?

?

ACL 是什么

?

ACL的全稱是 Access Control List (訪問(wèn)控制列表) ，一個(gè)針對(duì)文件/目錄的訪問(wèn)控制列表。它在UGO權(quán)限管理的基礎(chǔ)上為文件系統(tǒng)提供一個(gè)額外的、更靈活的權(quán)限管理機(jī)制。它被設(shè)計(jì)為UNIX文件權(quán)限管理的一個(gè)補(bǔ)充。ACL允許你給任何的用戶或用戶組設(shè)置任何文件/目錄的訪問(wèn)權(quán)限。

?

本文的演示環(huán)境為 ubuntu 16.04。

?

ACL有什么用

?

既然是作為UGO權(quán)限管理的補(bǔ)充，ACL自然要有UGO辦不到或者很難辦到的本事，例如：

?

1. 可以針對(duì)用戶來(lái)設(shè)置權(quán)限

2. 可以針對(duì)用戶組來(lái)設(shè)置權(quán)限

3. 子文件/目錄繼承父目錄的權(quán)限

?

檢查是否支持ACL

?

ACL需要Linux內(nèi)核和文件系統(tǒng)的配合才能工作，當(dāng)前我們能見(jiàn)到的大多數(shù)Linux發(fā)行版本默認(rèn)都是支持的。但最好還是能夠先檢查一下：

?

sudo?tune2fs?-l?/dev/sda1?|grep?"Default mount options:"

Default?mount?options:?????????????????user_xattr????acl

?

我們能夠看到默認(rèn)情況下(Default mount options:)已經(jīng)加入 acl 支持了。

?

如何設(shè)置ACL

?

我們可以使用setfacl和getfacl命令來(lái)設(shè)置或觀察文件/目錄的acl權(quán)限。

?

setfacl

?

參數(shù)不多，直接列出來(lái)了：

?

?

getfacl

?

getfacl 文件/目錄名

?

下面我們通過(guò)一些示例來(lái)演示 ACL 權(quán)限的基本用法。

?

針對(duì)用戶來(lái)設(shè)置權(quán)限

?

筆者系統(tǒng)中的當(dāng)前用戶是 nick，再創(chuàng)建兩個(gè)用戶 tester 和 tester1 用來(lái)進(jìn)行測(cè)試：

?

$?sudo adduser?tester

$?sudo adduser?tester1

?

創(chuàng)建文件 aclfile，檢查其默認(rèn)的權(quán)限信息：

?

?

把用戶切換為 tester，發(fā)現(xiàn)沒(méi)有寫(xiě)文件的權(quán)限：

?

?

這是因?yàn)?other 沒(méi)有寫(xiě) aclfile 文件的權(quán)限。

?

下面我們?yōu)?tester 用戶賦予讀寫(xiě) aclfile 文件的權(quán)限：

?

$ setfacl -m urw aclfile

?

修改成功后再次以 tester 用戶的身份向 aclfile 文件寫(xiě)入數(shù)據(jù)，這次已經(jīng)可以正常寫(xiě)入了。查看 aclfile 文件的權(quán)限：

?

$ ll aclfile

?

?

貌似并沒(méi)有發(fā)生什么變化，只是在描述權(quán)限的地方多出了一個(gè) “+” 號(hào)。下面再看看 acl 權(quán)限：

?

$ getfacl aclfile

?

?

多出了一些信息，其中比較重要的是 userrw-，就是它讓用戶 tester 具有了讀寫(xiě) aclfile 的權(quán)限。

?

針對(duì)用戶組來(lái)設(shè)置權(quán)限

?

和針對(duì)用戶的設(shè)置幾乎一樣，只是把小寫(xiě)的 u 換成小寫(xiě)的 g 就行了。

?

子文件/目錄繼承父目錄的權(quán)限

?

這是一個(gè)很棒的例子，它能讓我們創(chuàng)建的子文件或者子文件夾繼承父文件夾的權(quán)限設(shè)置！

?

$?mkdir?mydir

$?ll?-d?mydir

$?setfacl?-m?d:u:tester:rwx?mydir

$?getfacl?mydir

?

注意參數(shù) d 在這里起到了決定性的作用。下面是設(shè)置后的 mydir 目錄的權(quán)限屬性：

?

?

這次多出了一些以 default 開(kāi)頭的行，這些 default 權(quán)限信息只能在目錄上設(shè)置，然后會(huì)被目錄中創(chuàng)建的文件和目錄繼承。下面分別在 mydir 目錄下創(chuàng)建文件 testfile 和目錄 testdir，并查看它們的 acl 權(quán)限：

?

$?touch?testfile

$?mkdir?testdir

$?getfacl?testfile

$?getfacl?testdir

?

?

從上圖可以看到文件 testfile 繼承了父目錄的 acl 權(quán)限，因此用戶 tester 對(duì)它有讀寫(xiě)權(quán)限。下面再看看 testdir 目錄：

?

?

從圖中可以看出，testdir 目錄不僅繼承了 tester 的訪問(wèn)權(quán)限，還繼承了父目錄上的 default 權(quán)限。也就是說(shuō)我們通過(guò)這種方式設(shè)置在目錄上的權(quán)限可以被子目錄遞歸的繼承下去。

?

