看到这个命令的第一反应就应该知道,这是一对对应的命令.而且都有acl.所以,首先,我就得就acl做点解释:
acl
全称 Access Control Lists 翻译成中文叫"访问控制列表",传统的 Linux 文件系统的权限控制是通过 user、group、other 与
r(读)、w(写)、x(执行) 的不同组合来实现的。随着应用的发展,这些权限组合已不能适应现时复杂的文件系统权限控制要求。 例如,目录 /data
的权限为:drwxr-x---,所有者与所属组均为 root,在不改变所有者的前提下,要求用户lee对该目录有完全访问权限(rwx).考虑以下2种办法
(这里假设lee不属于root group)
(1) 给/data 的other 类别增加rwx permission,这样由于 lee会被归为other 类别,那么他也将拥有 rwx权限。
(2) 将lee加入到root group,为root group分配rwx权限,那么他也将拥有rwx权限。
以上 2 种方法其实都不合适,所以传统的权限管理设置起来就力不从心了。
为了解决这些问题,Linux
开发出了一套新的文件系统权限管理方法,叫文件访问控制列表 (Access Control Lists, ACL)。简单地来说,ACL
就是可以设置特定用户或者用户组对于一个文件的操作权限。
ACL 有两种,一种是存取 ACL (access
ACLs),针对文件和目录设置访问控制列表。一种是默认 ACL (default ACLs),只能针对目录设置。如果目录中的文件没有设置
ACL,它就会使用该目录的默认 ACL.
首先我来讲一下getfacl( 显示文件或目录的 ACL)
我以test用户进行操作,在其目录下建立一个文件testfile
可以看到它的初始权限为-rw-rw-r--然后我把这个文件权限进行下修改.使用的命令为chmod,修改后的文件权限为-rw-rw----现在这个文件的权限就不允许其它用户访问了.
然后切换到lee用户,来证实这个文件的不可访问性.
下面我们就通过getfacl命令来查看.这时候得进入test用户下操作了.其命令格式很简单:
[test@RedHat92 ~]$ getfacl testfile
# file: testfile
# owner: test
# group: test
user::rw-
group::rw-
other::r--
权限一目了然.不多介绍了,下面就要用Setfacl来进行修改了.使其在对于其它用户的权限里,只对lee用户只读只写.
[test@RedHat92 ~]$ setfacl -m u:lee:rw- testfile
[test@RedHat92 ~]$ getfacl testfile
# file: testfile
# owner: test
# group: test
user::rw-
user:lee:rw-
group::rw-
mask::rw-
other::r--
然后用getfacl命令来进行查看.我们就可以看到多了一行
user:lee:rw- 这说明其对用户lee开放了读写的权限.
为了证实其可用性,再切换到lee用户下访问这个文件,发现与前面不同的是,这回可以读写了.
如果是目录呢?
setfacl -R -m u:lee:rw- testdirectory/ (-R一定要在-m前面,表示目录下所有文件)
setfacl -x u:lee testdirectory/ (去掉单个权限)
setfacl -b (去掉所有acl权限)
如果我们希望在一个目录中新建的文件和目录都使用同一个预定的ACL,那么我们可以使用默认(Default) ACL。在对一个目录设置了默认的ACL以后,每个在目录中创建的文件都会自动继承目录的默认ACL作为自己的ACL。用setfacl的-d选项就可以 做到这一点:
[test@RedHat92 ~]$ setfacl -d --set u:lee:rw- testdirectory/
[test@RedHat92 ~]$ getfacl testdirectory/