服务展示

服务展示
<<返回上一页

一文看懂Linux访问控制列表

发布时间:2024-11-15 04:32:45点击:

本文介绍了Linux访问控制列表(ACL),它相比标准的Linux权限提供了更大的灵活性。

经常在Linux与微软Windows之间快速切换的一些人认识到两者之间根本性的区别。其中一个区别是权限。标准的Linux权限非常简单:指定一个用户、一个用户组,然后指定其他任何用户或用户组(称为“others”),并根据需要授予读取、写入和执行等权限。Windows的权限则要复杂得多,有嵌套、更多的访问级别和共享(Share)权限组合。然而从许多方面来看,Windows权限在大规模环境下更灵活、更实用。

本文介绍Linux访问控制列表(ACL),它相比标准的Linux权限提供了更大的灵活性。我将讨论为多个独立用户和多个用户组查看和配置ACL。你选择的Linux发行版很可能已经启用了ACL(ACL实际上是文件系统的一项功能)。

你可以使用chmod命令来配置标准的Linux权限。该命令可以设置以下三种访问级别的任意组合:读取、写入和执行。你可以将这些访问级别授予三种身份:

图1:ls -l命令显示标准权限、所有权和组关联

对于用户和用户组较少的独立系统而言,这种方法绰绰有余。然而,在共享系统、启用了文件共享功能的系统或SSH远程访问频繁的设备上,这种方法却变得非常麻烦又笨拙。

这时候文件系统ACL功能就能派上用场。它允许你配置具有不同访问级别的多个用户及/或用户组。

ACL允许你指定多个用户帐户,并为它们提供不同的访问级别。这也意味着你不必将文件的所有权授予其中一个用户。它为用户组提供了同样的灵活性。

ACL仍然可以识别读取、写入和执行这三个标准访问级别,因此你不必重新学习已经了解的关于Linux权限的所有知识。实际上,ACL与标准权限协同工作,因此你仍将使用基本的用户(u)、用户组(g)和其他(o)等身份。你是在补充常规权限,而不是替换常规权限。

今天的现代Linux发行版通常默认情况下支持ACL。ACL是文件系统的一项功能。标准的文件系统是ext4、XFS和Btrfs。它们都支持ACL。

你可能不需要检查自己的Linux发行版是否支持ACL,但是如果你想确认,可以使用以下命令:

tune2fs -l /dev/sda1 | grep -i "Default mount options"

预计输出中会看到列出的acl。

图2:tune2fs命令显示文件系统设置,包括是否启用了ACL

注意,如果针对资源配置了ACL,ls -l输出将显示+字符。在下面这个例子中,ACL被应用到file1.txt。

图3:注意file1.txt的权限字符串末尾的+字符,表示应用了ACL

ACL配置命令是setfacl。它依赖标准的Linux命令语法:

command -options argument

参数将是你应用访问控制的那个文件或目录。

setfacl命令有很多选项。以下列表含有一些最常见的选项:

然而,setfacl还依赖其他参数来定义新的访问控制是否应用于用户或用户组。

如果结合起来,这些设置允许管理员实现极其可靠而实用的权限配置。

下面的命令示例简要介绍了如何使用setfacl。后面会介绍更具体的示例。

如果为用户django配置ACL,将读取(r)权限授予sample.txt资源,请输入:

setfacl -m u:django:r sample.txt

针对用户组engineering的类似示例,如下所示:

setfacl -m g:engineering:r sample.txt

一旦你配置了ACL设置,需要检查它们以确保它们是正确的。这时候getfacl命令就有了用武之地。

用于管理ACL的另一个相关命令是getfacl,它可以显示当前的ACL设置。

基本语法是getfacl和你想要查看的那个文件或目录名:

getfacl / dev-projects

然而与大多数Linux命令一样,getfacl支持许多有用的选项来修改输出。这些包括:

在审计或配置访问控制时,使用getfacl检查ACL设置。

图4:getfacl命令显示标准设置和ACL设置

下面你将看到ACL的两个用例,包括场景和相关命令。考虑一下在你的环境中类似的情况会如何发生。

我将从一个简单的示例开始入手:sales组对于/sales目录需要拥有rwx权限,marketing组应该只有r-x权限。其他人不需要访问。(请记住,这些组需要执行权限才能cd到目录中。)

先向销售组授予标准的rwx权限:

chown –R : sales /saleschmod – r 770 /sales
setfacl -m g:marketing:r-x /sales

请记住,ACL与标准权限协同工作,因此不要忘记使用ls -l命令用于这两个系统。除了显示ACL条目外,getfacl命令还显示标准权限。

想象另一种情况,你需要为不同的用户和组授予不同的访问级别。假设你有一个/dev-projects目录,需要满足以下要求:

标准权限无法满足这类需求,但ACL可以轻松满足。

chown -R root:developers /dev-projectschmod - R 770 /dev-projects

接下来,为额外用户和用户组配置ACL条目:

setfacl -R u:alex:r-x /dev-projectssetfacl -R u:silas:r-x /dev/projectssetfacl -R g:contract-dev-team:r-x /dev/projects

通过使用getfacl和ls -l显示设置来检查结果。

访问控制列表(ACL)扩展了Linux权限的功能,允许对不同的用户和用户组授予不同的访问级别。虽然这使故障排查起来变得更复杂了,但为了增强灵活性是值得的。

ACL功能是文件系统的一项功能。今天的现代文件系统支持ACL,可能已经启用了它。确保创建一种根据访问需求组织资源、从而有效地利用ACL的目录基础设施。一般来说,销售团队所需的一切资源都应该存在于一个父目录中,营销团队所需的一切资源都存在于另一个父目录中。

ACL在大型部署环境中变得尤为重要,比如支持访问需求各异的许多用户和资源的主要文件服务器。现在仔细检查你的大型部署环境,看看ACL是否有助于更有效地控制资源访问。在排查看似神秘的访问问题时,别忘了考虑ACL。

免责声明:凡未注明来自本站的稿件和图片作品,系转载自其它网站,及网友投稿,转载目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如若涉及侵权违规可向站长举报 。