设置文件访问控制列表。
补充说明
setfacl 命令是用来在命令行里设置 ACL(访问控制列表)。在命令行里,一系列的命令跟随以一系列的文件名。
选项
-b,--remove-all:删除所有扩展的acl规则,基本的acl规则(所有者,群组,其他)将被保留。
-k,--remove-default:删除缺省的acl规则。如果没有缺省规则,将不提示。
-n,--no-mask:不要重新计算有效权限。setfacl默认会重新计算ACL mask,除非mask被明确的制定。
--mask:重新计算有效权限,即使ACL mask被明确指定。
-d,--default:设定默认的acl规则。
--restore=file:从文件恢复备份的acl规则(这些文件可由getfacl -R产生)。通过这种机制可以恢复整个目录树的acl规则。此参数不能和除--test以外的任何参数一同执行。
--test:测试模式,不会改变任何文件的acl规则,操作后的acl规格将被列出。
-R,--recursive:递归的对所有文件及目录进行操作。
-L,--logical:跟踪符号链接,默认情况下只跟踪符号链接文件,跳过符号链接目录。
-P,--physical:跳过所有符号链接,包括符号链接文件。
--version:输出setfacl的版本号并退出。
--help:输出帮助信息。
--:标识命令行参数结束,其后的所有参数都将被认为是文件名
-:如果文件名是-,则setfacl将从标准输入读取文件名。
- 选项
-m和-x后边跟以 acl 规则。多条 acl 规则以逗号 (,) 隔开。选项-M和-X用来从文件或标准输入读取 acl 规则。 - 选项
--set和--set-file用来设置文件或目录的 acl 规则,先前的设定将被覆盖。 - 选项
-m(--modify)和-M(--modify-file)选项修改文件或目录的 acl 规则。 - 选项
-x(--remove)和-X(--remove-file)选项删除 acl 规则。
当使用-M,-X 选项从文件中读取规则时,setfacl 接受 getfacl 命令输出的格式。每行至少一条规则,以#开始的行将被视为注释。
当在不支持 ACLs 的文件系统上使用 setfacl 命令时,setfacl 将修改文件权限位。如果 acl 规则并不完全匹配文件权限位,setfacl 将会修改文件权限位使其尽可能的反应 acl 规则,并会向 standard error 发送错误消息,以大于 0 的状态返回。
权限
文件的所有者以及有CAP_FOWNER的用户进程可以设置一个文件的 acl。(在目前的 linux 系统上,root 用户是唯一有CAP_FOWNER能力的用户)
ACL 规则
setfacl 命令可以识别以下的规则格式:
[d[efault]:] [u[ser]:]uid [:perms] 指定用户的权限,文件所有者的权限(如果uid没有指定)
[d[efault]:] g[roup]:gid [:perms] 指定群组的权限,文件所有群组的权限(如果gid未指定)
[d[efault]:] m[ask][:] [:perms] 有效权限掩码
[d[efault]:] o[ther] [:perms] 其他的权限
恰当的 acl 规则被用在修改和设定的操作中,对于 uid 和 gid,可以指定一个数字,也可指定一个名字。perms 域是一个代表各种权限的字母的组合:读-r写-w执行-x,执行只适合目录和一些可执行的文件。pers 域也可设置为八进制格式。
自动创建的规则
最初的,文件目录仅包含 3 个基本的 acl 规则。为了使规则能正常执行,需要满足以下规则。
- 3 个基本规则不能被删除。
- 任何一条包含指定的用户名或群组名的规则必须包含有效的权限组合。
- 任何一条包含缺省规则的规则在使用时,缺省规则必须存在。
ACL 的名词定义
先来看看在 ACL 里面每一个名词的定义,这些名词我大多从 man page 上摘下来虽然有些枯燥,但是对于理解下面的内容还是很有帮助的。
ACL 是由一系列的 Access Entry 所组成的,每一条 Access Entry 定义了特定的类别可以对文件拥有的操作权限。Access Entry 有三个组成部分:Entry tag type, qualifier (optional), permission。
我们先来看一下最重要的 Entry tag type,它有以下几个类型:
ACL_USER_OBJ:相当于Linux里file_owner的permission
ACL_USER:定义了额外的用户可以对此文件拥有的permission
ACL_GROUP_OBJ:相当于Linux里group的permission
ACL_GROUP:定义了额外的组可以对此文件拥有的permission
ACL_MASK:定义了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大权限 (这个我下面还会专门讨论)
ACL_OTHER:相当于Linux里other的permission
让我们来据个例子说明一下,下面我们就用 getfacl 命令来查看一个定义好了的 ACL 文件:
[root@localhost ~]# getfacl ./test.txt
# file: test.txt
# owner: root
# group: admin
user::rw-
user:john:rw-
group::rw-
group:dev:r--
mask::rw- other::r--
前面三个以#开头的定义了文件名,file owner 和 group。这些信息没有太大的作用,接下来我们可以用--omit-header来省略掉。
user::rw- 定义了ACL_USER_OBJ, 说明file owner拥有read and write permission
user:john:rw- 定义了ACL_USER,这样用户john就拥有了对文件的读写权限,实现了我们一开始要达到的目的
group::rw- 定义了ACL_GROUP_OBJ,说明文件的group拥有read and write permission
