2. 程式人生 > >Linux 訪問控制acl

Linux 訪問控制acl

阿新 發佈:2017-08-29
linux acl設置

Linux:ACL設置

目錄:

1. acl設置

2. mask值

3. acl備份

4. 實例演示

1.acl設置

Acl是關聯用戶和文件或目錄的訪問控制,因此對用戶而言,可以具體分為兩類,用戶和組;對文件而言可以分為文件和目錄;對繼承而言,可以分為默認繼承權限和非繼承權限,從語法上講d表示在某目錄下新建文件或目錄繼續父目錄的default權限。具體如下常用格式:

setfacl -m u:wang:rwx file|directory

setfacl -Rm g:sales:rwX directory

setfacl -m g:salesgroup:rw file| directory

setfacl -m d:u:wang:rx directory

setfacl –R –b directory|file 遞歸刪除目錄或文件下的acl權限

setfacl –x u:wang:rwxfile|directory 刪除本條acl

其中最為關鍵和常用的,在實際項目實施和方案中,將規劃好的acl復制給多個目錄或文件,此時需要復制acl的語法格式,最為常見的語法格式如下:

Getfacl file1 | setfacl --set-file=-file2 將file1的acl權限復制給file2,其中=-中的“-”代表上file1,此種寫法優勢避免重定向給另外一個空文件,等價於getfacl file1> f1 setfacl –set-file=f1 file2。

2.mask值

文件設置acl後,文件的基本權限含義更新,文件的9個字符之前分別表示所屬主的rwx權限、所屬組的rwx權限和其他用戶的rwx權限。在設置acl後文件權限9個字符分別表示所屬主的rwx權限、mask的rwx權限和其他用戶的rwx權限。而mask值則是acl中的限高線,因此在文件訪問控制過程中起到至高的作用,如下所示:

[[email protected] ~]# getfacl /testdir/dir #查看mask值為5,表示讀和執行權限

getfacl: Removing leading ‘/‘ from absolute path names

# file: testdir/dir

# owner: root

# group: root

# flags: -s-

user::rwx

group::r-x

group:g2:r-x

group:g3:r-x

mask::r-x

other::---

default:user::rwx

default:group::r-x

default:group:g2:rwx

default:group:g3:r-x

default:mask::rwx

default:other::---

[[email protected] ~]# ll -d /testdir/dir #驗證說明mask值為r和s權限

drwxr-s---+ 2 root root 21 Jul 25 12:52 /testdir/dir

[[email protected] ~]# chmod 2740 /testdir/dir #修改mask值為4,表示有r的權限

[[email protected] ~]# getfacl /testdir/dir #重新查看並驗證mask值

getfacl: Removing leading ‘/‘ from absolute path names

# file: testdir/dir

# owner: root

# group: root

# flags: -s-

user::rwx

group::r-x #effective:r—[mask限高線,只有r權限]

group:g2:r-x #effective:r—[mask限高線,只有r權限]

group:g3:r-x #effective:r—[mask限高線,只有r權限]

mask::r--

other::---

default:user::rwx

default:group::r-x

default:group:g2:rwx

default:group:g3:r-x

default:mask::rwx

default:other::---

3.acl 備份

Acl備份是通常采用備份還原方式,具體思路如下

第一:將之前文件復制一份重定向到文本中,通過—set-file=重定向文本名,然後將文本名進行還原;

第二:通過專用的的恢復策略參數,setfacl –restore文本名,恢復acl。

[[email protected] /]# getfacl -R /app/test > acl.txt #備份策略到acl.txt

getfacl: Removing leading ‘/‘ from absolute path names #進入/,確定根目錄

[[email protected] /]# cat acl.txt 不會報錯

# file: app/test

# owner: root

# group: root

user::rwx

group::r-x

other::r-x

[[email protected] /]# setfacl --set-file=acl.txt app/test #備份恢復方法1:acl.txt

[[email protected] /]# setfacl --restore acl.txt #備份恢復方法2,通過acl.txt

4.實例演示:

