目录
[1. 添加测试目录、用户、组,并将用户添加到组, 并查看组是否正常建立](#1. 添加测试目录、用户、组,并将用户添加到组, 并查看组是否正常建立)
[2. 修改目录的所有者和所属组](#2. 修改目录的所有者和所属组)
[3. 设定权限](#3. 设定权限)
[4. 为临时用户分配权限](#4. 为临时用户分配权限)
[5. 验证acl权限](#5. 验证acl权限)
[6. 控制组的acl权限](#6. 控制组的acl权限)
[1. 什么是最大权限](#1. 什么是最大权限)
一、什么是ACL
ACL是Access Control List的缩写,即访问控制列表。
思考如何实现以下权限:
- 每个项目成员有一个自己的项目目录,对自己的目录有完全权限
- 项目组中的成员对项目目录也有完全权限
- 其他人对项目目录没有任何权限
- 对于被分配进入项目的临时人员,只有读和执行权限,不能修改
二、操作步骤
1. 添加测试目录、用户、组,并将用户添加到组, 并查看组是否正常建立
java[root@localhost ~]# mkdir /project [root@localhost ~]# useradd zs [root@localhost ~]# useradd ls [root@localhost ~]# groupadd tgroup [root@localhost ~]# gpasswd -a zs tgroup 正在将用户"zs"加入到"tgroup"组中 [root@localhost ~]# gpasswd -a ls tgroup 正在将用户"ls"加入到"tgroup"组中 查看组是否正常建立 cat /etc/group
2. 修改目录的所有者和所属组
java[root@localhost /]# chown root:tgroup /project [root@localhost /]# ll | grep project drwxr-xr-x. 2 root tgroup 6 2月 24 00:28 project
3. 设定权限
java[root@localhost /]# chmod 770 /project [root@localhost /]# ll | grep project drwxrwx---. 2 root tgroup 6 2月 24 00:28 project
4. 为临时用户分配权限
增加临时用户:
useradd tempuser
给临时用户增加密码:
passwd tempuser
分配特定权限:
javasetfacl -m u:tempuser:rx /project
查看赋权成功:
getfacl /project
5. 验证acl权限
1.切换到临时用户tempuser:su tempuser
2.验证可以进入project目录:cd /project
3.验证不能在project中创建文件:
6. 控制组的acl权限
创建一个组:groupadd temp
设置组的ACL:setfacl -m g:tempuser:rx /project
查看设置后的ACL:getfacl /project
创建一个用户: useradd temp02 更改密码:passwd temp02
将用户添加到temp组中:gpasswd -a temp02 temp
验证:
三、mask最大权限
1. 什么是最大权限
最大权限是指:如果给用户赋予了ACL权限,则用户所获取的权限并不是ACL所附的权限,而是赋予的ACL权限 与 mask权限 进行 "与" 操作 之后的权限。例如:user:tempuser:r-x 第一位是r, mask的第一位也是r, 则与操作后,用户有 r 的权限, user:tempuser:r-x 第二位是 - ,mask的第二位是 w,则与操作后用户则没有 w 的权限。
java[root@localhost ~]# getfacl /project getfacl: Removing leading '/' from absolute path names # file: project # owner: root # group: tgroup user::rwx # 所属用户权限 user:tempuser:r-x # 临时用户权限 group::rwx # 所属组权限, 文件创建时的所属组 group:temp:r-x # 一般组的权限 创建的临时组 mask::rwx # 权限掩码,用来控制最大权限 ✨ other::---
java# 设置mask [root@localhost ~]# setfacl -m m:rx /project # 查看mask [root@localhost ~]# getfacl /project getfacl: Removing leading '/' from absolute path names # file: project # owner: root # group: tgroup user::rwx user:tempuser:r-x group::rwx #effective:r-x # 所属组虽然设置的权限为rwx,但其实际的权限 r-x ✨ group:temp:r-x mask::r-x # 修改之后的mask最大权限的作用:mask的默认值为rwx,即最大权限,任何其他的权限值和mask相"与"都会得到其自身; 可以通过调整mask的方式来控制分配给用户的最大权限,例如: mask值调整为 r-x ,则不管是否给用户分配"w"权限,用户都没有"w"的权限。mask可以用来避免权限分配不当而给系统带来的风险。
四、删除ACL权限
java# 删除指定ACL权限 [root@localhost ~]# setfacl -x u:tempuser /project [root@localhost ~]# getfacl /project getfacl: Removing leading '/' from absolute path names # file: project # owner: root # group: tgroup user::rwx group::rwx group:temp:r-x mask::rwx other::--- # 删除所有ACL权限 [root@localhost ~]# setfacl -b /project [root@localhost ~]# getfacl /project getfacl: Removing leading '/' from absolute path names # file: project # owner: root # group: tgroup + user::rwx group::rwx other::--- # 注意: 权限没有 + [root@localhost ~]# ll -d /project drwxrwx---. 2 root tgroup 6 8月 23 13:07 /project