facl 文件访问控制 setfaclgetfacl

Posted 2020-06-25

    当一个用户需要读写一个文件时，其文件的属组和属主都没有相关的权限，如果给other读写权限的话，此时风险会比较大，这样一来所有用户都会有读写权限了。

普通用户无法安全地将某个文件授权给其它用户访问

facl: 附加原有权限模型之上另一层权限控制机制，保存至文件扩展属性信息中；

（a）查看文件的facl

    getfacl FILE ...

（b）、设定及取消文件的facl

  setfacl {-x|-m} 权限 FILE ...

常先选项：
        -m: 设定权限
            -m u:UserName:Perms  \\ 设置用户的facl
            -m g:GroupName:Perms  　\\ 设置给的facl
            -m m::Perms    \\ 设定mask值
        -x: 取消权限
            -x u:UserName
            -x g:GroupName
            -x m:

        -R: 递归

示例：

1、获取文件的facl

[[email protected] tmp]$ getfacl test
# file: test   \\ 文件名
# owner: tom   \\ 属主
# group: tom   \\ 属组
user::rw-   \\ 属主权限
group::rw-  \\ 属组权限
other::r--  \\ 其它用户权限

2、设置用户user2对test文件有读写的权限

[[email protected] tmp]$ setfacl -m u:user2:rw- test
[[email protected] tmp]$ getfacl test
# file: test
# owner: tom
# group: tom
user::rw-
user:user2:rw-
group::rw-
mask::rw-  \\ 该mask值需要与user权限相对应才能生效,作为权限的掩码使用
other::r--

文件设置facl权限后，其权限位会增加一个+号

$ ls -l test
-rw-rw-r--+ 1 tom tom 0 Mar 18 17:28 test

2、取消test文件的facl权限

[[email protected] tmp]$ setfacl -x u:user2 test
[[email protected] tmp]$ getfacl test
# file: test
# owner: tom
# group: tom
user::rw-
group::rw-
mask::rw-
other::r--

本文出自 “菜鸟日志” 博客，请务必保留此出处http://zkxfoo.blog.51cto.com/1605971/1752665