1. 程式人生 > >Wait for 的專欄

Wait for 的專欄

配置 Linux 的訪問控制列表(ACL)

使用擁有許可權控制的Liunx,工作是一件輕鬆的任務。它可以定義任何user,group和other的許可權。無論是在桌面電腦或者不會有很多使用者的虛擬Linux例項,或者當用戶不願意分享他們之間的檔案時,這樣的工作是很棒的。然而,如果你是在一個大型組織,你運行了NFS或者Samba服務給不同的使用者,然後你將會需要靈活的挑選並設定很多複雜的配置和許可權去滿足你的組織不同的需求。

Linux(和其他Unix等POSIX相容的作業系統)有一種被稱為訪問控制列表(ACL)的許可權控制方法,它是一種許可權分配之外的普遍正規化。例如,預設情況下你需要確認3個許可權組:owner、group和other。而使用ACL,你可以增加許可權給其他使用者或組別,而不單只是簡單的"other"或者是擁有者不存在的組別。可以允許指定的使用者A、B、C擁有寫許可權而不再是讓他們整個組擁有寫許可權。

ACL支援多種Linux檔案系統,包括ext2, ext3, ext4, XFS, Btfrs, 等。如果你不確定你的檔案系統是否支援ACL,請參考文件。

在檔案系統使ACL生效

首先,我們需要安裝工具來管理ACL。

Ubuntu/Debian 中:

  1. $ sudoapt-get install acl

CentOS/Fedora/RHEL 中:

  1. #yum-y install acl

Archlinux 中:

  1. # pacman -S acl

出於演示目的,我將使用ubuntu server版本,其他版本類似。

安裝ACL完成後,需要啟用我們磁碟分割槽的ACL功能,這樣我們才能使用它。

首先,我們檢查ACL功能是否已經開啟。

  1. $ mount

你可以注意到,我的root分割槽中ACL屬性已經開啟。萬一你沒有開啟,你需要編輯/etc/fstab檔案,在你需要開啟ACL的分割槽的選項前增加acl標記。

現在我們需要重新掛載分割槽(我喜歡完全重啟,因為我不想丟失資料),如果你對其它分割槽開啟ACL,你必須也重新掛載它。

  1. $ sudomount/-o remount

乾的不錯!現在我們已經在我們的系統中開啟ACL,讓我們開始和它一起工作。

ACL 範例

基礎ACL通過兩條命令管理:setfacl用於增加或者修改ACL,getfacl用於顯示分配完的ACL。讓我們來做一些測試。

我建立一個目錄/shared給一個假設的使用者,名叫freeuser

  1. $ ls-lh /

我想要分享這個目錄給其他兩個使用者test和test2,一個擁有完整許可權,另一個只有讀許可權。

首先,為使用者test設定ACL:

  1. $ sudosetfacl-m u:test:rwx /shared

現在使用者test可以隨意建立資料夾,檔案和訪問在/shared目錄下的任何地方。

現在我們增加只讀許可權給使用者test2:

  1. $ sudosetfacl-m u:test2:rx /shared

注意test2讀取目錄需要執行(x)許可權

讓我來解釋下setfacl命令格式:

  • -m 表示修改ACL。你可以增加新的,或修改存在的ACL
  • u: 表示使用者。你可以使用 g 來設定組許可權
  • test 使用者名稱
  • :rwx 需要設定的許可權。

現在讓我向你展示如何讀取ACL:

  1. $ ls-lh /shared

你可以注意到,正常許可權後多一個+標記。這表示ACL已經設定成功。要具體看一下ACL,我們需要執行:

  1. $ sudo getfacl /shared

最後,如果你需要移除ACL:

  1. $ sudosetfacl-x u:test/shared

如果你想要立即擦除所有ACL條目:

  1. $ sudosetfacl-b /shared

最後,在設定了ACL檔案或目錄工作時,cp和mv命令會改變這些設定。在cp的情況下,需要新增“p”引數來複制ACL設定。如果這不可行,它將會展示一個警告。mv預設移動ACL設定,如果這也不可行,它也會向您展示一個警告。

總結

使用ACL讓在你想要分享的檔案上擁有更多的能力和控制,特別是在NFS/Samba服務。此外,如果你的主管共享主機,這個工具是必備的。