day9:访问控制列表ACL

如下，我们看一看 /root 目录的权限。

afei@ubuntu:~$ su root
Password: 
root@ubuntu:/home/afei# 
root@ubuntu:/home/afei# cd /
root@ubuntu:/# 
root@ubuntu:/# 
root@ubuntu:/# ls -ld /root
drwx------ 5 root root 4096 Oct 17 07:21 /root
root@ubuntu:/# 

可以看到 /root 目录的属主为 root 属组为 root 且只有属主 root 对目录具有读写访问权限。

此时， afei 用户是无法进入该目录的。

如果我们如果想让其他用户可以进入 /root 目录，按照我们前面了解的方法，第一种方法是设置 /root 目录的其他用户权限为 rwx ，第二种方法是将 /root 的属组权限修改为 rwx ,然后再将 afei 用户加入到 root 用户组中。这两者方法显然不符合安全性的要求。

这时我们可以使用访问控制列表来对文件或目录进行设置。

例如，要使 afei 用户可以进入到 /root ，可以进行以下配置：

root@ubuntu:/# 
root@ubuntu:/# getfacl -R root > rootHomeAclBk.acl
设置 acl 规则前，先将原先的 acl 规则备份起来，用于恢复，避免误操作
root@ubuntu:/# 
root@ubuntu:/# setfacl -Rm u:afei:rwx ./root
对 afei 用户设置对 /root 目录的 rwx 权限
root@ubuntu:/# 
root@ubuntu:/# exit
exit
afei@ubuntu:~$ cd /root
afei@ubuntu:/root$ 
成功访问

此时可以使用 getfacl 来查看已经设置成功的 acl 规则

afei@ubuntu:/root$ getfacl /root
getfacl: Removing leading '/' from absolute path names
# file: root
# owner: root
# group: root
user::rwx
user:afei:rwx
group::---
mask::rwx
other::---

解读：

ACL是由一系列的Access Entry所组成的，每一条Access Entry定义了特定的类别可以对文件拥有的操作权限。Access Entry有三个组成部分：Entry tag type, qualifier (optional), permission。

我们先来看一下最重要的Entry tag type，它有以下几个类型：

ACL_USER_OBJ：相当于Linux里file_owner的permission
ACL_USER：定义了额外的用户可以对此文件拥有的permission
ACL_GROUP_OBJ：相当于Linux里group的permission
ACL_GROUP：定义了额外的组可以对此文件拥有的permission
ACL_MASK：定义了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大权限 (这个我下面还会专门讨论)
ACL_OTHER：相当于Linux里other的permission

/root 目录 getfacl 得到的 acl 规则解读如下：

user::rwx       定义了ACL_USER_OBJ, 说明file owner拥有read and write permission
user:afei:rwx   定义了ACL_USER,这样用户 afei 就拥有了对文件的读写权限
group::---      可以定义ACL_GROUP_OBJ，对文件的权限
mask::rwx       定义了ACL_MASK的权限为read write eXecute
other::---      定义了ACL_OTHER没有任何权限

对应到我们的案例，mask 字段的值表示，当前用户 afei 对 /root 目录具有 rwx 权限

根据以上案例，我们可以得出这样一个推理结论：当文件或者目录设置了针对用户或者组的 acl 规则时，acl 规则会将原本的属主、属组规则覆盖。

实验完之后，我们回到 root 用户，将 /root 目录原本的 acl 进行恢复：

root@ubuntu:/# setfacl --restore rootHomeAclBk.acl 
恢复 /root 目录原本的 acl 规则
root@ubuntu:/# 
root@ubuntu:/# getfacl ./root
# file: root
# owner: root
# group: root
user::rwx
group::---
other::---

tips:

• mv命令将会默认地移动文件的ACL属性，同样如果操作不允许的情况下会给出警告。
• 如果你的文件系统不支持ACL的话，你也许需要重新mount你的file system：

mount -o remount, acl [mount point]

• 如果用chmod命令改变Linux file permission的时候相应的ACL值也会改变，反之改变ACL的值，相应的file permission也会改变。