ACL(访问控制列表)权限管理 | 学习笔记(二)

本文涉及的产品
访问控制,不限时长
简介: 快速学习ACL(访问控制列表)权限管理。

开发者学堂课程【Linux用户和组管理ACL(访问控制列表)权限管理学习笔记,与课程紧密联系,让用户快速学习知识.

课程地址:https://developer.aliyun.com/learning/course/580/detail/7997


ACL(访问控制列表)权限管理


内容介绍

一.ACL权限

二.rwx权限

三.mask权限

四.ACL备份和恢复


三.mask权限

1.概念

ACL文件上的group权限是mask值(自定义用户,自定义组,拥有组的最大权限),而非传统的组权限

getfacl 可看到特殊权限:flags

通过ACL赋予目录默认x权限,目录内文件也不会继承x权限base ACL不能删除

setfacl -k dir 删除默认ACL权限

setfacl -b file1清除所有ACL权限

getfacl file1 | setfacl --set-file=- file2复制file1的acl权限给file2

2.Mask

[root@centos7 dir]#setfacl -m u:wang : rw f1

[root@centos7 dir]#getfacl f1

#file:f1

#owner: root

#group: root

user : : rw-

user:wang : rw-

group : :r—

[root@centos7 dir]#11f1

-rw-rwr--+ 1 root root 595 sep 28 11:02 f1

[root@centos7 dir]#chomd o= f1

[root@centos7 dir]#11f1

-rw-rw--—-+ 1 root root 595 sep 28 11:02 f1

[root@centos7 dir]#getfaclf1

#file:f1

#owner: root#

group: root

user: : rw-

user:wang : rw-

group : :r—

mask : : rw-

other : :---

root@centos7 dir]#id mage

uid=1001(maae)qid=1001(mage)groups=1001(mage),1002(webs)

[root@centos7 dir]#usermod -G "" mage

[root@centos7 dir]#id mage

uid=1001(mage) gid=1001(mage) groups=1001(mage)

[root@centos7 dir]#11f1

rw-rw----+1 root root_595 sep 28 11:02 f1

[root@centos7 dir]#getfal f1

#file:f1

#owner: root#

group: root

user: : rw-

user:wang : rw-

group : :r—

mask : : rw-

other : :---

mask权限

[root@centos7 dir]#setfacl -m u : mage : rwx f1

[root@centos7 dir]#11f1

-rw- rwx-—-+ 1 root root 595 sep 28 11:02 f1

[root@centos7 dir]#getfacl f1

# file:f1

#owner:root#

group: root

user: : rw-

user: wang : rw-

user:mage : rwx

group: :r--

other::---

[ root@centos7 dir]#id mage

id-1001(maae) aid=1001(mage) groups=1001(mage) ,0(root)

