在 Unix/Linux 系统上沿用了多年的权限机制,由于欠缺灵活性,在现今的信息系统上显得落后和不敷应用。然而一个新的权限机制标准已经诞生出来,本
文将会为大家介绍这个新机制在 Linux 上的操作方式。
---------------------------------------------------------
典型的文件权限
典型的文件权限是这样的:
#>ls -l
-rwxrw-r-- 1 adam mis 272401 May 10 2003 test.doc
表示文件属于用户adam,权限可读可写可运行;属于群组mis权限可读可写;其他人权限只读
传统的权限只能对所有者,群组,其他来设定3套权限
更复杂的权限则需要依赖ACL
这个 POSIX ACL 的功能在 Linux kernel 2.6 上被正式支持,之后又被 back-port到 2.4 kernel 上。大家常用的档案系统,如:ext3,xfs,jfs,和
ReiserFS,都能使用ACL。当然,大家须要在编译 kernel 时启动 ACL。
---------------------------------------------------------
启动 ACL
虽然在 kernel 中已加进了 POSIX ACL 的支持,但是并不会自动启用的。我们必须在挂上档案系统时指明要使用 ACL。例如:
mount -t ext3 -o acl /dev/sda1 /home
其中 “-o acl”参数表示在 /dev/sda1 上启用 ACL 的选项。我们亦可以在 /etc/fstab 中加入选项:
/dev/sda1 /home ext3 acl 1 2
---------------------------------------------------------
查看文件的ACL信息
#>getfacl test.doc
# file: test.doc
# owner: adam
# group: mis
user::rw-
group::rw-
other::r--
---------------------------------------------------------
访问型ACL设置
更改ACL
setfacl” 指令能更改一个档案或目录的 ACL。其用法如下:
setfacl option rules files
option:
-m 用来新增或修改 ACL 中的规则
-x 用来移除 ACL 中的规则
rules:
user:(uid/name):(perms) 指定某位使用者的权限
group:(gid/name):(perms) 指定某一群组的权限
other::(perms) 指定其它使用者的权限
mask::(perms) 设定有效的权限屏蔽
如果想让hr群组的使用者能读取 “test.doc”而其它的人不能读取的话。 我们可以用以下的指令达成:
setfacl -m group:hr:r,other::- test.doc
以 getfacl 检视新的 ACL:
[adam@www adam]$ getfacl test.doc
# file: test.doc
# owner: adam
# group: mis
user::rw-
group::rw-
group:hr:r--
mask::rw-
other::---
要让使用者 adam 和 eva 能 读取 和 写入, 群组mis 和 hr 只能读取, 其它人不能 读取 和 写入。 我们只须多加两个规则便能达成:
setfacl -m group::r,user:eva:rw report.doc
[adam@www adam]$ getfacl report.doc
# file: report.doc
# owner: adam
# group: mis
user::rw-
user:eva:rw-
group::r--
group:hr:r--
mask::rw-
other::---
---------------------------------------------------------
预设型ACL
预设型ACL 只可用于目录, 它决定了该目录下新建立的档案或目录的 ACL。要设定 预设型ACL, 同样使用 “setfacl”。 所不同的是, 在每个规则前加上“
default:”, 例如:
setfacl -m default:user::rw /home/adam
如果觉得指令太长的话我们可以使用简略字符:
长写 简写
user: u:
group: g:
other: o:
mask: m:
default: d:
setfacl -m d:u::rw,d:u:eva:rw,d:g::r,d:o::- /home/adam
[adam@www adam]$ getfacl /home/adam
getfacl: Removing leading '/' from absolute path names
# file: home/adam
# owner: adam
# group: adam
user::rwx
group::---
other::---
default:user::rw-
default:user:eva:rw-
default:group::r--
default:mask::rw-
default:other::---
建立新的档案并检视其 存取型ACL:
[adam@www adam]$ touch newfile
[adam@www adam]$ getfacl newfile
# file: newfile
# owner: adam
# group: mis
user::rw-
user:eva:rw-
group::r--
mask::rw-
other::---