group:dev:r-- 定义了ACL_GROUP,使得dev组拥有了对文件的read permission
mask::rw- 定义了ACL_MASK的权限为read and write
other::r-- 定义了ACL_OTHER的权限为read
从这里我们就可以看出 ACL 提供了我们可以定义特定用户和用户组的功能,那么接下来我们就来看一下如何设置一个文件的 ACL:
如何设置 ACL 文件
首先我们还是要讲一下设置 ACL 文件的格式,从上面的例子中我们可以看到每一个 Access Entry 都是由三个被:号分隔开的字段所组成,第一个就是 Entry tag type。
user 对应了ACL_USER_OBJ和ACL_USER
group 对应了ACL_GROUP_OBJ和ACL_GROUP
mask 对应了ACL_MASK
other 对应了ACL_OTHER
第二个字段称之为 qualifier,也就是上面例子中的 john 和 dev 组,它定义了特定用户和拥护组对于文件的权限。这里我们也可以发现只有 user 和 group 才有 qualifier,其他的都为空。第三个字段就是我们熟悉的 permission 了。它和 Linux 的 permission 一样定义,这里就不多讲了。
下面我们就来看一下怎么设置 test.txt 这个文件的 ACL 让它来达到我们上面的要求。
一开始文件没有 ACL 的额外属性:
[root@localhost ~]# ls -l
-rw-rw-r-- 1 root admin 0 Jul 3 22:06 test.txt
[root@localhost ~]# getfacl --omit-header ./test.txt
user::rw- group::rw- other::r--
我们先让用户 john 拥有对 test.txt 文件的读写权限:
[root@localhost ~]# setfacl -m user:john:rw- ./test.txt
[root@localhost ~]# getfacl --omit-header ./test.txt
user::rw-
user:john:rw-
group::rw-
mask::rw-
other::r--
这时我们就可以看到 john 用户在 ACL 里面已经拥有了对文件的读写权。这个时候如果我们查看一下 linux 的 permission 我们还会发现一个不一样的地方。
[root@localhost ~]# ls -l ./test.txt
-rw-rw-r--+ 1 root admin 0 Jul 3 22:06 ./test.txt
在文件 permission 的最后多了一个+号,当任何一个文件拥有了 ACL_USER 或者 ACL_GROUP 的值以后我们就可以称它为 ACL 文件,这个+号就是用来提示我们的。我们还可以发现当一个文件拥有了ACL_USER或者ACL_GROUP的值时ACL_MASK同时也会被定义。
接下来我们来设置 dev 组拥有 read permission:
[root@localhost ~]# setfacl -m group:dev:r-- ./test.txt
[root@localhost ~]# getfacl --omit-header ./test.txt
user::rw-
user:john:rw-
group::rw-
group:dev:r--
mask::rw-
other::r--
到这里就完成了我们上面讲到的要求,是不是很简单呢。
ACL_MASK 和 Effective permission
这里需要重点讲一下ACL_MASK,因为这是掌握 ACL 的另一个关键,在 Linux file permission 里面大家都知道比如对于rw-rw-r--来说, 当中的那个rw-是指文件组的 permission. 但是在 ACL 里面这种情况只是在ACL_MASK不存在的情况下成立。如果文件有 ACL_MASK 值,那么当中那个rw-代表的就是 mask 值而不再是 group permission 了。
让我们来看下面这个例子:
[root@localhost ~]# ls -l
-rwxrw-r-- 1 root admin 0 Jul 3 23:10 test.sh
这里说明 test.sh 文件只有 file owner: root 拥有 read, write, execute/search permission。admin 组只有 read and write permission,现在我们想让用户 john 也对 test.sh 具有和 root 一样的 permission。
[root@localhost ~]# setfacl -m user:john:rwx ./test.sh
[root@localhost ~]# getfacl --omit-header ./test.sh
user::rwx user:john:rwx
group::rw-
mask::rwx
other::r--
这里我们看到 john 已经拥有了 rwx 的 permission,mask 值也被设定为 rwx,那是因为它规定了ACL_USER,ACL_GROUP和ACL_GROUP_OBJ的最大值,现在我们再来看 test.sh 的 Linux permission,它已经变成了:
[root@localhost ~]# ls -l
-rwxrwxr--+ 1 root admin 0 Jul 3 23:10 test.sh
那么如果现在 admin 组的用户想要执行 test.sh 的程序会发生什么情况呢?它会被 permission deny。原因在于实际上 admin 组的用户只有 read and write permission,这里当中显示的 rwx 是ACL_MASK的值而不是 group 的 permission。
所以从这里我们就可以知道,如果一个文件后面有+标记,我们都需要用 getfacl 来确认它的 permission,以免发生混淆。
下面我们再来继续看一个例子,假如现在我们设置 test.sh 的 mask 为 read only,那么 admin 组的用户还会有 write permission 吗?
