼如果現在admin組的使用者想要執行test.sh的程式會發生什麼情況呢? 它會被permission deny.原因在於實際上admin組的使用者只有read and write permission.這裡當中顯示的rwx是ACL_MASK的值而不是group的permission 所以從這裡我們就可以知道,如果一個檔案後面有+標記,我們都需要用getfacl來確認它的permission,以免發生混淆 下面我們再來繼續看一個例子
假如現在我們設定test.sh的mask為read only,那麼admin組的使用者還會有write permission嗎? 程式碼: [[email protected] ~]$ setfacl -m mask::r-- ./test.sh [[email protected] ~]$ getfacl --omit-header ./test.sh user::rwx user:john:rwx #effective:r-- group::rw- #effective:r-- mask::r-- other::r--
這時候我們可以看到ACL_USER和ACL_GROUP_OBJ旁邊多了個#effective:r--, 這是什麼意思呢?
讓我們再來回顧一下ACL_MASK的定義. 它規定了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大許可權.那麼在我們這個例子中他們的最大許可權也就是read only.雖然我們這裡給ACL_USER和ACL_GROUP_OBJ設定了其他許可權,但是他們真正有效果的只有read許可權. 這時我們再來檢視test.sh的Linux file permission時它的group permission也會顯示其mask的值(i.e. r--) 程式碼: [[email protected] ~]$ ls -l -rwxr--r--+ 1 leonard admin 0 Jul 3 23:10 test.sh 5. Default ACL 上面我們所有講的都是Access ACL, 也就是對檔案而言. 下面我簡單講一下Default ACL. Default ACL是指對於一個目錄進行Default ACL設定,並且在此目錄下建立的檔案都將繼承此目錄的ACL 同樣我們來做一個試驗說明
比如現在leonard使用者建立了一個dir目錄 程式碼: [[email protected] ~]$ mkdir dir
他希望所有在此目錄下建立的檔案都可以被john使用者所訪問. 那麼我們就應該對dir目錄設定Default ACL 程式碼: [[email protected] ~]$ setfacl -d -m user:john:rw ./dir [[email protected] ~]$ getfacl --omit-header ./dir user::rwx group::rwx other::r-x default:user::rwx default:user:john:rwx default:group::rwx default:mask::rwx default: other::r-x
這裡我們可以看到ACL定義了default選項, john使用者擁有了default的read, write, excute/search permission.所有沒有定義的default都將從file permission裡copy過來 現在leonard使用者在dir下建立一個test.txt檔案 程式碼: [[email protected] ~]$ touch ./dir/test.txt [[email protected] ~]$ ls -l ./dir/test.txt -rw-rw-r--+ 1 leonard leonard 0 Jul 3 23:46 ./dir/test.txt [[email protected] ~]$ getfacl --omit-header ./dir/test.txt user::rw- user:john:rw- group::rwx #effective:rw- mask::rw- other::r--
這裡我們看到在dir下建立的檔案john使用者自動就有了read and write permission
6. ACL 相關命令 前面的例子中我們都注意到了getfacl命令是用來讀取檔案的ACL, setfacl是用來設定檔案的Acess ACL. 這裡還有一個chacl是用來改變檔案和目錄的Access ACL and Default ACL. 它的具體引數大家可以去看man page. 我只想提及一下chacl -B. 它可以徹底刪除檔案或者目錄的ACL屬性(包括Default ACL). 比如你即使用了setfacl -x刪除了所有檔案的ACL屬性,那個+號還是會出現在檔案的末尾.所以正確的刪除方法應該是用chacl -B
用cp來複制檔案的時候我們現在可以加上-p選項.這樣在拷貝檔案的時候也將拷貝檔案的ACL屬性.對於不能拷貝的ACL屬性將給出警告 mv命令將會預設地移動檔案的ACL屬性. 同樣如果操作不允許的情況下會給出警告
7. 需要注意的幾點 如果你的檔案系統不支援ACL的話,你也許需要重新mount你的file system
mount -o remount, acl [mount point] 如果用chmod命令改變Linux file permission的時候相應的ACL值也會改變.反之改變ACL的值,相應的file permission也會改變