在/testdir/dir裏創建的新文件自動屬於g1組,組g2的成員如:alice能對這些新文件有讀寫權限,組g3的成員如:tom只能對新文件有讀權限,其它用戶(不屬於g1,g2,g3)不能訪問這個文件夾。備份/testdir/dir裏所有文件的ACL權限到/root/acl.txt中,清除/testdir/dir中所有ACL權限,最後還原ACL權限

[[email protected] ~]# useradd alice #添加用戶alice

[[email protected] ~]# useradd tom #添加用戶tom

[[email protected] ~]# groupadd g1 #創建組g1

[[email protected] ~]# groupadd g2 #創建組g2

[[email protected] ~]# groupadd g3 #創建組g3

[[email protected] ~]# groupmems -a alice -g g2 #alice加入g2

[[email protected] ~]# groupmems -l -g g2

alice

[[email protected] ~]# groupmems -a tom -g g3 #tom加入g3

[[email protected] ~]# groupmems -l -g g3

tom

[[email protected] ~]# mkdir -p /testdir/dir

[[email protected] ~]# chmod 2750 /testdir/dir #給目錄sgid和其他用戶0權限

[[email protected] ~]# chgrp g1 /testdir/dir #給目錄所屬組為g1

[[email protected] ~]# ll -d /testdir/dir

drwxr-s---. 2 root root 6 Jul 25 12:40 /testdir/dir

[[email protected] ~]# setfacl -m g:g2:rx /testdir/dir #設置目錄本身的權限,允許g2

[[email protected] ~]# su – alice 進入目錄dir

[[email protected] ~]$ cd /testdir/dir/

[[email protected] dir]$

[[email protected] ~]# setfacl -m d:g:g2:rw /testdir/dir #設置新建文件的繼承權限

[[email protected] ~]$ getfacl /testdir/dir #驗證acl設置

getfacl: Removing leading ‘/‘ from absolute path names

# file: testdir/dir

# owner: root

# group: g1

# flags: -s-

user::rwx

group::r-x

group:g2:r-x

mask::r-x

other::---

default:user::rwx

default:group::r-x

default:group:g2:rw

default:mask::rwx

default:other::---

[[email protected] ~]# touch /testdir/dir/root.txt #創建文件

[[email protected] ~]# vim /testdir/dir/root.txt #編輯文件

[[email protected] ~]# ll /testdir/dir/ #驗證文件權限

total 8

-rw-rw----+ 1 root root 17 Jul 25 12:52 root.txt

[[email protected] ~]# su – alice #切換用戶alice

Last login: Tue Jul 25 12:51:32 HKT 2017 on pts/3

[[email protected] ~]$ cat /testdir/dir/root.txt #查看文件可讀

welcome to xi‘an

[[email protected] ~]$ vim /testdir/dir/root.txt #查看文件可寫

[[email protected] ~]$ cat /testdir/dir/root.txt

welcome to xi‘an

xi‘an is a old city

[[email protected] ~]# setfacl -m g:g3:rx /testdir/dir #設置g3對/testdir/dir權限

[[email protected] ~]# setfacl -m d:g:g3:rx /testdir/dir #設置文件繼續權限

[[email protected] ~]# getfacl /testdir/dir #查看驗證其acl屬性

getfacl: Removing leading ‘/‘ from absolute path names

# file: testdir/dir

# owner: root

# group: g1

# flags: -s-

user::rwx

group::r-x

group:g2:r-x

