今天給伙伴們分享一下Linux ACL 訪問控制，希望看了有所收獲。

我是公眾號「想吃西紅柿」「云原生運維實戰(zhàn)派」作者，對云原生運維感興趣，也保持時刻學(xué)習(xí)，后續(xù)會分享工作中用到的運維技術(shù)，在運維的路上得到支持和共同進步！

如果伙伴們看了文檔覺得有用，歡迎大家關(guān)注我的公眾號，獲取相關(guān)文檔。愛運維，愛生活。

一、ACL訪問控制概述

• 基礎(chǔ)權(quán)限UGO、特殊權(quán)限，所有的權(quán)限是針對某一類用戶設(shè)置的, 如果希望對文件進行自定義權(quán)限控制，就需要用到文件的訪問控制列表ACL

• UGO設(shè)置基本權(quán)限: 只能一個用戶，一個組和其他人

• ACL設(shè)置基本權(quán)限： r、w、x 設(shè)定acl只能是root管理員用戶. 相關(guān)命令: getfacl , setfacl

• getfacl 命令用于查看文件或目錄當(dāng)前設(shè)定的 ACL 權(quán)限信息。該命令的基本格式為：

[root@edenluo.com ~]# getfacl 文件名

• setfacl 命令可直接設(shè)定用戶或群組對指定文件的訪問權(quán)限。此命令的基本格式為：

[root@edenluo.com ~]# setfacl 選項 文件名

• 命令可以使用的所用選項及功能

選項	功能
-m	設(shè)定 ACL 權(quán)限。如果是給予用戶 ACL 權(quán)限，參數(shù)則使用 “u:用戶名:權(quán)限” 的格式，例如 setfacl -m u:st:rx /project 表示設(shè)定 st 用戶對 project 目錄具有 rx 權(quán)限；如果是給予組 ACL 權(quán)限，參數(shù)則使用 “g:組名:權(quán)限” 格式，例如 setfacl -m g:tgroup:rx /project 表示設(shè)定群組 tgroup 對 project 目錄具有 rx 權(quán)限。
-x	刪除指定用戶（參數(shù)使用 u:用戶名）或群組（參數(shù)使用 g:群組名）的 ACL 權(quán)限，例如 setfacl -x u:st /project 表示刪除 st 用戶對 project 目錄的 ACL 權(quán)限。
-b	刪除所有的 ACL 權(quán)限，例如 setfacl -b /project 表示刪除有關(guān) project 目錄的所有 ACL 權(quán)限。
-d	設(shè)定默認(rèn) ACL 權(quán)限，命令格式為 “setfacl -m d:u:用戶名:權(quán)限 文件名”（如果是群組，則使用 d:g:群組名:權(quán)限），只對目錄生效，指目錄中新建立的文件擁有此默認(rèn)權(quán)限，例如 setfacl -m d:u:st:rx /project 表示 st 用戶對 project 目錄中新建立的文件擁有 rx 權(quán)限。
-R	遞歸設(shè)定 ACL 權(quán)限，指設(shè)定的 ACL 權(quán)限會對目錄下的所有子文件生效，命令格式為 “setfacl -m u:用戶名:權(quán)限 -R 文件名”（群組使用 g:群組名:權(quán)限），例如 setfacl -m u:st:rx -R /project 表示 st 用戶對已存在于 project 目錄中的子文件和子目錄擁有 rx 權(quán)限。
-k	刪除默認(rèn) ACL 權(quán)限。

• acl基本使用方式

環(huán)境準(zhǔn)備
[root@edenluo.com ~]# cp /etc/passwd /root/passwd文件在沒有設(shè)定acl, 看到的和傳統(tǒng)權(quán)限是一樣
[root@edenluo.com ~]# ll passwd
-rw-r--r-- 1 root root 0 10-26 13:59 /home/test.txt
使用getacl查看權(quán)限
[root@edenluo.com ~]# getfacl passwd 
# file: passwd
# owner: root
# group: root
user::rw-   //文件owner權(quán)限
group::r--  //文件擁有組權(quán)限
other::r--  //其他人權(quán)限

1、設(shè)定acl權(quán)限案例

要求
-rw-r--r-- 1 root root 1380 Feb 27 11:25 passwd
alice  擁有讀寫權(quán)限     rw
edenluo  沒有任何權(quán)限     -
jack   組擁有讀權(quán)限     r
匿名用戶擁有讀寫權(quán)限     rw
1、建立相關(guān)用戶
[root@edenluo.com ~]# useradd alice
[root@edenluo.com ~]# useradd edenluo
[root@edenluo.com ~]# useradd jack
增加用戶 alice 權(quán)限
[root@edenluo.com ~]# setfacl -m u:alice:rw passwd
增加用戶 edenluo 權(quán)限
[root@edenluo.com ~]# setfacl -m u:edenluo:- passwd
增加匿名用戶權(quán)限
[root@edenluo.com ~]# setfacl -m o::rw passwd
增加組權(quán)限
[root@edenluo.com ~]# setfacl -m g:jack:r passwd

