linux中使用ACL保護文件目錄

ACl （Access Control List），主要目的是提供傳統的 owner、group、others 的 read、write、execute 權限之外的特殊權限需求設置。ACL 可以針對單一使用者、單一文件或目錄來進行 r、w、x 的權限規范，對于需要特殊權限的使用狀況非常有幫助

ACl 主要針對以下方面來控制權限：

• 使用者 user
• 群組 group
• 默認屬性 mask：針對在該目錄下在建立新文件/目錄時，規范新數據的默認權限

有一個目錄，給一堆人使用，每個人或每個群組所需要的權限并不相同，使用傳統 Linux 三種身份的三種權限是無法達到的，因此基本上，傳統的 Linux 權限只能針對一個用戶、一個群組以及非此群組的其他人設置權限。無法針對單一用戶或個人來設計權限。

Note：根據 Redhat 產品文檔，它為 ext3 文件系統和 NFS 導出文件系統提供 ACL 支持。

如何檢查 Linux 系統中的 ACL 支持

在繼續之前，你應該在當前內核和掛載的文件系統上支持 ACL。

1. 檢查內核是否支持 ACL

運行以下命令檢查文件系統的 ACL 支持和 POSIX_ACL=Y 選項（如果有 N 代替 Y，則表示內核不支持ACL，需要重新編譯）。

[root@linux ~]# grep -i acl /boot/config*

CONFIG_`EXT4_FS_POSIX_ACL=y`
CONFIG_`REISERFS_FS_POSIX_ACL=y`
CONFIG_JFS_POSIX_ACL=y
CONFIG_XFS_POSIX_ACL=y
CONFIG_BTRFS_FS_POSIX_ACL=y
CONFIG_FS_POSIX_ACL=y
CONFIG_GENERIC_ACL=y
CONFIG_TMPFS_POSIX_ACL=y
CONFIG_NFS_V3_ACL=y
CONFIG_NFSD_V2_ACL=y
CONFIG_NFSD_V3_ACL=y
CONFIG_NFS_ACL_SUPPORT=m
CONFIG_CIFS_ACL=y
CONFIG_9P_FS_POSIX_ACL=y

2.檢查所需的包

在開始使用 ACL 之前，請確保你已安裝所需的軟件包。以下是需要使用安裝的必需軟件包yum 或者 apt-get.

[root@linux ~]# yum install nfs4-acl-tools acl libacl  [on `RedHat` based systems]
[rumenz@linux ~]$ sudo apt-get install nfs4-acl-tools acl [on `Debian` based systems]

3. 檢查掛載的文件系統是否支持 ACL

現在，檢查掛載的文件系統是否使用 ACL 選項掛載。我們可以用mount 用于檢查相同的命令，如下所示。

[root@linux ~]# mount  | grep -i root
/dev/mapper/fedora-root on / type ext4 (rw,relatime,data=ordered)

但在我們的例子中，它默認不顯示 acl。因此，接下來我們可以選擇使用 acl 選項再次重新掛載已安裝的分區。但是，在繼續之前，我們有另一個選項來確保分區是否使用 acl 選項掛載，因為對于最近的系統，它可能與默認掛載選項集成。

[root@linux ~]# tune2fs -l /dev/mapper/fedora-root | grep acl
Default mount options:    user_xattr acl

在上面的輸出中，你可以看到默認掛載選項已經支持 acl。另一種選擇是重新掛載分區，如下所示。

[root@linux ~]# mount -o remount,acl /

接下來，將以下條目添加到/etc/fstab文件中以使其永久化。

/dev/mapper/fedora-root / ext4    defaults,acl 1 1

再次，重新掛載分區。

[root@linux ~]# mount -o remount  /

4.對于NFS服務器

在 NFS 服務器上，如果 NSF 服務器導出的文件系統支持 ACL，并且 NFS 客戶端可以讀取 ACL，那么客戶端系統就會使用 ACL。

要禁用 NFS 共享上的 ACL，你必須添加選項no_acl 在 /etc/exportfs NFS 服務器上的文件。要再次在 NSF 客戶端禁用它，請使用no_acl 掛載時間的選項。

如何在 Linux 系統中實現 ACL 支持

有兩種類型 ACLs：

1. Access ACLs：訪問 ACL 用于授予對任何文件或目錄的權限。
2. Default ACLs：默認 ACL 僅用于在特定目錄上授予/設置訪問控制列表。

訪問 ACL 和默認 ACL 的區別：

1. 默認 ACL 只能在目錄級別使用。
2. 在該目錄中創建的任何子目錄或文件都將從其父目錄繼承 ACL。另一方面，文件繼承默認 ACL 作為其訪問 ACL。
3. 我們利用 –d用于設置默認 ACL，默認 ACL 是可選的。

設置默認 ACL 之前

要確定特定文件或目錄的默認 ACL，請使用 getfacl 命令。在下面的例子中，getfacl 用于獲取文件夾的默認 ACL Music。

[root@linux ~]# getfacl Music/

# file: Music/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x
default:other::rw-

設置默認 ACL 后

要為特定文件或目錄設置默認 ACL，請使用 setfacl 命令。在下面的例子中，setfacl 命令將設置一個新的 ACL（read 和 execute) 給文件夾 Music.

