setfacl和getfacl的使用方法

一、setfacl——设定文件访问控制列表
语法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...-m, --modify=acl 更改文件的访问控制列表-M, --modify-file=file 从文件读取访问控制列表条目更改-x, --remove=acl 根据文件中访问控制列表移除条目-X, --remove-file=file 从文件读取访问控制列表条目并删除-b, --remove-all 删除所有扩展访问控制列表条目-k, --remove-default 移除默认访问控制列表--set=acl 设定替换当前的文件访问控制列表--set-file=file 从文件中读取访问控制列表条目设定--mask 重新计算有效权限掩码-n, --no-mask 不重新计算有效权限掩码-d, --default 应用到默认访问控制列表的操作-R, --recursive 递归操作子目录-L, --logical 依照系统逻辑，跟随符号链接-P, --physical 依照自然逻辑，不跟随符号链接--restore=file 恢复访问控制列表，和“getfacl -R”作用相反--test 测试模式，并不真正修改访问控制列表属性-v, --version           显示版本并退出-h, --help              显示本帮助信息

二、getfacl ——获取文件访问控制列表
使用方法: getfacl  [-aceEsRLPtpndvh]  文件 ...-a,  --access           仅显示文件访问控制列表-d, --default           仅显示默认的访问控制列表-c, --omit-header     不显示注释表头-e, --all-effective     显示所有的有效权限-E, --no-effective      显示无效权限-s, --skip-base         跳过只有基条目(base entries)的文件-R, --recursive         递归显示子目录-L, --logical           逻辑遍历(跟随符号链接)-P, --physical          物理遍历(不跟随符号链接)-t, --tabular           使用制表符分隔的输出格式-n, --numeric           显示数字的用户/组标识-p, --absolute-names    不去除路径前的 '/' 符号-v, --version           显示版本并退出-h, --help              显示本帮助信息

对于Access ACL，也就是对文件而言的例子

1）例子
首先创建个521M的文件

[root@centos7 test]# dd if=/dev/zero of=/test/file bs=521M count=1
记录了1+0 的读入
记录了1+0 的写出
546308096字节(546 MB)已复制，120.211 秒，4.5 MB/秒
You have new mail in /var/spool/mail/root
[root@centos7 test]#

查看file（没有额外属性）

[root@centos2 test]# getfacl file
# file: file
# owner: root
# group: root
user::rw-
group::r--
other::r--

让zhangsan用户对file拥有rw权

[root@centos2 ~]# setfacl -m u:zhangsan:rw- /test/file
[root@centos2 ~]# cd /test/
[root@centos2 test]# ll
总用量 533512
-rw-rw-r--+ 1 root root 546308096 9月  14 22:53 file
注：在文件permission的最后多了一个+号，当任何一个文件拥有了ACL_USER或者ACL_GROUP的值以后我们就可以称它为ACL文件，这个+号就是用来提示我们的。[root@centos2 test]# getfacl --omit-header file
user::rw-
user:zhangsan:rw-    #可以看到zhangsan用户在ACL里面已经拥有了对文件的读写权。
group::r--
mask::rw-
other::r--

让财务组有file的r权限

[root@centos2 test]# setfacl -m g:caiwu:r-- file
[root@centos2 test]# getfacl file
# file: file
# owner: root
# group: root
user::rw-
user:zhangsan:rw-
group::r--
group:caiwu:r--  #财务部里的成员都有了r权限
mask::rw-
other::r--

这里需要重点讲一下ACL_MASK，因为这是掌握ACL的另一个关键，在Linux file permission里面大家都知道比如对于rw-rw-r--来说, 当中的那个rw-是指文件组的permission. 但是在ACL里面这种情况只是在ACL_MASK不存在的情况下成立。如果文件有ACL_MASK值，那么当中那个rw-代表的就是mask值而不再是group permission了。

2）例子

查看file2.sh文件

[root@centos2 test]# ls -lh file2.sh
-rwxrw-r--. 1 root caiwu 0 9月  15 00:10 file2.sh
[root@centos2 test]#

让用户zhang也对file2.sh具有和root一样的permission。

[root@centos2 test]# setfacl -m user:zhang:rwx file2.sh
[root@centos2 test]# getfacl --omit-header file2.sh
user::rwx
user:root:rwx
group::rw-
mask::rwx
other::r--
[root@centos2 test]#

这里我们看到zhang已经拥有了rwx的permission，mask值也被设定为rwx，那是因为它规定了ACL_USER，ACL_GROUP和ACL_GROUP_OBJ的最大值，现在我们再来看file2的Linux permission，它已经变成了：

[root@centos2 test]# ls -lh file2.sh
-rwxrwxr--+ 1 root caiwu 0 9月  15 00:10 file2.sh
[root@centos2 test]#

那么如果现在zhang组的用户想要执行file2.sh的程序会发生什么情况呢？它会被permission deny。原因在于实际上caiwu组的用户只有read and write permission，这里当中显示的rwx是ACL_MASK的值而不是group的permission。
所以从这里我们就可以知道，如果一个文件后面有+标记，我们都需要用getfacl来确认它的permission，以免发生混淆。
下面我们再来继续看一个例子，假如现在我们设置file2.sh的mask为read only，那么caiwu组的用户还会有write permission吗？

[root@centos2 test]# setfacl -m mask::r-- file2.sh
[root@centos2 test]# getfacl file2.sh
# file: file2
# owner: root
# group: caiwu
user::rwx
user:root:rwx           #effective:r--
group::rw-          #effective:r--
mask::r--
other::r--[root@centos2 test]#