更改 ACL 權(quán)限

?

-m 選項(xiàng)其實(shí)是在更改文件和目錄的 ACL 權(quán)限

?

• 當(dāng)一個(gè)用戶或組的 ACL 權(quán)限不存在時(shí)，-m 選項(xiàng)執(zhí)行的是添加操作，

• 如果一個(gè)用戶或組的 ACL 權(quán)限已經(jīng)存在時(shí)，-m 選項(xiàng)執(zhí)行的是更新操作。

?

我們重新創(chuàng)建一個(gè) aclfile 文件，通過(guò)下面的命令設(shè)置 tester 用戶對(duì)它的訪問(wèn)權(quán)限：

?

$ setfacl -m urwx aclfile

?

?

這時(shí) -m 選項(xiàng)是在添加 ACL 權(quán)限。然后我們修改 tester 用戶的權(quán)限，移除其對(duì) aclfile 的執(zhí)行權(quán)限：

?

$ setfacl -m urw aclfile

?

?

這時(shí) -m 選項(xiàng)是在更改現(xiàn)有的 ACL 權(quán)限。接下來(lái)再讓我們?cè)囈幌聻椴煌挠脩艋蚪M設(shè)置 ACL 權(quán)限：

?

$ setfacl -m grwx aclfile

?

?

這次是新添加了 group tester1 的權(quán)限，并且沒(méi)有影響 tester 用戶的權(quán)限。

?

–set 選項(xiàng)會(huì)先清除掉原有的 ACL 權(quán)限，然后添加新的權(quán)限

我們接著設(shè)置 aclfile 文件的 ACL 權(quán)限：

?

$ setfacl --set u::rw,urwx,g::r,o::- aclfile

?

?

需要注意的是一定要包含 UGO 權(quán)限的設(shè)置，不能象 -m 一樣只包含 ACL 權(quán)限。o::- 是另一個(gè)需要注意的地方，其完整的寫(xiě)法是 other::-，就像 u::rw 的完整寫(xiě)法是 user::rw- 一樣。通常我們可以把 “-” 省略，但是當(dāng)權(quán)限位只包含 “-” 時(shí)，就至少要保留一個(gè)。如果寫(xiě)成了o::，就會(huì)報(bào)錯(cuò)。

?

刪除 ACL 權(quán)限

?

有添加就有刪除，我們可以通過(guò) setfacl 命令的 -x 選項(xiàng)來(lái)刪除指定用戶或組的 ACL 權(quán)限，還可以通過(guò) -b 選項(xiàng)來(lái)清除文件和目錄上所有的 ACL 權(quán)限。

我們創(chuàng)建一個(gè)新的測(cè)試文件 aclfile，并設(shè)置下面的 ACL 權(quán)限：

?

$ setfacl -m urwx,urw,grwx aclfile

下面通過(guò) -x 選項(xiàng)刪除 group tester2 的 ACL 權(quán)限(注意命令中只指定了組的名稱而沒(méi)有指定權(quán)限信息)：

?

$ setfacl -x g:tester2 aclfile

?

查看一下結(jié)果，發(fā)現(xiàn)下圖中已經(jīng)沒(méi)有 group:tester2 的權(quán)限信息了：

?

?

下面通過(guò) -b 選項(xiàng)一次性刪除 aclfile 上所有的 ACL 權(quán)限：

?

$ setfacl -b aclfile

?

?

-b 選項(xiàng)直接清除了文件上的所有 ACL 權(quán)限。這個(gè)行為對(duì)于目錄來(lái)說(shuō)也是一樣的，這里就不再演示了。

?

備份和恢復(fù) ACL 權(quán)限

?

常見(jiàn)的文件操作命令 cp 和 mv 等都支持 ACL 權(quán)限，只是 cp 命令需要加上 -p 參數(shù)。但是 tar 等常見(jiàn)的備份工具不會(huì)保留目錄和文件的 ACL 權(quán)限信息。如果希望備份和恢復(fù)帶有 ACL 權(quán)限的文件和目錄，可以先把 ACL 權(quán)限信息備份到一個(gè)文件里，然后再用 -restore 選項(xiàng)來(lái)恢復(fù)這些信息。下面演示 ACL 權(quán)限的保存和恢復(fù)。我們先創(chuàng)建下面的目錄結(jié)構(gòu)：

?

?

并分別為 acldir 目錄和 aclfile 文件設(shè)置 ACL 權(quán)限：

?

?

然后使用下面的命令導(dǎo)出 acldir 目錄的 ACL 權(quán)限信息并保存到文件 acldir.acl 文件中：

?

$ getfacl -R acldir > acldir.acl

?

接下來(lái)刪除掉 acldir 目錄的 ACL 權(quán)限：

?

$ setfacl -R -b acldir

?

?

現(xiàn)在 acldir 目錄及其子文件上的 ACL 權(quán)限都被刪除掉了。最后我們?cè)偻ㄟ^(guò)下面的命令把它們的 ACL 權(quán)限都恢復(fù)回來(lái)：

?

$ setfacl --restore acldir.acl

?

?

之前刪除的 ACL 權(quán)限全都恢復(fù)回來(lái)了！

　　審核編輯：湯梓紅