Linux之acl库的安装与使用（限制Linux某用户的访问权限）

dapmood

# ^/ l0 U) a  ?& p6 ]6 E5 Qacl库
作用：限制Linux某用户的访问权限

. `5 R$ H; H# {" L/ Facl库的安装
首先github中下载acl代码：
$ m( S. G( A& P1 A$ l6 ~  P5 [git clone https://github.com/acl-dev/acl
进入acl， 执行make
0 N4 Y8 \- ~( h; d! B+ q. Xcd acl
make
. V; w5 E  N. ]0 L, P) K) U4 \注意: [因为acl是由c/c++编写的，需要提前安装好gcc, g++]
" c% J7 b2 ~0 \# ?" K6 f
安装到用户根目录：
make packinstall
一般到这儿就能编译安装成功了，在/user/include/ 目录下会有acl-lib目录。

" V, s5 Y0 `0 N* ^+ B- E如果是centos系统，可直接安装
/ u" G) E/ Z0 r( H' ]9 i# {yum install zlib-devel
setfacl命令的基本用法
7 o" n- p+ n  X; ]1 z- o1、setfacl的用途
' P$ }5 n1 k, p5 H# e0 Asetfacl命令可以用来细分linux下的文件权限。
chmod命令可以把文件权限分为u,g,o三个组，而setfacl可以对每一个文件或目录设置更精确的文件权限。
1 y. a5 n8 E9 R4 w换句话说，setfacl可以更精确的控制权限的分配。
! M2 ^4 H! F, C  w! y) j& i  T比如：让某一个用户对某一个文件具有某种权限。
' k' z& W% N& X9 f& e( G
这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL（Access Control List）
ACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制，对于需要特殊权限的使用状况有一定帮助。
如，某一个文件，不让单一的某个用户访问。
6 e; u* g2 g* M" V- s" x
2、setfacl的用法
用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m,       --modify-acl 更改文件的访问控制列表
-M,       --modify-file=file 从文件读取访问控制列表条目更改
-x,       --remove=acl 根据文件中访问控制列表移除条目
-X,       --remove-file=file 从文件读取访问控制列表条目并删除
-b,       --remove-all 删除所有扩展访问控制列表条目
$ v/ n. g+ `! i-k,       --remove-default 移除默认访问控制列表
          --set=acl 设定替换当前的文件访问控制列表
4 v: V3 F6 ~8 t/ ?; G2 m          --set-file=file 从文件中读取访问控制列表条目设定
          --mask 重新计算有效权限掩码
8 B1 k+ R" e; \- ?( R; H-n,       --no-mask 不重新计算有效权限掩码
-d,       --default 应用到默认访问控制列表的操作
-R,       --recursive 递归操作子目录
1 g. b7 J0 c" b7 _- L% P-L,       --logical 依照系统逻辑，跟随符号链接
-P,       --physical 依照自然逻辑，不跟随符号链接
9 i) f; S: e. C' r          --restore=file 恢复访问控制列表，和“getfacl -R”作用相反
          --test 测试模式，并不真正修改访问控制列表属性
-v,       --version           显示版本并退出
-h,       --help              显示本帮助信息
/ N  Q# G- E9 H3、几个例子
查看mysql-5.5.32安装目录的acl
: r" Q% u7 [) S/ t/ L& N* h. |" |6 t
查看
+ j. Q) `' m9 o- o4 {1 o6 W. J[root@localhost software]# getfacl mysql-5.5.32
5 b/ S( Q1 |4 x- I# file: mysql-5.5.32
# owner: mysql
; T8 f: w! B' ]2 Z# group: mysql
user::rwx
user:mysql:r-x
% H5 T: U# z: kgroup::r-x
group:mysql:r-x
mask::r-x
other::r-x
  o8 A# R) `4 e+ L9 d. P. ~修改
设置默认用户，读，写，可执行
[root@localhost ~]# setfacl -m u::rwx test   
修改文件的acl权限，添加一个用户权限
[root@localhost ~]# setfacl -m u:mmzs:rw- test   
添加一个组
[root@localhost ~]# setfacl -m g:mmzsit:r-w test  
/ f; v$ i( ]; q1 V6 V* M0 d2 T给mmzs用户向test文件增加读和执行的acl规则
7 a6 A4 ?6 _7 Z4 ]& X! [[root@localhost ~]# setfacl -m u:mmzs:rx test     
给mmzsit用户向test文件增加读和执行的acl规则
4 u/ C- M; ?& q[root@localhost ~]# setfacl -m u:mmzsit:rx test
移除
移除mysql-5.5.32目录的root组和root用户的acl规则
[root@localhost software]# setfacl -R -x g:root /software/mysql-5.5.32/
1 h% D% t% W) m' h[root@localhost software]# setfacl -R -x u:root /software/mysql-5.5.32/
7 x8 ~* K, p8 e( C清除tank用户，对test文件acl规则
# }  p( u9 Y0 l6 s6 D; v8 N[root@localhost ~]# setfacl -x u:mmzs test   
$ Q$ Q3 D: g% ^5 v3 o% `! s1 n清除所有acl
# a# A1 h% V4 v  E' \: D7 Y' b/ f[root@localhost ~]# setfacl -b test     
说明事项：
  P! S9 Z  a3 Z设置组的话只需要把setfacl -m u::rwx 中的u改为g即可，大致差不多。
4 t# G  S+ X* j1 k% P+ U
8 d& T# \9 E8 K) f) G; x设置mask的话，setfacl -m u::rwx 中的u改为m，并且这个可不针对用户和组哦，其他的大致差不多。

在使用-R时，记得放在-m前面，否则不可以地
1 E1 o+ \; C: [
1 v: G: M$ l2 x0 P  Q$ o5 |& H! ~使用-d的话，就会把默认的都加上去，针对目录哦。

yin123

Linux之acl库的安装与使用