Linux_ACL权限、mask值

小丫2年前技术文章643

acl权限在什么情况下使用:
当要给一个用户与文件的属主、属组、其他人权限都不同的时候使用。也就是说,这个用户对应于这个文件不属于三个身份中的任何一种,是属于第四种身份,那么我们就需要使用acl权限去给他赋予单独的权限。


facl ——文件的访问控制列表


使用facl:


 getfacl 文件名			//查看文件的facl权限
 setfacl -m u:用户名:权限 文件名			//修改当前文件的acl权限
 ll  文件名
 -rwxrwxrw-+ 1 jack root 86 Jun 13 15:53  文件名     //在低11个字符处若有“+”,则说名文件有acl权限。
 setfacl -x u:jack 文件名         //删除jack对文件的属主权
 setfacl -b 文件名     //移除所有用户、组、其他的权限


setfacl其他用法:


用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m,       --modify-acl 更改文件的访问控制列表
-M,       --modify-file=file 从文件读取访问控制列表条目更改
-x,       --remove=acl 根据文件中访问控制列表移除条目
-X,       --remove-file=file 从文件读取访问控制列表条目并删除
-b,       --remove-all 删除所有扩展访问控制列表条目
-k,       --remove-default 移除默认访问控制列表
          --set=acl 设定替换当前的文件访问控制列表
          --set-file=file 从文件中读取访问控制列表条目设定
          --mask 重新计算有效权限掩码
-n,       --no-mask 不重新计算有效权限掩码
-d,       --default 应用到默认访问控制列表的操作
-R,       --recursive 递归操作子目录
-L,       --logical 依照系统逻辑,跟随符号链接
-P,       --physical 依照自然逻辑,不跟随符号链接
          --restore=file 恢复访问控制列表,和“getfacl -R”作用相反
          --test 测试模式,并不真正修改访问控制列表属性
-v,       --version           显示版本并退出
-h,       --help              显示本帮助信息


实例:


[root@erhou ~]# getfacl file1
# file: file1
# owner: jack
# group: root
user::rwx
group::rwx
other::rw-

[root@erhou ~]# setfacl -m u:tom:rx file1

[root@erhou ~]# ll file1
-rwxrwxrw-+ 1 jack root 86 Jun 13 15:53 file1

[root@erhou ~]# getfacl file1
# file: file1
# owner: jack
# group: root
user::rwx
user:tom:r-x
group::rwx
mask::rwx
other::rw-

[root@erhou ~]# setfacl -x u:tom file1

[root@erhou ~]# ll file1
-rwxrwxrw-+ 1 jack root 86 Jun 13 15:53 file1

[root@erhou ~]# getfacl file1
# file: file1
# owner: jack
# group: root
user::rwx
group::rwx
mask::rwx
other::rw-

[root@erhou ~]# setfacl -b file1

[root@erhou ~]# ll file1
-rwxrwxrw- 1 jack root 86 Jun 13 15:53 file1

[root@erhou ~]# getfacl file1
# file: file1
# owner: jack
# group: root
user::rwx
group::rwx
other::rw-


mask 权限,指的是用户或群组能拥有的最大 ACL 权限,也就是说,给用户或群组设定的 ACL 权限不能超过 mask 规定的权限范围,超出部分做无效处理。


举个例子,如果像上面命令那样,给 tom用户赋予访问 file1的 r-x 权限,此时并不能说明 tom 用户就拥有了对该文件的读和访问权限,还需要和 mask 权限对比,r-x 确实是在 rwx 范围内,这时才能说 tom用户拥有 r-x 权限。


需要注意的是,这里将权限进行对比的过程,实则是将两权限做“按位相与”运算,最终得出的值,即为 tom用户有效的 ACL 权限。这里以读(r)权限为例,做相与操作的结果如表 1 所示:


读权限做相与操作


A 	B 	and
r 	r 	r
r 	- 	-
- 	r 	-
- 	- 	-


但是,如果把 mask 权限改为 r--,再和 tom 用户的权限 r-x 比对(r-- 和 r-w 做与运算),由于 r-w 超出 r-- 的权限范围,因此 tom 用户最终只有 r 权限,手动赋予的 w 权限无效。这就是在设定 ACL 权限时 mask 权限的作用。


大家可以这样理解 mask 权限的功能,它将用户或群组所设定的 ACL 权限限制在 mask 规定的范围内,超出部分直接失效。


mask 权限可以使用 setfacl 命令手动更改,比如,更改 file1文件 mask 权限值为 r-x,可执行如下命令:


[root@ergou ~]# setfacl -m m:rx file1
#设定mask权限为r-x,使用"m:权限"格式


[root@ergou ~]# getfacl file1
#file:file1
#owner: jack
#group: root
user::rwx
group::rwx
mask::r-x  <--mask权限变为r-x
other::---


不过,我们一般不更改 mask 权限,只要赋予 mask 最大权限(也就是 rwx),则给用户或群组设定的 ACL 权限本身就是有效的。


相关文章

数据湖技术之iceberg(十三)Iceberg与Hudi对比

Iceberg和Hudi都是数据湖技术,从社区活跃度上来看,Iceberg有超越Hudi的趋势。他们有以下共同点:l   都是构建于存储格式之上的数据组织方式l &nbs...

CDH实操--集群ip替换

CDH实操--集群ip替换

1 背景恰逢机房迁移,自建CDH集群需要调整ip网段。。。2 操作步骤2.1 停止CDH集群2.1.1 控制台停止集群服务2.1.2 控制台停止Cloudera Management Ser...

keycloak部署和使用

keycloak部署和使用

简介Keycloak是一个开源软件产品,旨在为现代的应用程序和服务,提供包含身份管理和访问管理功能的单点登录工具。截至2018年3月,红帽公司负责管理这一JBoss社区项目,并将其作为他们RH-SSO...

Centos系统支持TLS 1.3

Centos系统支持TLS 1.3

一、背景1、生产的 CentOS 7 服务器需要启用 TLS 1.32、Openssl介绍OpenSSL 是用于传输层安全性 (TLS) 和安全套接字层 (SSL) 协议的强大、商业级且功能齐全的工具...

MySQL运维实战(5.2) MySQL charset基本概念

mysql多字符集mysql支持多字符集。一个数据库中可以存储不同字符集的数据,一个表的不同字段可以使用不同的字符集。mysql> show character s...

RBAC

RBAC

API 对象在学习 RBAC 之前,我们还需要再去理解下 Kubernetes 集群中的对象,我们知道,在 Kubernetes 集群中,Kubernetes 对象是我们持久化的实体,就是最终存入 e...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。