注意: 如果用戶同時屬于不同的兩個組，并且兩個組設(shè)定了acl訪問控制
1、根據(jù)acl訪問控制優(yōu)先級進行匹配規(guī)則
2、如有用戶擁有多個組的權(quán)限不同的權(quán)限，優(yōu)先使用最高權(quán)限（模糊匹配）

2、查看acl權(quán)限

[root@edenluo.com ~]# ll passwd
-rw-rw-rw-+ 1 root root 1531 Jan 26 07:52 passwd
[root@edenluo.com ~]# getfacl passwd
# file: passwd
# owner: root
# group: root
user::rw-
user:edenluo:---
user:alice:rw-
group::r--
group:jack:r--
mask::rw-
other::rw-

3、移除acl權(quán)限

移除jack組的acl權(quán)限
[root@edenluo.com ~]# setfacl -x g:jack passwd
移除edenluo.com用戶的acl權(quán)限
[root@edenluo.com ~]# setfacl -x u:edenluo passwd
移除文件和目錄所有acl權(quán)限
[root@edenluo.com ~]# setfacl -b passwd//移除默認(rèn)的acl
[root@edenluo.com ~]# setfacl -k dir

4、查看acl幫助

EXAMPLES 示例
[root@edenluo.com ~]# man setfacl
復(fù)制 file1 的 ACL 權(quán)限給 file2
[root@edenluo.com ~]# setfacl -m u:alice:rw,u:edenluo:r,g:jack:rw file1
[root@edenluo.com ~]# getfacl file1 |setfacl --set-file=- file2

二、ACL高級特性MASK

• mask用于臨時降低用戶或組的權(quán)限，但不包括文件的所有者和其他人。
• mask最主要的作用是用來決定用戶的最高權(quán)限。
• mask默認(rèn)不會對匿名用戶降低權(quán)限，所以為了便于管理文件的訪問控制，建議匿名用戶的權(quán)限置為空

臨時降低用戶或組權(quán)限
[root@edenluo.com ~]# setfacl -m mask::rw filename

小結(jié)

? 1、mask會影響哪些用戶，除了所有者和其他人。

? 2、mask權(quán)限決定了用戶訪問文件時的最高權(quán)限。(如何影響)

? 3、mask用于臨時降低用戶訪問文件的權(quán)限。(mask做什么)

? 4、任何重新設(shè)置acl訪問控制會清理mask所設(shè)定的權(quán)限。

三、ACL高級特性Default

• default: 繼承(默認(rèn))

• alice能夠?qū)?code>/opt目錄以及以后在/opt目錄下新建的文件有讀、寫、執(zhí)行權(quán)限

賦予 alice 對/home 讀寫執(zhí)行權(quán)限 
[root@edenluo.com ~]# setfacl -R -m u:alice:rwX /opt
賦予 alice 對以后在/home 下新建的文件有讀寫執(zhí)行權(quán)限(使 alice 的權(quán)限繼承) 
[root@edenluo.com ~]# setfacl -m d:u:alice:rwX /opt
檢查對應(yīng)的權(quán)限
[root@edenluo.com ~]# getfacl /opt/
getfacl: Removing leading '/' from absolute path names
# file: opt/
# owner: root
# group: edenluo.com
user::rwx
user:alice:rwx
group::rwx
mask::rwx
other::rwx
default:user::rwx
default:user:alice:rwx
default:group::rwx
default:mask::rwx
default:other::rwx

四、ACL訪問控制實踐案例

• 案例1: 將新建文件的屬性修改tom:admin, 權(quán)限默認(rèn)為644要求: tom對該文件有所有的權(quán)限, mary可以讀寫該文件, admin組可以讀寫執(zhí)行該文件, jack只讀該文件, 其他人一律不能訪問該文件

