Linux ACL權(quán)限設(shè)置（setfacl和getfacl）

2024-08-27 23:56:53

字體：大中小

供稿：網(wǎng)友

通過上一節(jié)的學(xué)習(xí)，我們知道了什么是 ACL 權(quán)限，也了解了如何配置 linux 系統(tǒng)使其開啟 ACL 權(quán)限，本節(jié)來學(xué)習(xí) ACL 設(shè)定文件訪問權(quán)限的具體方法。

設(shè)定 ACl 權(quán)限，常用命令有 2 個，分別是 setfacl 和 getfacl 命令，前者用于給指定文件或目錄設(shè)定 ACL 權(quán)限，后者用于查看是否配置成功。

getfacl 命令用于查看文件或目錄當(dāng)前設(shè)定的 ACL 權(quán)限信息。該命令的基本格式為：

[root@localhost ~]# getfacl 文件名

getfacl 命令的使用非常簡單，且常和 setfacl 命令一起搭配使用。

setfacl 命令可直接設(shè)定用戶或群組對指定文件的訪問權(quán)限。此命令的基本格式為：

[root@localhost ~]# setfacl 選項文件名

表 1 羅列出了該命令可以使用的所用選項及功能。

表 1 setfacl 命令選項及用法
選項	功能
-m 參數(shù)	設(shè)定 ACL 權(quán)限。如果是給予用戶 ACL 權(quán)限，參數(shù)則使用 "u:用戶名:權(quán)限" 的格式，例如 `setfacl -m u:st:rx /project` 表示設(shè)定 st 用戶對 project 目錄具有 rx 權(quán)限；如果是給予組 ACL 權(quán)限，參數(shù)則使用 "g:組名:權(quán)限" 格式，例如 `setfacl -m g:tgroup:rx /project` 表示設(shè)定群組 tgroup 對 project 目錄具有 rx 權(quán)限。
-x 參數(shù)	刪除指定用戶（參數(shù)使用 u:用戶名）或群組（參數(shù)使用 g:群組名）的 ACL 權(quán)限，例如 `setfacl -x u:st /project` 表示刪除 st 用戶對 project 目錄的 ACL 權(quán)限。
-b	刪除所有的 ACL 權(quán)限，例如 `setfacl -b /project` 表示刪除有關(guān) project 目錄的所有 ACL 權(quán)限。
-d	設(shè)定默認(rèn) ACL 權(quán)限，命令格式為 "setfacl -m d:u:用戶名:權(quán)限文件名"（如果是群組，則使用 d:g:群組名:權(quán)限），只對目錄生效，指目錄中新建立的文件擁有此默認(rèn)權(quán)限，例如 `setfacl -m d:u:st:rx /project` 表示 st 用戶對 project 目錄中新建立的文件擁有 rx 權(quán)限。
-R	遞歸設(shè)定 ACL 權(quán)限，指設(shè)定的 ACL 權(quán)限會對目錄下的所有子文件生效，命令格式為 "setfacl -m u:用戶名:權(quán)限 -R 文件名"（群組使用 g:群組名:權(quán)限），例如 `setfacl -m u:st:rx -R /project` 表示 st 用戶對已存在于 project 目錄中的子文件和子目錄擁有 rx 權(quán)限。
-k	刪除默認(rèn) ACL 權(quán)限。

setfacl -m：給用戶或群組添加 ACL 權(quán)限

回歸上一節(jié)案例，解決方案如下：

老師使用 root 用戶，并作為 /project 的所有者，對 project 目錄擁有 rwx 權(quán)限；
新建 tgroup 群組，并作為 project 目錄的所屬組，包含本班所有的班級學(xué)員（假定只有 zhangsan 和 lisi），擁有對 project 的 rwx 權(quán)限；
將其他用戶訪問 project 目錄的權(quán)限設(shè)定為 0（也就是 ---）。
對于試聽學(xué)員 st 來說，我們對其設(shè)定 ACL 權(quán)限，令該用戶對 project 擁有 rx 權(quán)限。