[root@localhost ~]# setfacl -m mask::r-- ./test.sh
[root@localhost ~]# getfacl --omit-header ./test.sh
user::rwx
user:john:rwx #effective:r--
group::rw- #effective:r--
mask::r--
other::r--
这时候我们可以看到 ACL_USER 和 ACL_GROUP_OBJ 旁边多了个#effective:r--,这是什么意思呢?让我们再来回顾一下ACL_MASK的定义。它规定了ACL_USER,ACL_GROUP_OBJ和ACL_GROUP的最大权限。那么在我们这个例子中他们的最大权限也就是 read only。虽然我们这里给ACL_USER和ACL_GROUP_OBJ设置了其他权限,但是他们真正有效果的只有 read 权限。
这时我们再来查看 test.sh 的 Linux file permission 时它的 group permission 也会显示其 mask 的值 (i.e. r--)
[root@localhost ~]# ls -l
-rwxr--r--+ 1 root admin 0 Jul 3 23:10 test.sh
Default ACL
上面我们所有讲的都是 Access ACL,也就是对文件而言。下面我简单讲一下 Default ACL。Default ACL 是指对于一个目录进行 Default ACL 设置,并且在此目录下建立的文件都将继承此目录的 ACL。
同样我们来做一个试验说明,比如现在 root 用户建立了一个 dir 目录:
[root@localhost ~]# mkdir dir
他希望所有在此目录下建立的文件都可以被 john 用户所访问,那么我们就应该对 dir 目录设置 Default ACL。
[root@localhost ~]# setfacl -d -m user:john:rw ./dir
[root@localhost ~]# getfacl --omit-header ./dir
user::rwx
group::rwx
other::r-x
default:user::rwx
default:user:john:rwx
default:group::rwx
default:mask::rwx
default: other::r-x
这里我们可以看到 ACL 定义了 default 选项,john 用户拥有了 default 的 read, write, excute/search permission。所有没有定义的 default 都将从 file permission 里 copy 过来,现在 root 用户在 dir 下建立一个 test.txt 文件。
[root@localhost ~]# touch ./dir/test.txt
[root@localhost ~]# ls -l ./dir/test.txt
-rw-rw-r--+ 1 root root 0 Jul 3 23:46 ./dir/test.txt
[root@localhost ~]# getfacl --omit-header ./dir/test.txt
user::rw-
user:john:rw-
group::rwx #effective:rw-
mask::rw-
other::r--
这里我们看到在 dir 下建立的文件 john 用户自动就有了 read and write permission,
ACL 相关命令
前面的例子中我们都注意到了 getfacl 命令是用来读取文件的 ACL,setfacl 是用来设定文件的 Acess ACL。这里还有一个 chacl 是用来改变文件和目录的 Access ACL and Default ACL,它的具体参数大家可以去看 man page。我只想提及一下chacl -B。它可以彻底删除文件或者目录的 ACL 属性 (包括 Default ACL),比如你即使用了setfacl -x删除了所有文件的 ACL 属性,那个+号还是会出现在文件的末尾,所以正确的删除方法应该是用chacl -B用 cp 来复制文件的时候我们现在可以加上-p选项。这样在拷贝文件的时候也将拷贝文件的 ACL 属性,对于不能拷贝的 ACL 属性将给出警告。
mv 命令将会默认地移动文件的 ACL 属性,同样如果操作不允许的情况下会给出警告。
需要注意的几点
如果你的文件系统不支持 ACL 的话,你也许需要重新 mount 你的 file system:
mount -o remount, acl [mount point]
如果用 chmod 命令改变 Linux file permission 的时候相应的 ACL 值也会改变,反之改变 ACL 的值,相应的 file permission 也会改变。
