ACL授权比chmod更加灵活,也更加精细化,在进行授权操作时,推荐使用ACL方式。
一.添加权限
setfacl -m u:username:rwx dir/file #此时会看的dir的权限多了一个加号
-m:添加或者修改
u[设置用户]:username[用户名]:rwx[设置权限]
g[设置组]:groupname[组名]:rwx[设置权限]
setfacl -m u:username:r -R dir #同时设置子目录下的权限
-R : 递归设置子目录下的权限
setfacl -m mask::r-- dir/file #设置mask的值,mask用于限制ACL_USER, ACL_GROUP和ACL_GROUP_OBJ的最大值
ACL_USER_OBJ : user::rwx #文件所有者
ACL_USER:user : user:username:rwx
ACL_GROUP_OBJ : group::r-x #文件所属组
ACL_GROUP : group:groupname:r-x
二.查看权限
getfacl dir/file #查看该目录被设置的所有acl权限
--omit-header :去掉头信息
三.删除权限
setfacl -x u:username dir/file #删除用户的权限
setfacl -x g:groupname dir/file #删除组的权限
setfacl -b dir/file #删除该目录的全部acl权限
四.缺省的ACL设置
说明:如果希望在dir下建立的所有文件都可以被某一用户访问. 那么我们就应该对dir目录设置Default ACL。
setfacl -d -m user:username:rw dir
-d : 设置default acl
这样,任何人在该目录下创建的文件,都可以被username读写。
setfacl -k dir # 删除缺省acl设置
五.示例:
1.文件
1)ll -d testfile
drwxr-xr-x 2 root root 4096 1月 20 18:59 testfile
2)setfacl -m u:hanqunfeng:rwx testfile
3)ll -d testfile
drwxrwxr-x+ 2 root root 4096 1月 20 18:59 testfile
4)getfacl testfile
# file: test
# owner: root
# group: root
user::rwx
user:hanqunfeng:rwx
group::r-x
mask::rwx
other::r-x
说明:缺省的mask值也被设定为rwx.那是因为它规定了ACL_USER[user:hanqunfeng:rwx], ACL_GROUP和ACL_GROUP_OBJ[group::r-x]的最大值。
5)setfacl -m mask::r-- testfile
6)getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:hanqunfeng:rwx #effective:r--
group::r-x #effective:r--
mask::r--
other::r-x
说明:此时会看到相应的权限后面多出了#effective:r--,因为mask规定了ACL_USER, ACL_GROUP和ACL_GROUP_OBJ的最大值,所以实际的权限也是r--。
7)getfacl --omit-header testfile #去掉头信息
user::rwx
user:hanqunfeng:rwx #effective:r--
group::r-x #effective:r--
mask::r--
other::r-x
8)setfacl -x u:hanqunfeng testfile
9)ll -d testfile
drwxr-xr-x+ 2 root root 4096 1月 20 18:59 testfile
10)setfacl -b testfile
11)ll -d testfile
drwxr-xr-x 2 root root 4096 1月 20 18:59 testfile
2.目录
1)setfacl -m u:hanqunfeng:rwx -R testdir
2)ll -d testdir
drwxrwxr-x+ 2 root root 4096 1月 20 18:59 testdir
3)getfacl --omit-header testdir
user::rwx
user:hanqunfeng:rwx
group::r-x
mask::rwx
other::r-x
4)setfacl -d -m u:hanqunfeng:rwx -R testdir
5)getfacl --omit-header testdir
user::rwx
user:hanqunfeng:rwx
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:hanqunfeng:rwx
default:group::r-x
default:mask::rwx
default:other::r-x
6)setfacl -b testdir
7)ll -d testfile
drwxr-xr-x 2 root root 4096 1月 20 18:59 testdir
相关推荐
存储ACL,并在内核中安插钩子函数实现资源访问控制,根 据用户指定方式或默认方式,阻止非授权主体访问客体,并控 制访问权限扩散。访问控制的粒度是单一主体,没有访问权的 主体只允许由授权主体指定对客体的访问权...
目录 01复习基础命令.a 02-1用户和阻配置文件详解).an 02-2用户和阻置文件详解2)am ...15.16sudo授权5.16.at 17-1文件系统介绍am 17-2硬链接 18查找(1) 19-1查找(2) 19-2查找(3) 20-1zip压缩 ...................
使用Python-api实现列出节点、创建节点、获取节点数据、修改节点数据、删除节点、获取节点ACL等代码编写 使用python-api实现使用超级用户授权连接,并验证 Zookeeper实现主机上下线感知,linux主机名与ip地址使用...
仅适用于linux。 更新(3/1/2021) 警报功能。 更新(10/27/2020) (新功能)自定义表面文件(.bin)支持。 固件还原/更新修复。 贡献者 MiBand 4提供了MiBand 2/3提供的服务的超集。 对于两个设备相似的服务,...
Ego是在其他本地用户下运行Linux桌面应用程序的工具。 目前与Wayland,Xorg,PulseAudio和xdg-desktop-portal集成。 您可能会认为它是Wayland和PulseAudio的xhost 。 这是使用文件系统ACL和xhost命令完成的。 工作...
转到“目录安全性”窗口,单击“IP地址及域名限制”下的“编辑”按钮,点选中“授权访问”以能接受客户端从本机之外的地方对IIS进行管理;最后单击“确定”按钮。 3.则在任意计算机的浏览器中输入如...
7.4授权和ACL 7.5在正在运行的群集中加入安全功能 7.6 ZooKeeper认证 新集群 迁移群集 迁移ZooKeeper Ensemble 8. KAFKA CONNECT 8.1概述 8.2用户指南 运行Kafka Connect 配置连接器 转换 ...
Trireme-lib是一个零信任网络库,通过执行端到端的身份验证和授权,无需复杂的控制平面或以IP /端口为中心的ACL和东西向防火墙,就可以建立安全策略并分段应用程序。 Trireme-lib支持容器和Linux进程以及基于用户...
18.1 代码管理之殇/ 253 18.1.1 发布分支/ 253 18.1.2 特性分支/ 256 18.1.3 卖主分支/ 257 18.2 分支命令概述/ 258 18.3 “Hello World”开发计划/ 259 18.4 基于特性分支的开发/ 260 18.4.1 创建分支 user1/getopt...
oracle数据库的权限系统分为系统权限与对象权限。系统权限( database system privilege )可以让用户执行特定的命令集。例如,create table权限允许用户创建表,grant any privilege 权限允许用户授予任何系统权限。...