具體的設(shè)置命令如下：

[root@localhost ~]# useradd zhangsan
[root@localhost ~]# useradd lisi
[root@localhost ~]# useradd st
[root@localhost ~]# groupadd tgroup <-- 添加需要試驗的用戶和用戶組，省略設(shè)定密碼的過程
[root@localhost ~]# mkdir /project <-- 建立需要分配權(quán)限的目錄
[root@localhost ~]# chown root:tgroup /project <-- 改變/project目錄的所有者和所屬組
[root@localhost ~]# chmod 770 /project <-- 指定/project目錄的權(quán)限
[root@localhost ~]# ll -d /project
drwxrwx---. 2 root tgroup 4096 Apr 16 12:55 /project
#這時st學(xué)員來試聽了，如何給她分配權(quán)限
[root@localhost ~]# setfacl -m u:st:rx /project
#給用戶st賦予r-x權(quán)限，使用"u:用戶名：權(quán)限" 格式
[root@localhost /]# cd /
[root@localhost /]# ll -d /project
drwxrwx---+ 2 root tgroup 4096 Apr 16 12:55 /project
#如果查詢時會發(fā)現(xiàn)，在權(quán)限位后面多了一個"+"，表示此目錄擁有ACL權(quán)限
[root@localhost /]# getfacl project
#查看/prpject目錄的ACL權(quán)限
#file:project <--文件名
#owner:root <--文件的所有者
#group:tgroup <--文件的所屬組
user::rwx <--用戶名欄是空的，說明是所有者的權(quán)限
user:st:r-x <--用戶st的權(quán)限
group::rwx <--組名欄是空的，說明是所屬組的權(quán)限
mask::rwx <--mask權(quán)限
other::--- <--其他人的權(quán)限

可以看到，通過設(shè)定 ACL 權(quán)限，我們可以單獨給 st 用戶分配 r-x 權(quán)限，而無需給 st 用戶設(shè)定任何身份。

同樣的道理，也可以給用戶組設(shè)定 ACL 權(quán)限，例如：

[root@localhost /]# groupadd tgroup2
#添加新群組
[root@localhost /]# setfacl -m g:tgroup2:rwx project
#為組tgroup2紛配ACL權(quán)限
[root@localhost /]# ll -d project
drwxrwx---+ 2 root tgroup 4096 1月19 04:21 project
#屬組并沒有更改
[root@localhost /]# getfacl project
#file: project
#owner: root
#group: tgroup
user::rwx
user:st:r-x
group::rwx
group:tgroup2:rwx <-用戶組tgroup2擁有了rwx權(quán)限
mask::rwx
other::---

setfacl -d：設(shè)定默認(rèn) ACL 權(quán)限

既然已經(jīng)對 project 目錄設(shè)定了 ACL 權(quán)限，那么，如果在這個目錄中新建一些子文件和子目錄，這些文件是否會繼承父目錄的 ACL 權(quán)限呢？執(zhí)行以下命令進行驗證：

[root@localhost /]# cd project
[root@localhost project]# touch abc
[root@localhost project]# mkdir d1
#在/project目錄中新建了abc文件和d1目錄
[root@localhost project]#ll
總用量4
-rw-r--r-- 1 root root 01月19 05:20 abc
drwxr-xr-x 2 root root 4096 1月19 05:20 d1

可以看到，這兩個新建立的文件權(quán)限位后面并沒有 "+"，表示它們沒有繼承 ACL 權(quán)限。這說明，后建立的子文件或子目錄，并不會繼承父目錄的 ACL 權(quán)限。

當(dāng)然，我們可以手工給這兩個文件分配 ACL 權(quán)限，但是如果在目錄中再新建文件，都要手工指定，則顯得過于麻煩。這時就需要用到默認(rèn) ACL 權(quán)限。

默認(rèn) ACL 權(quán)限的作用是，如果給父目錄設(shè)定了默認(rèn) ACL 權(quán)限，那么父目錄中所有新建的子文件都會繼承父目錄的 ACL 權(quán)限。需要注意的是，默認(rèn) ACL 權(quán)限只對目錄生效。

