使用 ACL 設定使用者訪問指定檔案/目錄的許可權 | Linux 中國

當提到檔案和目錄的許可權時，你的第一反應可能是“屬主/群組/其它”許可權。 這些許可權可以透過 chmod、 chown 等命令來修改。

檔案和目錄都有屬主 (檔案所有者 )、群組 (所屬組) 以及其它許可權，這些許可權構成一個集合。 然而這些許可權集合有它的侷限性，無法做到為不同的使用者設定不同的許可權。

Linux 對檔案和目錄有以下預設許可權。

比如： 預設情況下，所有者可以訪問和編輯他們自己主目錄中的檔案， 也可以訪問相關同組人的檔案，但他們不能修改這些檔案，因為組成員沒有寫許可權，而且讓組成員有寫許可權也是不明智的。 基於同樣的原因，他/她也不能修改其他人的檔案。 然而在某些情況下，多個使用者想要修改同一個檔案， 那該怎麼辦呢？

假設有個名叫 magi 的使用者，他想要修改 httpd.conf 檔案怎麼辦呢？ 這個檔案是歸 root 使用者所有的，這樣如何授權呢？ 為瞭解決這種情況，訪問控制串列Access Control List（ACL）誕生了。

什麼是 ACL？

ACL 表示訪問控制串列Access Control List（ACL），它為檔案系統提供了附加的、更具有彈性的許可權機制。 它被設計來為補充 UNIX 檔案許可權機制。 ACL 允許你賦予任何某使用者/組訪問某項資源的許可權。 setfacl 與 getfacl 命令會幫助你管理 ACL 而不會有任何麻煩。

什麼是 setfacl？

setfacl 用於設定檔案和目錄的 ACL。

什麼 getfacl？

getfacl – 獲取檔案的 ACL 。對於每個檔案， getfacl 都會顯示檔案名、檔案所有者、所屬組以及ACL。 如果目錄有預設 ACL， getfacl 也會顯示這個預設的 ACL。

如何確認是否啟用了 ACL？

執行 tune2fs 命令來檢查是否啟用了 ACL。

# tune2fs -l /dev/sdb1 | grep options
Default mount options: (none)

上面的輸出很明顯第說明 /dev/sdb1 分割槽沒有啟用 ACL。

如果結果中沒有列出 acl，則你需要在掛載選項中加上 acl。 為了讓它永久生效， 修改 /etc/fstab 中 /app 這一行成這樣：

# more /etc/fstab
UUID=f304277d-1063-40a2-b9dc-8bcf30466a03 / ext4 defaults 1 1
/dev/sdb1        /app ext4 defaults，acl 1 1

# tune2fs -o +acl /dev/sdb1

# mount -o remount,acl /app

# tune2fs -l /dev/sdb1 | grep options
Default mount options： acl

# getfacl /etc/apache2/apache2.conf
# file： etc/apache2/apache2.conf
# owner： root
# group： root
user::rw-
group::r--
other::r--

# setfacl -m u:magi:rwx /etc/apache2/apache2.conf

# getfacl /etc/apache2/apache2.conf
# file： etc/apache2/apache2.conf
# owner： root
# group： root
user::rw-
user:magi:rwx
group::r--
mask::rwx
other::r--

# ls -lh /etc/apache2/apache2.conf
-rw-rwxr--+ 1 root root 7.1K Sep 19 14:58 /etc/apache2/apache2.conf

# setfacl -Rm u:magi:rwx /etc/apache2/sites-available/

# getfacl /etc/apache2/sites-available/
# file： etc/apache2/sites-available/
# owner： root
# group： root
user::rwx
user:magi:rwx
group::r-x
mask::rwx
other::r-x

# ls -lh /etc/apache2/sites-available/
total 20K
-rw-rwxr--+ 1 root root 1.4K Sep 19 14:56 000-default.conf
-rw-rwxr--+ 1 root root 6.2K Sep 19 14:56 default-ssl.conf
-rw-rwxr--+ 1 root root 1.4K Dec 8 02:57 mywebpage.com.conf
-rw-rwxr--+ 1 root root 1.4K Dec 7 19:07 testpage.com.conf

# setfacl -m g:appdev:rwx /etc/apache2/apache2.conf

# setfacl -m u:magi:rwx,g:appdev:rwx /etc/apache2/apache2.conf

# setfacl -x u:magi /etc/apache2/apache2.conf

# getfacl /etc/apache2/apache2.conf
# file： etc/apache2/apache2.conf
# owner： root
# group： root
user::rw-
group::r--
mask::r--
other::r--

# setfacl -b /etc/apache2/apache2.conf

# getfacl /etc/apache2/apache2.conf
# file： etc/apache2/apache2.conf
# owner： root
# group： root
user::rw-
group::r--
other::r--

# cd /etc/apache2/sites-available/
# getfacl -R * > acl_backup_for_folder

# setfacl --restore=/etc/apache2/sites-available/acl_backup_for_folder