Linux之acl库的安装与使用（限制Linux某用户的访问权限）

dapmood

acl库
! Y( N# s# G% d4 j作用：限制Linux某用户的访问权限

: w7 p4 Z+ ]/ b% v) nacl库的安装
首先github中下载acl代码：
% j, L6 k) r. Z: @git clone https://github.com/acl-dev/acl
进入acl， 执行make
8 T1 U6 I/ J6 Ecd acl
make
注意: [因为acl是由c/c++编写的，需要提前安装好gcc, g++]
4 E2 r% m; q; K% a
: l. R( [8 x. W: O9 h; h安装到用户根目录：
# M/ |8 M* q9 Tmake packinstall
一般到这儿就能编译安装成功了，在/user/include/ 目录下会有acl-lib目录。

  _2 g  v2 ^+ a2 L: q' H如果是centos系统，可直接安装
yum install zlib-devel
, \( L* O6 r, ?  u2 x$ O1 Isetfacl命令的基本用法
1、setfacl的用途
# K6 u6 K* i( E* k" P  P3 K  t, J9 G4 dsetfacl命令可以用来细分linux下的文件权限。
chmod命令可以把文件权限分为u,g,o三个组，而setfacl可以对每一个文件或目录设置更精确的文件权限。
! [/ d6 P0 ]' G# J+ `4 a换句话说，setfacl可以更精确的控制权限的分配。
* f3 L0 T3 `* N* c' s; }: I% e比如：让某一个用户对某一个文件具有某种权限。
$ M* r  l, j% D1 y  N0 Z
这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL（Access Control List）
ACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制，对于需要特殊权限的使用状况有一定帮助。
如，某一个文件，不让单一的某个用户访问。
1 c5 K$ k2 H; T% h2 D
2、setfacl的用法
  u1 M9 h5 e! V& r9 q用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m,       --modify-acl 更改文件的访问控制列表
-M,       --modify-file=file 从文件读取访问控制列表条目更改
-x,       --remove=acl 根据文件中访问控制列表移除条目
7 I0 }# R% a9 E5 U9 A. H-X,       --remove-file=file 从文件读取访问控制列表条目并删除
-b,       --remove-all 删除所有扩展访问控制列表条目
& h. Z4 d# P, g, ]' v-k,       --remove-default 移除默认访问控制列表
          --set=acl 设定替换当前的文件访问控制列表
          --set-file=file 从文件中读取访问控制列表条目设定
4 ]- q$ p( }  Z4 y          --mask 重新计算有效权限掩码
-n,       --no-mask 不重新计算有效权限掩码
; B# N/ n) l( b& H. A-d,       --default 应用到默认访问控制列表的操作
-R,       --recursive 递归操作子目录
-L,       --logical 依照系统逻辑，跟随符号链接
-P,       --physical 依照自然逻辑，不跟随符号链接
( q; k& I0 O8 Q5 l6 r          --restore=file 恢复访问控制列表，和“getfacl -R”作用相反
& |4 Z  r* o6 ]; a9 P  @          --test 测试模式，并不真正修改访问控制列表属性
-v,       --version           显示版本并退出
-h,       --help              显示本帮助信息
7 b. K3 S5 K" W# S/ @% \3、几个例子
: e% r: t/ D" a0 y. X查看mysql-5.5.32安装目录的acl

查看
- \' N8 w) \, n3 r0 O+ i3 ?  f[root@localhost software]# getfacl mysql-5.5.32
# file: mysql-5.5.32
0 z' N& }" D8 j, y1 U+ h# owner: mysql
! w2 K, O7 r, q$ v- k' U# group: mysql
user::rwx
user:mysql:r-x
group::r-x
group:mysql:r-x
; |" G, Z2 P6 k- Zmask::r-x
other::r-x
  g( x$ f' h& t5 h$ g修改
设置默认用户，读，写，可执行
[root@localhost ~]# setfacl -m u::rwx test   
- H6 p9 ]1 {9 t5 @: h* {8 y) {7 \修改文件的acl权限，添加一个用户权限
[root@localhost ~]# setfacl -m u:mmzs:rw- test   
. l% O0 L! ~  x9 ?  A( K/ r添加一个组
[root@localhost ~]# setfacl -m g:mmzsit:r-w test  
给mmzs用户向test文件增加读和执行的acl规则
[root@localhost ~]# setfacl -m u:mmzs:rx test     
给mmzsit用户向test文件增加读和执行的acl规则
0 ]$ e* V5 Y* b0 K# ?2 ^[root@localhost ~]# setfacl -m u:mmzsit:rx test
) c7 @1 P7 Z5 s" y, d8 ~) N移除
移除mysql-5.5.32目录的root组和root用户的acl规则
[root@localhost software]# setfacl -R -x g:root /software/mysql-5.5.32/
$ {6 w5 |, V- P5 x' p5 r[root@localhost software]# setfacl -R -x u:root /software/mysql-5.5.32/
( D) _8 f% t& l5 h* W. q0 p$ y清除tank用户，对test文件acl规则
4 m% _2 ^% L$ i, c[root@localhost ~]# setfacl -x u:mmzs test   
清除所有acl
9 c  T; Y0 N6 V. Z, D# c% e[root@localhost ~]# setfacl -b test     
2 F; g* }" [: G& c2 {说明事项：
设置组的话只需要把setfacl -m u::rwx 中的u改为g即可，大致差不多。

9 U1 J4 h/ C" z设置mask的话，setfacl -m u::rwx 中的u改为m，并且这个可不针对用户和组哦，其他的大致差不多。
/ G  q# E3 T( Y* k. l4 K
4 |7 R4 p9 J- g# k! U在使用-R时，记得放在-m前面，否则不可以地
# v6 \& V9 s; g0 V
, r$ z1 [; P! v; S, I& \0 c使用-d的话，就会把默认的都加上去，针对目录哦。

yin123

Linux之acl库的安装与使用