Linux之acl库的安装与使用（限制Linux某用户的访问权限）

dapmood

- K6 c. J& C' x: y9 i" uacl库
作用：限制Linux某用户的访问权限
! j. k$ ]* x# l8 Z; a/ b& C5 a
acl库的安装
4 s7 c; L) E2 F  m" P) r首先github中下载acl代码：
; ?+ Z7 e1 z- e, E/ Ygit clone https://github.com/acl-dev/acl
进入acl， 执行make
cd acl
make
注意: [因为acl是由c/c++编写的，需要提前安装好gcc, g++]

安装到用户根目录：
make packinstall
一般到这儿就能编译安装成功了，在/user/include/ 目录下会有acl-lib目录。

( l) {/ X. f& P# o4 d' v# T- U如果是centos系统，可直接安装
- I2 e7 _' T' u% ?$ A( c" V7 Qyum install zlib-devel
setfacl命令的基本用法
1、setfacl的用途
setfacl命令可以用来细分linux下的文件权限。
9 L6 s8 |" y4 F1 lchmod命令可以把文件权限分为u,g,o三个组，而setfacl可以对每一个文件或目录设置更精确的文件权限。
, a- Q& Y  u) H换句话说，setfacl可以更精确的控制权限的分配。
比如：让某一个用户对某一个文件具有某种权限。
( z0 B* g) m8 f) _% w
- r6 O* F3 H) ^1 Q$ j" T这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL（Access Control List）
, O3 @& C8 V) f) }; KACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制，对于需要特殊权限的使用状况有一定帮助。
7 U) r) G* `3 A如，某一个文件，不让单一的某个用户访问。

9 G, ~3 F% K. t9 p; i9 }2、setfacl的用法
6 H) J8 s! q$ I7 h9 ^% _4 W2 G. a用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m,       --modify-acl 更改文件的访问控制列表
' ~7 r; b, S3 Z4 V9 @& H. [-M,       --modify-file=file 从文件读取访问控制列表条目更改
-x,       --remove=acl 根据文件中访问控制列表移除条目
+ G( @/ B) [& {) g-X,       --remove-file=file 从文件读取访问控制列表条目并删除
-b,       --remove-all 删除所有扩展访问控制列表条目
-k,       --remove-default 移除默认访问控制列表
          --set=acl 设定替换当前的文件访问控制列表
          --set-file=file 从文件中读取访问控制列表条目设定
9 y: X5 ^- I. w! A% I1 _          --mask 重新计算有效权限掩码
-n,       --no-mask 不重新计算有效权限掩码
9 c2 _+ n! @! ^7 I0 y1 j-d,       --default 应用到默认访问控制列表的操作
-R,       --recursive 递归操作子目录
-L,       --logical 依照系统逻辑，跟随符号链接
# J3 V2 v% O( v$ h-P,       --physical 依照自然逻辑，不跟随符号链接
          --restore=file 恢复访问控制列表，和“getfacl -R”作用相反
6 E' L+ [) C# z9 W1 u- B          --test 测试模式，并不真正修改访问控制列表属性
-v,       --version           显示版本并退出
-h,       --help              显示本帮助信息
% a, S% J0 G8 N" J6 U" r, Q- I5 J3、几个例子
查看mysql-5.5.32安装目录的acl

: a8 O$ ~1 Q4 N+ g# s1 h% _查看
[root@localhost software]# getfacl mysql-5.5.32
/ L& `# @9 c! Z" L# Y8 V+ n4 J# file: mysql-5.5.32
# owner: mysql
& r- o; l  }" M' W% c# group: mysql
2 ?* x: R8 z3 s- D+ L" Luser::rwx
user:mysql:r-x
. F/ O. s' g0 r* N& qgroup::r-x
+ D; F+ b8 k' X3 U; Q# Jgroup:mysql:r-x
5 G2 C# O: }% e. R9 p! B& Omask::r-x
other::r-x
修改
设置默认用户，读，写，可执行
[root@localhost ~]# setfacl -m u::rwx test   
修改文件的acl权限，添加一个用户权限
[root@localhost ~]# setfacl -m u:mmzs:rw- test   
添加一个组
% z) M# H, `9 x% r: \: D[root@localhost ~]# setfacl -m g:mmzsit:r-w test  
5 p, `* H) E5 C+ ]+ O. n4 d" h  l5 j给mmzs用户向test文件增加读和执行的acl规则
[root@localhost ~]# setfacl -m u:mmzs:rx test     
给mmzsit用户向test文件增加读和执行的acl规则
: a: w& r" w, ]. ^# e9 i* q4 s) _[root@localhost ~]# setfacl -m u:mmzsit:rx test
移除
  Z  G5 Q: w$ \移除mysql-5.5.32目录的root组和root用户的acl规则
- M* K' o! S: x[root@localhost software]# setfacl -R -x g:root /software/mysql-5.5.32/
/ Y( n; |, ]& x1 |( n[root@localhost software]# setfacl -R -x u:root /software/mysql-5.5.32/
清除tank用户，对test文件acl规则
[root@localhost ~]# setfacl -x u:mmzs test   
. ?( F8 K# P% Y2 s/ n清除所有acl
[root@localhost ~]# setfacl -b test     
* d9 f- V6 ~  I说明事项：
设置组的话只需要把setfacl -m u::rwx 中的u改为g即可，大致差不多。
/ j# ~( X& H* W' s5 E7 z- U# ^
设置mask的话，setfacl -m u::rwx 中的u改为m，并且这个可不针对用户和组哦，其他的大致差不多。

在使用-R时，记得放在-m前面，否则不可以地

使用-d的话，就会把默认的都加上去，针对目录哦。

yin123

Linux之acl库的安装与使用