例如，給 project 文件設(shè)定 st 用戶訪問 rx 的默認(rèn) ACL 權(quán)限，可執(zhí)行如下指令：

[root@localhost /]# setfacl -m d:u:st:rx project
[root@localhost project]# getfacl project
# file: project
# owner: root
# group: tgroup
user:: rwx
user:st:r-x
group::rwx
group:tgroup2:rwx
mask::rwx
other::---
default:user::rwx <--多出了default字段
default:user:st:r-x
default:group::rwx
default:mask::rwx
default:other::---
[root@localhost /]# cd project
[root@localhost project]# touch bcd
[root@localhost project]# mkdir d2
#新建子文件和子目錄
[root@localhost project]# ll 總用量8
-rw-r--r-- 1 root root 01月19 05:20 abc
-rw-rw----+ 1 root root 01月19 05:33 bcd
drwxr-xr-x 2 root root 4096 1月19 05:20 d1
drwxrwx---+ 2 root root 4096 1月19 05:33 d2
#新建的bcd和d2已經(jīng)繼承了父目錄的ACL權(quán)限

大家發(fā)現(xiàn)了嗎？原先的 abc 和 d1 還是沒有 ACL 權(quán)限，因為默認(rèn) ACL 權(quán)限是針對新建立的文件生效的。

對目錄設(shè)定的默認(rèn) ACL 權(quán)限，可直接使用 setfacl -k 命令刪除。例如：

[root@localhost /]# setfacl -k project

通過此命令，即可刪除 project 目錄的默認(rèn) ACL 權(quán)限，讀者可自行通過 getfacl 命令查看。

setfacl -R：設(shè)定遞歸 ACL 權(quán)限

遞歸 ACL 權(quán)限指的是父目錄在設(shè)定 ACL 權(quán)限時，所有的子文件和子目錄也會擁有相同的 ACL 權(quán)限。

例如，給 project 目錄設(shè)定 st 用戶訪問權(quán)限為 rx 的遞歸 ACL 權(quán)限，執(zhí)行命令如下：

[root@localhost project]# setfacl -m u:st:rx -R project
[root@localhost project]# ll
總用量 8
-rw-r-xr--+ 1 root root 01月19 05:20 abc
-rw-rwx--+ 1 root root 01月19 05:33 bcd
drwxr-xr-x+ 2 root root 4096 1月19 05:20 d1
drwxrwx---+ 2 root root 4096 1月19 05:33 d2
#abc和d1也擁有了ACL權(quán)限

注意，默認(rèn) ACL 權(quán)限指的是針對父目錄中后續(xù)建立的文件和目錄會繼承父目錄的 ACL 權(quán)限；遞歸 ACL 權(quán)限指的是針對父目錄中已經(jīng)存在的所有子文件和子目錄會繼承父目錄的 ACL 權(quán)限。

setfacl -x：刪除指定的 ACL 權(quán)限

使用 setfacl -x 命令，可以刪除指定的 ACL 權(quán)限，例如，刪除前面建立的 st 用戶對 project 目錄的 ACL 權(quán)限，執(zhí)行命令如下：

[root@localhost /]# setfacl -x u:st project
#刪除指定用戶和用戶組的ACL權(quán)限
[root@localhost /]# getfacl project
# file:project
# owner: root
# group: tgroup
user::rwx
group::rwx
group:tgroup2:rwx
mask::rwx
other::---
#st用戶的權(quán)限已被刪除

setfacl -b：刪除指定文件的所有 ACL 權(quán)限

此命令可刪除所有與指定文件或目錄相關(guān)的 ACL 權(quán)限。例如，現(xiàn)在我們刪除一切與 project 目錄相關(guān)的 ACL 權(quán)限，執(zhí)行命令如下：

[root@localhost /]# setfacl -b project
#會刪除文件的所有ACL權(quán)限
[root@localhost /]# getfacl project
#file: project
#owner: root
# group: tgroup
user::rwx
group::rwx
other::---
#所有ACL權(quán)限已被刪除

上一篇：Linux mask有效權(quán)限詳解

下一篇：ACL權(quán)限是什么，Linux ACL訪問控制權(quán)限（包含開啟方式）