[ root@centos7 dir]#

此时到底是root组权限生效,还是mage权限生效,此时能看到也能写进东西,说明此时是mage权限生效了。相当于所属者权限不起作用。

3.Mask的用法

由于wang用户,mage用户以及添加的新组权限都比较大,所以可以通过mask命令将其变小。

[root@centos7 dir]#setfacl -m g: webs : rwx f1

[root@centos7 dir]#getfacl f1

#file: f1

#owner: root

#group: root

user : : rw-

user:wang : rw-

user:mage : rwx

group: :r—

group : webs : rwx

mask : : rwx

other : :---

[root@centos7 dir]#setfacl -m mask : : r f1[root@centos7 dir]#getfacl f1

#file: f1

#owner: root

#group: root

user: : rw-  

user:wang : rw-                          #effective: r—

user:mage : rwx                           #effective: r—

group: :r—

group : webs : rwx入                      #effective:r—

mask: : r—

other : : ---

#effective: r—为限高线,调高限高线

[root@centos7 dir]#chmod g=rw f1

[root@centos7 dir]#getfac1f1

#file: f1

#owner: root

# group: roo

tuser: : rw-

user:wang : rw-

user:mage : rwx                       #effective : rw-

group : :r—

group : webs : rwx                    #effective : rw-

mask: :rw-

other : :---

4.getfacl file1 | setfacl --set-file=- file2复制file1的acl权限给file2

[root@centos7 dir]#11f2

-rw-r--r-- 1 root_root 595 sep 28 11:02f2

[root@centos7 dir]#getfaclf1

[root@centos7 dir]#getfacl f1 >f1.acl

[root@centos7 dirj#cat f1.acl

[root@centos7 dir]#setfacl --set-file=f1.acl f2

[root@centos7 dirj#cat f1.acl

5.应用

mask只影响除所有者和other的之外的人和组的最大权限

Mask需要与用户的权限进行逻辑与运算后,才能变成有限的权限(EffectivePermission)

用户或组的设置必须存在于mask权限设定范围内才会生效   setfacl -m mask:rx file

--set选项会把原有的ACL项都删除,用新的替代,需要注意的是一定要包含UGO的设置,不能象-m一样只是添加ACL就可以

示例:setfacl --set u::rw,u:wang:rw,gr,o:-file1

6.--set选项

[root@centos7 dir]#setfacl --set u::r,g::0,0::-,u:zhang:rwf1

[root@centos7 dir]#getfacl f1


四.ACL备份和恢复

主要的文件操作命令cp和mv都支持ACL,只是cp命令需要加上-p参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息

getfacl -R /tmp/dir1 > acl.txt

setfacl -Rrb /tmp/dir1

setfacl -R --set-file=acl.txt /tmp/dir1

setfacl --restore acl.txt

getfacl -R /tmp/dir1

1.ACL操作中遇到的问题

ACL权限丢失

[root@centos7 dir]#cp f1 f11

[root@centos7 dir]#getfaclf11

#fi1e: f11

#owner: root

#group: root

user: : r—

group: : r—

other: :---

2.解决

采用备份和还原ACL

[root@centos7 data]#getfacl -R dir > /root/dir.ac1

[root@centos7 dataj#setfacl-Rb dir

[root@centos7 dataj#getfacl -R

还原

[root@centos7 data]#getfacl --restore/root/dir.ac1

[root@centos7 dataj#getfacl dir

命令

Getfal

Setfacl

Mask

Chatter

Lsatter

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
关系型数据库 Shell Linux
ACL(访问控制列表)权限管理
一、ACL权限 二、rwx权限 三、mask权限 四、ACL备份和恢复
|
3月前
|
网络协议 网络虚拟化 数据安全/隐私保护
访问控制列表(ACL)配置
访问控制列表(ACL)配置
访问控制列表(ACL)配置
|
3月前
|
安全 网络协议 数据安全/隐私保护
访问控制(ACL)原理详解
访问控制(ACL)原理详解
120 0
访问控制(ACL)原理详解
|
安全 网络协议 网络安全
访问控制列表(ACL)
访问控制列表(ACL)
291 0
|
网络协议 数据安全/隐私保护 网络架构
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
213 0
CCNA-ACL(访问控制列表)标准ACL 扩展ACL 命名ACL(上)
|
网络协议 数据安全/隐私保护 网络架构
访问控制列表(二)入门
传输层两个重要协议TCP和UDP,本章将详细介绍其首部格式,TCP连接建立与终止的过程。
121 0
访问控制列表(二)入门
|
Linux Shell 数据安全/隐私保护
|
关系型数据库 Shell Linux
ACL(访问控制列表)权限管理 | 学习笔记(一)
快速学习ACL(访问控制列表)权限管理。
|
数据安全/隐私保护
用户组权限和ACL访问控制列表
又到了要写博客的时间,虽然没啥写的?但是,赶鸭子上架吧!写得不好之处请多多包涵! 一 用户组权限 1.修改文件的所属用户时,用户一定是已经存在的,否则修改不了。我经常会忽视这个! 2.chown 普通用户无权限  chgrp普通用户属于的组,就有修改这个组的权限。
1464 0
|
网络协议 数据安全/隐私保护 网络架构