[root@linux ~]# setfacl -m d:o:rx Music/
[root@linux ~]# getfacl Music/
# file: Music/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
`default:user::rwx
default:group::r-x
default:other::r-x`

如何設置新的 ACL

使用 setfacl用于設置或修改任何文件或目錄的命令。例如，rumenz1用戶賦予read和 write 的權限。

# setfacl -m u:rumenz1:rw /rumenz1/example

如何查看 ACL

使用 getfacl 用于查看任何文件或目錄上的 ACL 的命令。例如，要查看 上的 ACL/rumenz1/example 使用下面的命令。

# getfacl /rumenz1/example

# file: rumenz1/example/
# owner: rumenz1
# group: rumenz1
user::rwx
user:rumenz1:rwx
user:rumenz2:r--
group::rwx
mask::rwx
other::---

如何刪除 ACL

為了從任何文件/目錄中刪除 ACL，我們使用 x 和 b 選項

# setfacl -x ACL file/directory   # remove only specified ACL from file/directory.
# setfacl -b  file/directory     #removing all ACL from file/direcoty

兩個用戶（rumenz1 和 rumenz2)，兩者都有名為的共同次要組acl。我們將創建一個所有者是rumenz1的目錄, 并將該目錄的 read 和 execute 授權給用戶 rumenz2。

Step 1: 創建兩個用戶并從兩者中刪除密碼

[root@linux ~]# for user in rumenz1 rumenz2
> do
> useradd $user
> passwd -d $user
> done
Removing password for user rumenz
passwd: Success
Removing password for user rumenz
passwd: Success

Step 2: 創建一個組和用戶到次要組。

[root@linux ~]# groupadd acl
[root@linux ~]# usermod -G acl rumenz1
[root@linux ~]# usermod -G acl rumenz2

Step 3:創建目錄/rumenz并將所有權更改為rumenz1`.

[root@linux ~]# mkdir /rumenz1
[root@linux ~]# chown rumenz1 /rumenz1/
[root@linux ~]# ls -ld /rumenz1/

drwxr-xr-x 2 rumenz1 root 4096 Apr 17 14:46 /rumenz1/
[root@linux ~]# getfacl /rumenz1

`getfacl: Removing leading '/' from absolute path names`
# file: rumenz1
# owner: rumenz1
# group: root
user::rwx
group::r-x
other::r-x

Step 4: 登錄 rumenz1 并在其中創建一個目錄。

[rumenz@linux ~]$ su - rumenz1

Last login: Thu Apr 17 14:49:16 IST 2014 on pts/4
[rumenz1@linux ~]$ cd /rumenz1/
[rumenz1@linux rumenz1]$ mkdir example
[rumenz1@linux rumenz1]$ ll

total 4
drwxrwxr-x 2 rumenz1 rumenz1 4096 Apr 17 14:50 example
[rumenz1@linux rumenz1]$ whoami 
rumenz1

Step 5: 現在使用設置ACLsetfacl， rumenz1 將擁有所有 rwx 權限，rumenz2 將只有 read 的權限，example 文件夾和其他文件夾將沒有權限。

$ setfacl -m u:rumenz1:rwx example/
$ setfacl -m u:rumenz2:r-- example/
$ setfacl -m  other:--- example/
$ getfacl example/

# file: example
# owner: rumenz1
# group: rumenz1
user::rwx
user:rumenz1:rwx
user:rumenz2:r--
group::r-x
mask::rwx
other::---

Step 6: rumenz2 在另一個終端上并將目錄更改為 /rumenz1。現在嘗試使用ls命令 查看內容，然后嘗試更改目錄并查看如下差異。

[rumenz@linux ~]$ su - rumenz2

Last login: Thu Apr 17 15:03:31 IST 2014 on pts/5
[rumenz2@linux ~]$ cd /rumenz1/
[rumenz2@linux rumenz1]$ ls -lR example/
example/:
total 0
[rumenz2@linux rumenz1]$ cd example/

-bash: cd: example/: Permission denied
[rumenz2@linux rumenz1]$ getfacl example/

# file: example
# owner: rumenz1
# group: rumenz1
user::rwx
user:rumenz1:rwx
user:rumenz2:r--
group::rwx
mask::rwx
other::---

Step 7: 現在給 execute許可rumenz2 在 example 文件夾，然后使用 cd 命令查看效果。現在 rumenz2 具有查看和更改目錄的權限，但沒有寫入任何內容的權限。

[rumenz1@linux rumenz1]$ setfacl -m u:rumenz2:r-x example/
[rumenz1@linux rumenz1]$ getfacl example/

# file: example
# owner: rumenz1
# group: rumenz1
user::rwx
user:rumenz1:rwx
user:rumenz2:r-x
group::rwx
mask::rwx
other::---
[rumenz@linux ~]$ su - rumenz2

Last login: Thu Apr 17 15:09:49 IST 2014 on pts/5
[rumenz2@linux ~]$ cd /rumenz1/
[rumenz2@linux rumenz1]$ cd example/
[rumenz2@linux example]$ getfacl .
[rumenz2@linux example]$ mkdir test

mkdir: cannot create directory test: Permission denied
[rumenz2@linux example]$ touch test

touch: cannot touch test: Permission denied

Note: 執行 ACL 后，你將看到一個額外的 + 符號為 ls –l 輸出如下。

[root@linux rumenz1]# ll

total 4
drwxrwx---+ 2 rumenz1 rumenz1 4096 Apr 17 17:01 example