使用擁有權(quán)限控制的Liunx�����,工作是一件輕松的任務(wù)�����。它可以定義任何user,group和other的權(quán)限�����。無(wú)論是在桌面電腦或者不會(huì)有很多用戶(hù)的虛擬Linux實(shí)例,或者當(dāng)用戶(hù)不愿意分享他們之間的文件時(shí)�����,這樣的工作是很棒的�����。然而,如果你是在一個(gè)大型組織�����,你運(yùn)行了NFS或者Samba服務(wù)給不同的用戶(hù)�����,然后你將會(huì)需要靈活的挑選并設(shè)置很多復(fù)雜的配置和權(quán)限去滿(mǎn)足你的組織不同的需求�����。
Linux(和其他Unix等POSIX兼容的操作系統(tǒng))有一種被稱(chēng)為訪(fǎng)問(wèn)控制列表(ACL)的權(quán)限控制方法�����,它是一種權(quán)限分配之外的普遍范式�����。例如�����,默認(rèn)情況下你需要確認(rèn)3個(gè)權(quán)限組:owner�����、group和other。而使用ACL�����,你可以增加權(quán)限給其他用戶(hù)或組別,而不單只是簡(jiǎn)單的"other"或者是擁有者不存在的組別�����。可以允許指定的用戶(hù)A�����、B�����、C擁有寫(xiě)權(quán)限而不再是讓他們整個(gè)組擁有寫(xiě)權(quán)限�����。
ACL支持多種Linux文件系統(tǒng)�����,包括ext2, ext3, ext4, XFS, Btfrs, 等�����。如果你不確定你的文件系統(tǒng)是否支持ACL�����,請(qǐng)參考文檔�����。
在文件系統(tǒng)使ACL生效
首先�����,我們需要安裝工具來(lái)管理ACL。
Ubuntu/Debian 中:
$ sudo apt-get install acl
CentOS/Fedora/RHEL 中:
# yum -y install acl
Archlinux 中:
# pacman -S acl
出于演示目的�����,我將使用ubuntu server版本�����,其他版本類(lèi)似�����。
安裝ACL完成后,需要激活我們磁盤(pán)分區(qū)的ACL功能�����,這樣我們才能使用它�����。
首先�����,我們檢查ACL功能是否已經(jīng)開(kāi)啟。
$ mount
你可以注意到�����,我的root分區(qū)中ACL屬性已經(jīng)開(kāi)啟�����。萬(wàn)一你沒(méi)有開(kāi)啟,你需要編輯/etc/fstab文件�����,在你需要開(kāi)啟ACL的分區(qū)的選項(xiàng)前增加acl標(biāo)記�����。
現(xiàn)在我們需要重新掛載分區(qū)(我喜歡完全重啟�����,因?yàn)槲也幌雭G失數(shù)據(jù)),如果你對(duì)其它分區(qū)開(kāi)啟ACL,你必須也重新掛載它。
$ sudo mount / -o remount
干的不錯(cuò)!現(xiàn)在我們已經(jīng)在我們的系統(tǒng)中開(kāi)啟ACL,讓我們開(kāi)始和它一起工作�����。
ACL 范例
基礎(chǔ)ACL通過(guò)兩條命令管理:setfacl用于增加或者修改ACL�����,getfacl用于顯示分配完的ACL�����。讓我們來(lái)做一些測(cè)試。
我創(chuàng)建一個(gè)目錄/shared給一個(gè)假設(shè)的用戶(hù)�����,名叫freeuser
$ ls -lh /
我想要分享這個(gè)目錄給其他兩個(gè)用戶(hù)test和test2�����,一個(gè)擁有完整權(quán)限�����,另一個(gè)只有讀權(quán)限。
首先,為用戶(hù)test設(shè)置ACL:
$ sudo setfacl -m u:test:rwx /shared
現(xiàn)在用戶(hù)test可以隨意創(chuàng)建文件夾�����,文件和訪(fǎng)問(wèn)在/shared目錄下的任何地方�����。
現(xiàn)在我們?cè)黾又蛔x權(quán)限給用戶(hù)test2:
$ sudo setfacl -m u:test2:rx /shared
注意test2讀取目錄需要執(zhí)行(x)權(quán)限
讓我來(lái)解釋下setfacl命令格式:
-m 表示修改ACL�����。你可以增加新的,或修改存在的ACLu: 表示用戶(hù)�����。你可以使用 g 來(lái)設(shè)置組權(quán)限test 用戶(hù)名:rwx 需要設(shè)置的權(quán)限�����。
現(xiàn)在讓我向你展示如何讀取ACL:
$ ls -lh /shared
你可以注意到�����,正常權(quán)限后多一個(gè)+標(biāo)記�����。這表示ACL已經(jīng)設(shè)置成功�����。要具體看一下ACL,我們需要運(yùn)行:
$ sudo getfacl /shared
最后�����,如果你需要移除ACL:
$ sudo setfacl -x u:test /shared
如果你想要立即擦除所有ACL條目:
$ sudo setfacl -b /shared
最后�����,在設(shè)置了ACL文件或目錄工作時(shí)�����,cp和mv命令會(huì)改變這些設(shè)置。在cp的情況下,需要添加“p”參數(shù)來(lái)復(fù)制ACL設(shè)置�����。如果這不可行�����,它將會(huì)展示一個(gè)警告�����。mv默認(rèn)移動(dòng)ACL設(shè)置�����,如果這也不可行�����,它也會(huì)向您展示一個(gè)警告�����。
總結(jié)
使用ACL讓在你想要分享的文件上擁有更多的能力和控制,特別是在NFS/Samba服務(wù)�����。此外�����,如果你的主管共享主機(jī)�����,這個(gè)工具是必備的。謝謝閱讀�����,希望能幫到大家�����,請(qǐng)繼續(xù)關(guān)注腳本之家,我們會(huì)努力分享更多優(yōu)秀的文章。