group:g3:r-x

mask::r-x

other::---

default:user::rwx

default:group::r-x

default:group:g2:rw

default:group:g3:r-

default:mask::rwx

default:other::---

[email protected] ~]# su - xuewb

Last login: Tue Jul 25 12:55:36 HKT 2017 on pts/3

[[email protected] ~]$

[[email protected] ~]$ cd /testdir/dir/ #驗證其他非g2和g3組用戶,無法進入dir目錄

bash: cd: /testdir/dir/: Permission denied

[[email protected] ~]# getfacl -R /testdir/dir/ > acl.txt #備份acl

[[email protected] ~]# setfacl -R -b /testdir/dir #清空acl

[[email protected] ~]# getfacl /testdir/dir #驗證是否清空acl

getfacl: Removing leading ‘/‘ from absolute path names

# file: testdir/dir

# owner: root

# group: g1

# flags: -s-

user::rwx

group::r--

other::---

[[email protected] ~]# setfacl --set-file=acl.txt /testdir/dir #恢復acl設置


本文出自 “11831715” 博客,請務必保留此出處http://11841715.blog.51cto.com/11831715/1960278

Linux 訪問控制acl

相關推薦

Linux 訪問控制acl

linux acl設置Linux:ACL設置目錄: 1. acl設置 2. mask值 3. acl備份 4. 實例演示 1.acl設置Acl是關聯用戶和文件或目錄的訪問控制,因此對用戶而言,可以具體分為兩類,用戶和組;對文件而言可以分為文件和目錄;對繼承而言,可以分為默認繼承權限和非繼承權限,從語法上講d表

文件系統訪問控制ACL設置

linu acc href -m nbsp ont 系統 def grep 1、傳統Linux文件系統權限的問題傳統Linux文件系統有三類用戶:文件屬主-u,組用戶-g,其它用戶-o,以及三種訪問權限:讀-r,寫-w,執行或目錄進入-x,但很多時候並不能滿足對文件訪問的細

Linux 訪問控制列表

簡介 隨著應用的發展,傳統的Linux檔案系統許可權控制無法適應複雜的控制需求,

負載均衡服務之HAProxy訪問控制ACL

  前文我們聊到了haproxy的錯誤頁的配置,自定義日誌的配置,回顧請參考https://www.cnblogs.com/qiuhom-1874/p/12797913.html;今天我們主要來看看haproxy的訪問控制的實現;   ACL(access control list)翻譯過來就是訪問控制列表;

linux acl訪問控制列表系統整理

acl mask 權限掩碼 acl######文件的訪問控制(acl)##########################

Cisco之訪問控制列表(ACL

cisco acl 訪問控制列表(ACL)是應用在路由器接口的指令列表(即規則),這些規則表用來告訴路由器,哪些數據包可以接收,哪些包需要拒絕。其基本原理如下:ACL使用包過濾技術,在路由器上讀取OSI七層模型的第三層和第四層包頭中的信息,如源地址、目的地址、源端口、目的端口等,根據預先定義的規則,對包

訪問控制列表ACL的配置與應用

訪問控制列表 標準acl 擴展acl 楊書凡 命名acl 訪問控制列表(Access Control List,ACL)是應用在路由器接口的指令列表(即規則)。這些指令列表用來告訴路由器,哪些數據包可以接收,哪些數據包需要拒絕。其基本原理如下:ACL使用包過濾技術,在路由器上讀取OS

路由交換基礎(四)——ACL訪問控制列表

per not 由器 地址 同時 擴展 數據包 而不是 需要 一、ACL1.作用訪問控制列表(Access Control List),是路由器和交換機接口的指令列表,用來控制端口進出的數據包。ACL可以過濾網絡中的流量,是控制訪問的一種網絡技術手段。配置ACL後,可以限制

security 01: Linux基本防護 、 用戶切換與提權 、 SSH訪問控制 、 總結和答疑

add orm ati sgi star 數字簽名 安全 roo 輸入 LINUX安全與監控 6天LINUX安全 3天LINUX監控 3天+++++++++++++++++++++++++什麽安全? 保護維護的服務器不受到攻擊和破壞 攻擊和破壞手段? 技術性非技術

華為-ACL訪問控制列表

華為 ACL 高級ACL 基本ACL ACL:access list 訪問控制列表 acl 兩種:基本acl(2000-2999):只能匹配源ip地址。 高級acl(3000-3999):可以匹配源ip、目標ip、源端口、目標端口等三層和四層的字段。 四個註意事項:註1:一個接口的同一個方

