1,setfacl 的用途
setfacl 命令可以用来细分 linux 下的文件权限. chmod 命令可以把文件权限分为 u,g,o 三个组, 而 setfacl 可以对每一个文件或目录设置更精确的文件权限. 换句话说, setfacl 可以更精确的控制权限的分配. 比如: 让某一个用户对某一个文件具有某种权限.
这种独立于传统的 u,g,o 的 rwx 权限之外的具体权限设置叫 ACL(Access Control List) ACL 可以针对单一用户, 单一文件或目录来进行 r,w,x 的权限控制, 对于需要特殊权限的使用状况有一定帮助. 如, 某一个文件, 不让单一的某个用户访问.
2,setfacl 的用法
用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m, --modify-acl 更改文件的访问控制列表
-M, --modify-file=file 从文件读取访问控制列表条目更改
-x, --remove=acl 根据文件中访问控制列表移除条目
-X, --remove-file=file 从文件读取访问控制列表条目并删除
-b, --remove-all 删除所有扩展访问控制列表条目
-k, --remove-default 移除默认访问控制列表
--set=acl 设定替换当前的文件访问控制列表
--set-file=file 从文件中读取访问控制列表条目设定
--mask 重新计算有效权限掩码
-n, --no-mask 不重新计算有效权限掩码
-d, --default 应用到默认访问控制列表的操作
-R, --recursive 递归操作子目录
-L, --logical 依照系统逻辑, 跟随符号链接
-P, --physical 依照自然逻辑, 不跟随符号链接
--restore=file 恢复访问控制列表, 和 "getfacl -R" 作用相反
--test 测试模式, 并不真正修改访问控制列表属性
-v, --version 显示版本并退出
-h, --help 显示本帮助信息
3, 几个例子
查看一个 test 文件的 acl
- # 查看 acl
- [root@localhost ~]# getfacl test
- # file: test
- # owner: root
- # group: root
- user::r-x
- user:tank:rwx #effective:---
- group::r-x #effective:---
- mask::---
- other::---
修改之后再查看:
- [root@localhost ~]# setfacl -m u:zhangy:rw- test #修改文件的 acl 权限, 添加一个用户权限
- [root@localhost ~]# getfacl test
- # file: test
- # owner: root
- # group: root
- user::r-x
- user:zhangy:rw- #多出来一个用户
- user:tank:rwx
- group::r-x
- mask::rwx
- other::---
- [root@localhost ~]# setfacl -m g:zhangying:r-w test #添加一个组
- [root@localhost ~]# getfacl test
- # file: test
- # owner: root
- # group: root
- user::r-x
- user:zhangy:rw-
- user:tank:rwx
- group::r-x
- group:zhangying:rw-
- mask::rwx
- other::---
再看一个例子:
- [root@localhost ~]# getfacl test #查看 acl
- # file: test
- # owner: root
- # group: root
- user::rw-
- group::r--
- other::r--
- [root@localhost ~]# setfacl -m u:tank:rx test #给 tank 用户向 test 文件增加读和执行的 acl 规则
- [root@localhost ~]# getfacl test #查看 acl
- # file: test
- # owner: root
- # group: root
- user::rw-
- user:tank:r-x #已加入
- group::r--
- mask::r-x
- other::r--
- [root@localhost ~]# setfacl -m u::rwx test #设置默认用户, 读, 写, 可执行
- [root@localhost ~]# getfacl test
- # file: test
- # owner: root
- # group: root
- user::rwx
- user:tank:r-x
- group::r--
- mask::r-x
- other::r--
- [root@localhost ~]# setfacl -b test #清除所有 acl
- [root@localhost ~]# getfacl test
- # file: test
- # owner: root
- # group: root
- user::rwx
- group::r--
- other::r--
- [root@localhost ~]# setfacl -m u:tank:rx test #给 tank 用户向 test 文件增加读和执行的 acl 规则
- [root@localhost ~]# setfacl -m u:testtank:rx test #给 testtank 用户向 test 文件增加读和执行的 acl 规则
- [root@localhost ~]# getfacl test
- # file: test
- # owner: root
- # group: root
- user::rwx
- user:testtank:r-x
- user:tank:r-x
- group::r--
- mask::r-x
- other::r--
- [root@localhost ~]# setfacl -x u:tank test #清除 tank 用户, 对 test 文件 acl 规则
- [root@localhost ~]# getfacl test
- # file: test
- # owner: root
- # group: root
- user::rwx
- user:testtank:r-x
- group::r--
- mask::r-x
- other::r--
设置组的话只需要把 setfacl -m u::rwx 中的 u 改为 g 即可, 大致差不多.
设置 mask 的话, setfacl -m u::rwx 中的 u 改为 m, 并且这个可不针对用户和组哦, 其他的大致差不多.
在使用 - R 时, 记得放在 - m 前面, 否则不可以地
使用 - d 的话, 就会把默认的都加上去, 针对目录哦.
来源: http://www.bubuko.com/infodetail-2751835.html