命令名setfacl即为设置文件访问控制列表。setfacl,顾名思义就是设置文件的ACL规则。
而Acl(Access Control List)就是访问控制列表,最初目的是unix里面为了提供更高级的权限管理而设计的。
通常来说,使用当chmod命令的3个权限控制无法满足时,可以使用acl规则在添加额外的用户/组以及相关的访问控制权限。
1、setfacl的用途
setfacl命令可以用来细分linux下的文件权限。
chmod命令可以把文件权限分为u,g,o三个组,而setfacl可以对每一个文件或目录设置更精确的文件权限。
换句话说,setfacl可以更精确的控制权限的分配。
比如:让某一个用户对某一个文件具有某种权限。
这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL(Access Control List)
ACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制,对于需要特殊权限的使用状况有一定帮助。
如,某一个文件,不让单一的某个用户访问。
2、setfacl的用法
auto
用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m, --modify-acl 更改文件的访问控制列表
-M, --modify-file=file 从文件读取访问控制列表条目更改
-x, --remove=acl 根据文件中访问控制列表移除条目
-X, --remove-file=file 从文件读取访问控制列表条目并删除
-b, --remove-all 删除所有扩展访问控制列表条目
-k, --remove-default 移除默认访问控制列表
--set=acl 设定替换当前的文件访问控制列表
--set-file=file 从文件中读取访问控制列表条目设定
--mask 重新计算有效权限掩码
-n, --no-mask 不重新计算有效权限掩码
-d, --default 应用到默认访问控制列表的操作
-R, --recursive 递归操作子目录
-L, --logical 依照系统逻辑,跟随符号链接
-P, --physical 依照自然逻辑,不跟随符号链接
--restore=file 恢复访问控制列表,和“getfacl -R”作用相反
--test 测试模式,并不真正修改访问控制列表属性
-v, --version 显示版本并退出
-h, --help 显示本帮助信息AUTO
19 lines|1,062 chars
3、关于getfacl/setfacl的几个例子
查看一个test文件的acl
auto
#查看acl
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::r-x
user:tank:rwx #effective:---
group::r-x #effective:---
mask::---
other::---AUTO
11 lines|181 chars
添加一个用户/用户组之后再查看:
auto
#修改文件的acl权限,添加一个用户权限
[root@localhost ~]# setfacl -m u:zhangy:rw- test
#检查用户权限
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::r-x
user:zhangy:rw- #在这里多出来一个用户
user:tank:rwx
group::r-x
mask::rwx
other::---AUTO
14 lines|318 chars
auto
#测试添加一个用户组
[root@localhost ~]# setfacl -m g:zhangying:r-w test
#查看新用户组
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::r-x
user:zhangy:rw-
user:tank:rwx
group::r-x
group:zhangying:rw- #在这里可以看到新添加的用户组
mask::rwx
other::---AUTO
16 lines|329 chars
再看一个例子:
auto
#查看acl
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::rw-
group::r--
other::r--AUTO
9 lines|126 chars
auto
#给tank用户向test文件增加读和执行的acl规则
[root@localhost ~]# setfacl -m u:tank:rx test
#查看acl规则
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::rw-
user:tank:r-x #此处显示已加入的新用户以及权限
group::r--
mask::r-x
other::r--AUTO
15 lines|317 chars
auto
#设置默认用户,读,写,可执行
[root@localhost ~]# setfacl -m u::rwx test
#查看acl规则
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:tank:r-x
group::r--
mask::r-x
other::r--AUTO
15 lines|251 chars
auto
#清除所有acl规则
[root@localhost ~]# setfacl -b test
#查看acl规则
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
group::r--
other::r--AUTO
13 lines|197 chars
auto
#给tank用户向test文件增加读和执行的acl规则
[root@localhost ~]# setfacl -m u:tank:rx test
#给testtank用户向test文件增加读和执行的acl规则
[root@localhost ~]# setfacl -m u:testtank:rx test
#查看acl规则 [root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:testtank:r-x
user:tank:r-x
group::r--
mask::r-x
other::r--AUTO
19 lines|405 chars
auto
#清除tank用户,以及对test文件acl规则
[root@localhost ~]# setfacl -x u:tank test
#查看acl规则
[root@localhost ~]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:testtank:r-x
group::r--
mask::r-x
other::r--AUTO
15 lines|260 chars
4、关于setfacl的一些提示
设置组的话只需要把setfacl -m u::rwx 中的u改为g即可,大致差不多。
设置mask的话,setfacl -m u::rwx 中的u改为m,并且这个可不针对用户和组哦,其他的大致差不多。
在使用-R时,记得放在-m前面,否则不可以地
使用-d的话,就会把默认的都加上去,针对目录哦。
更多关于setfacl/getfacl命令使用方法以及细节,请参阅以下相关文章:
- Linux系统下如何安装/配置ACL访问控制列表以及getfacl/setfacl命令的使用
- 如何在树莓派Raspberry Pi中安装setfacl/getfacl访问控制命令包
- 使用ACL设置用户访问指定文件与目录的权限以及如何备份并还原ACL规则
(END)
文章源自:https://blog.csdn.net/jin970505/article/details/79068429
作者:「yearing1017」
文章部分内容做了整理修改