【華為HCNA】訪問控制列表ACL實例配置

華為訪問控制列表ACL案例配置 華為ACL訪問控制列表實例配置 華為ACL應用 ACL訪問控制列表 ACL應用場景 【華為HCNA】訪問控制列表ACL實例配置 ACL的概念訪問控制列表ACL(Access Control List)可以定義一系列不同的規則,設備根據這些規則對數據包進行分類

(轉)詳解Linux中SSH遠程訪問控制

體系 字符 配置文件 art 文件 優先 class 遠程訪問 安全 詳解Linux中SSH遠程訪問控制 原文:http://blog.51cto.com/dengqi/1260038 SSH:是一種安全通道協議,主要用來實現字符界面的遠程登錄,遠程復制等功能(使用TCP的

Azure終結點訪問控制列表ACL

雲計算 雲平臺 對於公有雲來說,用戶最關心的莫過於安全方面的問題了。借助本文,我們來了解下Azure中的訪問控制列表。首先我們來看下什麽是終結點訪問控制列表ACL?終結點訪問控制列表 (ACL) 是可用於 Azure 部署的安全增強。 利用 ACL,可以選擇允許還是拒絕虛擬機終結點的流量。 此數據包篩

Linux文件權限與訪問控制

Linux學習Linux文件權限與訪問控制 訪問文件用戶3類: 文件所有者 同組成員 其他人 權限--- --- --- (rwx) 依次對應3類用戶 file:6rw 4r 0 x1 dir: 7rwx 5r-x 0 默認權限 umask內部命令 用來生成數字 umask+defau

Linux學習總結(四十二)lnmp訪問控制

lnmp 防盜鏈 訪問控制 反向代理 1 nginx 配置防盜鏈 防盜鏈的原理我們在lamp中已經有介紹,這裏不再重復,直接看配置過程。核心語句為 valid_referers none blocked server_names *.test.com ; if ($invalid

Linux FACL(文件訪問控制列表)

場景 獲得 ask set file bsp 取消 文件 Owner 文件有三種權限   屬主權限 屬組權限 其他權限 現在有這樣一個場景,用戶 A 想把文件共享給不是同組內用戶 B ,而又不想修改其他權限,這時候 FACL 就起作用了 FACL可以給文件添加一個拓展

Linux學習命令匯總九——任務計劃調度atd,crond及文件訪問控制列表

atd crontab linux任務計劃 facl 文件訪問控制列表 本章Blog相關Linux知識點linux 任務計劃: 一次性任務計劃命令: at ,batch ,依賴進程atd 周期性任務計劃命令:crontab ,anacron ,依賴進程crondat,batc

第十三章 IP訪問控制列表(ACL

ACL第十三章 IP訪問控制列表(ACL)為什麽要使用訪問列表管理網絡中逐步增長的 IP 數據當數據通過路由器時進行過濾訪問列表的應用允許、拒絕數據包通過路由器允許、拒絕Telnet會話的建立沒有設置訪問列表時,所有的數據包都會在網絡上傳輸什麽是訪問列表--(標準,擴展)標準檢查源地址通常允許、拒絕的是完整的

acl訪問控制列表

acl訪問控制列表(Access Control List,ACL) 是路由器和交換機接口的指令列表,用來控制端口進出的數據包。ACL適用於所有的被路由協議,如IP、IPX、AppleTalk等。信息點間通信和內外網絡的通信都是企業網絡中必不可少的業務需求,為了保證內網的安全性,需要通過安全策略來保障非授權用

MAC訪問控制機制在Linux系統中的實現:SELinux

SELinuxSELinux全稱:Security-Enhanced Linux,安全加強的Linux;SELinux系統的本來名稱為MAC:強制訪問控制;SELinux就是MAC訪問控制機制在Linux系統中的實現; 操作系統安全等級標準(橙皮書): D級別(最低安全級別) C級別:C1,