實驗前, 建立幾個普通用戶
[root@edenluo.com ~]# useradd tom
[root@edenluo.com ~]# useradd bean
[root@edenluo.com ~]# useradd mary
[root@edenluo.com ~]# useradd jack
[root@edenluo.com ~]# useradd sutdent
[root@edenluo.com ~]# groupadd admin
[root@edenluo.com ~]# gpasswd -a mary admin
[root@edenluo.com ~]# gpasswd -a bean admin//檢查用戶屬性
[root@edenluo.com ~]# id tom
uid=1004(tom) gid=1004(tom) groups=1004(tom)
[root@edenluo.com ~]# id mary
uid=1006(mary) gid=1006(mary) groups=1006(mary),1007(admin)
[root@edenluo.com ~]# id bean
uid=1005(bean) gid=1005(bean) groups=1005(bean),1007(admin)
[root@edenluo.com ~]# id jack
uid=1002(jack) gid=1002(jack) groups=1002(jack)
[root@edenluo.com ~]# id sutdent
uid=1007(sutdent) gid=1008(sutdent) groups=1008(sutdent)//準(zhǔn)備相關(guān)文件
[root@edenluo.com ~]# cp /etc/passwd /root/
[root@edenluo.com ~]# chown tom:admin passwd
[root@edenluo.com ~]# chmod 644 passwd//檢查設(shè)定前的acl列表
[root@edenluo.com ~]# getfacl passwd
# file: passwd
# owner: tom
# group: admin
user::rw-
group::r--
other::r--//設(shè)定acl權(quán)限
[root@edenluo.com ~]# setfacl -m u::rwx,u:mary:rw,u:jack:r,g:admin:rwx,o::- passwd//檢查acl權(quán)限
[root@edenluo.com ~]# getfacl passwd
# file: passwd
# owner: tom
# group: admin
user::rwx
user:jack:r--
user:mary:rw-
group::r--
group:admin:rwx
mask::rwx
other::---

• acl的控制規(guī)則是從上往下匹配

  • 1.tom由于是文件的擁有者，所以直接按照user::rwx指定的權(quán)限去操作

  • 2.mary用戶從上往下尋找匹配規(guī)則，發(fā)現(xiàn)user:mary:rw-能夠精確匹配mary用戶，盡管mary屬于admin組，同時admin組有rwx的權(quán)限，但是由于mary用戶的規(guī)則在前面，所有優(yōu)先生效。

  • 3.bean由于找不到精確匹配的規(guī)則，而bean是屬于admin組，根據(jù)文件的定義，該文件是屬于admin組，所以bean的權(quán)限是按照group:admin:rwx的權(quán)限去操作。

  • 4.jack用戶從上往下尋找匹配規(guī)則，發(fā)現(xiàn)user:jack:r--能夠精確匹配jack用戶。

  • 5.student用戶找不到精確匹配的user定義規(guī)則, 也找不到相關(guān)組的定義規(guī)則，最后屬于other。

• 案例2: lab acl setup

controller組成員有:student
sodor組成員有:thomas,james
目錄: /shares/steamies
文件: /shares/steamies/file
腳本: /shares/steamies/test.sh
controller屬于該目錄的所屬組, 新建文件必須屬于controller組
sodor組的成員對該目錄擁有rwx權(quán)限
sodor組成員james對該目錄及子目錄(包括以后新建立的文件)沒有任何權(quán)限

• 實際操作

準(zhǔn)備用戶
[root@edenluo.com ~]# groupadd controller
[root@edenluo.com ~]# groupadd sodor
[root@edenluo.com ~]# useradd student -G controller
[root@edenluo.com ~]# useradd thomas -G sodor
[root@edenluo.com ~]# useradd james -G sodor
準(zhǔn)備目錄
[root@edenluo.com ~]# mkdir /shares/steamies -p
[root@edenluo.com ~]# echo "file" >> /shares/steamies/file
[root@edenluo.com ~]# echo "echo 123" >> /shares/steamies/test.sh
[root@edenluo.com ~]# chmod 755 /shares/steamies/test.sh
[root@edenluo.com ~]# chown -R  :controller /shares/steamies/
[root@edenluo.com ~]# chmod g+s /shares/steamies/
設(shè)定權(quán)限(X表示,如果原本有執(zhí)行權(quán)限就保留,如果沒有則不添加)
[root@edenluo.com ~]# setfacl -R -m g:sodor:rwX,u:james:- /shares/steamies/
設(shè)定繼承規(guī)則
[root@edenluo.com ~]# setfacl -R -m d:g:sodor:rwX,d:u:james:- /shares/steamies/
[root@edenluo.com steamies]# getfacl /shares/steamies/
getfacl: Removing leading '/' from absolute path names
# file: shares/steamies/
# owner: root
# group: controller
# flags: -s-
user::rwx
user:james:---
group::r-x
group:sodor:rwx
mask::rwx
other::r-x
default:user::rwx
default:group::r-x
default:group:sodor:rwx
default:mask::rwx
default:other::r-x

如果有版幫助，幫忙免費的關(guān)注一下**公眾號「想吃西紅柿」「云原生運維實戰(zhàn)派」**后續(xù)會有更多實用的運維技術(shù)分享給伙伴們，您的關(guān)注就是我最大的成就。