ea/acl访问控制系统介绍

来源：Linux-cn.com 作者：Webmaster 时间：2007-05-05 点击： [收藏] [投稿]

5)安装star。Star是一个类似于tar，支持ACL的快速归档工具。

# rpm --rebuild star-1.5a03-2.src.rpm
# rpm -Uhv /usr/src/redhat/RPMS/i386/

1.4.安装完成之后的设置

　　如果使用0.8.50版本的EA/ACL内核补丁，内核重新启动之后不会自动打开ACL功能，我们需要使用acl或者user_xattr选项mount文件系统才能使ACL生效。例如，笔者系统的/home目录位于/dev/hda7分区，我可以使用如下命令使/home分区支持访问控制列表：

# mount -o remount,acl /dev/hda7

　　为了方便使用（毕竟每次重新启动系统都是用手工打开ACL是很麻烦的），可以直接修改/etc/fstab文件，还是以笔者的系统为例，下面/etc/fstab文件的节选：

LABEL=/		/		ext2		defaults	1 1
LABEL=/boot	/boot		ext2		defaults        1 2
LABEL=/home	/home		ext3		defaults        1 2
LABEL=/usr	/usr		ext3		defaults        1 2

　　如果需要使这几个分区支持文件系统的扩展属性和访问控制列表，只要在选项栏加入acl选项，然后执行#mount -remount -a命令即可：

LABEL=/		/		ext2		defaults,acl	    1 1
LABEL=/boot	/boot		ext2		defaults,acl        1 2
LABEL=/home	/home		ext3		defaults,acl        1 2

LABEL=/usr	/usr		ext3		defaults,acl        1 2

2.Linux EA/ACL的语法

　　安装了ACL系统之后，系统中的每个对象（文件和目录）都有一个ACL项目控制对这个目标的访问。每个目录之内所有对象的初始访问控制由目录的默认ACL项目决定。

　　每个ACL项目由一系列ACL规则组成，这些规则设置单独用户或者一组用户对目标的访问权限，包括：读、写和搜索/执行。每个ACL条目被冒号分为三个部分：规则标签类型（tag type）、规则限制符（qualifier）和访问权限（access permission）。规则标签类型包括以下关键词：

user--以user关键词开头的ACL规则设置对象拥有者或者其他用户对对象的访问权限。例如：

user::rw-			表示对象拥有者的访问权限；
user:nixe0n:r--		表示用户nixe0n拥有读对象的权限。

group--设定某个用户组对对象的访问权限。例如：

group::rw-			表示用户所在用户组拥有读写权限；
group:linuxaid:r--	表示属于linuxaid组的用户拥有读权限。

mask--以mask关键词开头的ACL规则用来限制赋予用户的最大访问权限，对象拥有者除外。例如：

user::rw- 
user:nixe0n:rw-     	#有效的是user:nixe0n:r--
group::rw-          	#有效的是group:r--
group:linuxaid::rw- 	#有效的是group:linuxaid:r--
mask::r--
other::r--

other--指定其他用户对对象的访问权限。

　　每条ACL规则的第二部分是包含用户或者用户组识别符。用户识别符可以是用户名或者十进制的用户ID号；用户组识别符可以是用户组名或者十进制的用户组ID号。空白表示对象的拥有者或者拥有者所在的用户组。

　　第三部分是对对象的访问权限。读、写和搜索（目录）/执行（文件）分别由x、w和x代表，和通常使用的权限表示方法完全相同。对应的权限被-代替表示不具有此权限。

　　除了以上的关键词之外，还有一个只用于目录的关键词default。由default关键词修饰的ACL条目表示目录下所有子目录和文件的默认访问控制列表。

　　为了方便，还有一种简化的ACL规则表示方式。user可以用u代替；g表示group；m表示mask；o表示other。简化方式的访问控制列表，条目之间使用逗号分割。这种表示方式为命令行设置访问控制列表提供了很大的便利。例如：

$setfacl -m \
u::rw-,u:floatboat:rw-,g::r--,g:nixe0n:rw-,m::r--,o::r-- foo.txt

3.访问控制列表的维护

　　ACL生效之后，在使用ls -l命令罗列文件时，你会看到具有访问控制规则的目录或者文件的权限域会有一个加号(+)。例如，在打开ACL功能之前的文件如下所示：

[nixe0n@nixe0n nixe0n]$ ls -l
-rw-rw-r--    1 nixe0n   nixe0n      11331 09-12 20:02 exam.txt

　　使ACL功能生效之后，ls -l命令得到如下结果：

[nixe0n@nixe0n nixe0n]$ ls -l
-rw-rw-r--+   1 nixe0n   nixe0n      11331 09-12 20:02 exam.txt

3.1.setfacl

　　setfacl工具设置文件和目录的访问控制列表，支持对ACL规则的设置（-s/-S）、修改（-m/-M）和删除（-x/-X）。我们可以使用自己喜欢的编辑器按照ACL语法事先编写好某个对象的访问控制列表，然后使用大写的命令行选项进行设置或者修改操作；我们也可以使用小写命令行选项直接修改对象的访问控制规则，例如：

[nixe0n@nixe0n nixe0n]$ setfacl -m -m \
u::rw-,u:floatboat:rw-,g::r--, - exam.txt

如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<

上一篇：流量控制系列手册页：tc-cbq 下一篇：DNS服务器配置

【文章评论】【收藏本文】【推荐好友】【打印本文】【我要投稿】【论坛讨论】

更多相关文章

·Motorola微处理器bootloader分析与应用

·Fedora Core5 NFS服务器搭建过程介绍

·Linux系统：让内存不再泄漏的实用技巧

·新手看招手把手教你安装VMware虚拟机

·“侵权事件” 红帽称微软企图干扰用户

·删除Linux后如何找回Windows启动菜单

·菜鸟乐园 Linux中常见文件系统格式介绍

·Linux操作系统下IPTables配置方法详解

·实用技巧 Linux系统的经典使用技巧八则

·Linux系统文件优化及磁盘检查方法介绍