【摘要】

对于Linux的文件权限控制，我们并不能像windows那样灵活设置多个用户的访问权限，普遍使用的UGO权限管理方式只能对属主、同组用户和其他组用户进行权限管理，很难对每个用户或用户组进行权限管理。ACL就是为了这种局限性而生的。

ACL(Access Control List,访问控制列表)，它是对UGO权限管理的方式进行了扩展，可以对任意的用户/组分配读、写和执行权限。

本文转自-学领未来

一UGO权限管理

当一个文件创建后，它具有读(r)、写(w)、执行(x)三种操作方式。UGO权限管理方式将访问文件的操作者简单分为三类：文件属主(u)、同组用户(g)与其他组用户(o)。

文件的三种操作方式用三个二进制位表示，第一位表示读权限，第二位表示写权限，第三位表示执行权限。一个文件的权限属性就是有三类用户对该文件的权限使能的集合。当我们用ls查看一个文件的时候，会显示如下结果：

[root@racdg /]# touch test

[root@racdg /]# ll

-rwxr-xr--    2 root root  4096 Dec 28 13:13 test

最前面的’-’，表示文件为目录类型

第一组的‘rwx’，表示文件属主对文件具有读、写和执行权限

第二组的‘r-x’，表示同组其他用户对文件具有读和执行权限，但没有写权限

第三组的’r--’，表示其他组用户对文件具有读权限，但没有写权限和执行权限

这个时候其他用户是不能对这个文件进行修改的，尝试使用Oracle用户进行修改：

[oracle@racdg ~]$ id oracle

uid=202(oracle) gid=201(oinstall) groups=201(oinstall),202(dba)

[oracle@racdg ~]$ vim test

E45: 'readonly' option is set (add ! to override)

按照一般的方法，我们可以使用chmod和chown命令对该文件权限进行修改，但是如果涉及多个用户，而且要求对一部分用户只有只读权限，另一部分用户有读写权限的时候，就会发现权限位是不够的，那么这个时候就可以使用ACL了。

二ACL权限管理

首先看一下几种类型

类型

定义

ACL_USER_OBJ

文件属主的权限

ACL_USER

额外用户的权限

ACL_GROUP_OBJ

文件属组的权限

ACL_GROUP

额外组的权限

ACL_MASK

ACL_USER、ACL_GROUP_OBJ,ACL_GROUP的最大权限

ACL_OTHER

其他组的权限

设置ACL的命令是setfacl，-m选项表示修改acl规则：

使用方式是# setfacl  -m {u|g}:{user|group}:rwx file

u表示设置ACL_USER的权限，g表示修改ACL_GROUP的权限

查看当前test文件的属性：

[root@racdg tmp]# getfacl test

# file: test

# owner: root

# group: root

user::rw-

group::r--

other::r—

现在将文件的读、写、执行权限授予Oracle用户，同时不修改该文件的属主、属组。

[root@racdg tmp]# setfacl -m u:oracle:rwx test

[root@racdg tmp]# ll

-rw-rwxr--+ 1 root root    8 Dec 28 13:36 test

[root@racdg tmp]# getfacl test

# file: test

# owner: root

# group: root

user::rw-                    //ACL_USER_OBJ

user:oracle:rwx             //ACL_USER

group::r--                   //ACL_GROUP

mask::rwx                    //ACL_MASK

other::r—                    //ACL_OTHER

这个时候oracle就可以对这个文件进行读写操作了。

可以看到，当设置ACL规则后，ls查看权限位，在权限位后增加了一个’+’号，这个也方便我们以后在判断文件权限的时候做个参考。

ACL权限删除：

[root@racdg tmp]# setfacl -x u:oracle test

[root@racdg tmp]# getfacl test

# file: test

# owner: root

# group: root

user::rw-

group::r--

mask::r--

other::r--

三应用场景

最近在客户处接到个需求，就是搭建一个sftp服务器供文件的读取和下载，但是每个用户的权限不尽相同。如图，A用户需要对fileA有读写权限，对fileB有读权限；B用户需要对fileB有读写权限，对fileA有读权限；而C用户需要对fileA和fileB都要有读权限。对于这个需求，我曾经尝试通过用户组的方式控制权限，但是绞尽脑汁还是满足不了需求，然后通过ACL的方式，几条命令就解决了一开始以为非常棘手的问题：

[root@racdg tmp]# setfacl -R -m u:userA:rwx fileA

[root@racdg tmp]# setfacl -R -m u:userA:rx fileB

[root@racdg tmp]# setfacl -R -m u:userB:rwx fileB

[root@racdg tmp]# setfacl -R -m u:userB:rx fileA

[root@racdg tmp]# setfacl -R -m u:userC:rx fileA

[root@racdg tmp]# setfacl -R -m u:userC:rx fileB