这时候我们可以看到ACL_USER和ACL_GROUP_OBJ旁边多了个#effective:r--，这是什么意思呢？让我们再来回顾一下ACL_MASK的定义。它规定了ACL_USER，ACL_GROUP_OBJ和ACL_GROUP的最大权限。那么在我们这个例子中他们的最大权限也就是read only。虽然我们这里给ACL_USER和ACL_GROUP_OBJ设置了其他权限，但是他们真正有效果的只有read权限。
这时我们再来查看file.sh的Linux file permission时它的group permission也会显示其mask的值(r--)

[root@centos2 test]# ls -lh file2.sh
-rwxr--r--+ 1 root caiwu 0 9月  15 00:10 file2.sh
[root@centos2 test]#

Default ACL
Default ACL是指对于一个目录进行Default ACL设置，并且在此目录下建立的文件都将继承此目录的ACL。

1）例子

在root用户建立了一个testdir目录；希望所有在此目录下建立的文件都可以被ming用户所访问，那么我们就应该对testdir目录设置Default ACL。

[root@centos2 /]# setfacl -d -m user:ming:rw testdir/
[root@centos2 /]# getfacl testdir/
# file: testdir/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:ming:rw-
default:group::r-x
default:mask::rwx
default:other::r-x
注：这里我们可以看到ACL定义了default选项，ming用户拥有了default的read, write, excute/search permission。所有没有定义的default都将从file permission里copy过来；

在root用户在testdir目录下建立一个test.txt文件。

[root@centos2 /]# touch /testdir/test.txt
[root@centos2 /]# ls -l /testdir/test.txt
-rw-rw-r--+ 1 root root 0 9月  15 00:48 /testdir/test.txt
[root@centos2 /]# getfacl --omit-header /testdir/test.txt
user::rw-
user:ming:rw-
group::r-x          #effective:r--
mask::rw-
other::r--
注：我们看到在testdir下建立的文件ming用户自动就有了read and write permission

注：这里还有一个chacl是用来改变文件和目录的Access ACL and Default ACL，它的具体参数大家可以去看man page。我只想提及一下chacl -B。它可以彻底删除文件或者目录的ACL属性(包括Default ACL)，比如你即使用了setfacl -x删除了所有文件的ACL属性，那个+号还是会出现在文件的末尾，所以正确的删除方法应该是用chacl -B用cp来复制文件的时候我们现在可以加上-p选项。
这样在拷贝文件的时候也将拷贝文件的ACL属性，对于不能拷贝的ACL属性将给出警告。
mv命令将会默认地移动文件的ACL属性，同样如果操作不允许的情况下会给出警告。

需要注意的几点如果你的文件系统不支持ACL的话，你也许需要重新mount你的file system：mount -o remount, acl [mount point] 如果用chmod命令改变Linux file perm
ission的时候相应的ACL值也会改变，反之改变ACL的值，相应的file permission也会改变。

setfacl和getfacl的使用方法相关推荐

linux中setfacl命令,Linux命令之：setfacl和getfacl
命令总结之:setfacl和getfacl acl:access control list,实现灵活的权限管理除了文件的所有者,所属组合其他人,可以对更多的用户设置权限 acl生效顺序:所有者.自定 ...
setfacl 权限导出_setfacl getfacl 将某个目录的访问权限赋值给某个用户
现有一目录是虚拟机和linux共享的,但是每次程序调用新建的文件都发现没有权限. 于是指定特定目录及其子目录下新建的文件或目录对于用户qhfz都有读写执行的权限 -R表示递归 -m表示设置文件acl规 ...
Linux命令之getfacl和setfacl命令
一.命令简介 getfacl命令来自于英文词组"get file access control list"的缩写,其功能是用于显示文件或目录的ACL策略.对指定的文件或目录进行 ...
21.ACL 访问控制权限详解,setfacl,getfacl,setfacl -m,setfacl -d,setfacl -k,setfacl -x,mask等实操详解
ACL 访问控制权限详解,setfacl,getfacl,setfacl -m,setfacl -d,setfacl -k,setfacl -x,mask等实操详解文章目录 ACL (访问控制权限) ...
利用SETFACL来设置文件或文件夹的访问控制列表ACL
命令:setfacl和getfacl 你可以在命令行下查看它的详细使用方法 #setfacl --help 特别解释: 对用户设置权限实例 #setfacl -m u:username:rw- tes ...
【Linux】一步一步学Linux——setfacl命令(117)
00. 目录文章目录 00. 目录 01. 命令概述 02. 命令格式 03. 常用选项 04. ACL访问控制详解 05. 参考示例 06. 附录 01. 命令概述 setfacl的英文全称是&q ...
linux中setfacl命令,Linux 中的Setfacl命令
setfacl命令是用来在命令行里设置ACL(访问控制列表).在命令行里,一系列的命令跟随以一系列的文件名. 选项 -b,--remove-all:删除所有扩展的acl规则,基本的acl规则(所有者, ...
setfacl命令文件权限属性设置（了解）
setfacl命令是用来在命令行里设置ACL(访问控制列表).在命令行里,一系列的命令跟随以一系列的文件名. 选项 -b,--remove-all:删除所有扩展的acl规则,基本的acl规则(所有者, ...
setfacl设置特定目录的权限
现有一目录是虚拟机和linux共享的,但是每次程序调用新建的文件都发现没有权限. 于是指定特定目录及其子目录下新建的文件或目录对于用户qhfz都有读写执行的权限 -R表示递归 -m表示设置文件acl规 ...

setfacl和getfacl的使用方法

setfacl和getfacl的使用方法相关推荐

最新文章

热门文章