文件/目录拜访操控是Linux操作体系安全的重要组成部分。传统的Linux操作体系支撑用户－用户组－其它用户的拜访操控机制，来限制体系用户对文件/目录的拜访权限，该机制现已广泛为用户所承受和运用。而在实践的运用过程中，用户意识到在许多运用场景该机制并不能灵敏、高效地满意拜访操控需求，因而自Linux内核2.6版别开端便支撑更为灵敏的ACL（拜访操控列表）机制。本文将经过实例来详细介绍这两种机制的原理及运用。

1、传统的用户－用户组－其他用户（UGO）拜访操控机制

UGO（user，group，other）形式原理

Linux体系中的每个文件和目录都有拜访答应权限，经过其确认谁能够经过何种办法对文件和目录进行拜访和操作。文件或目录的拜访权限分为只读，只写和可履行三种。以文件为例，只读权限标明只答应读其内容，而制止对其做任何的更改操作；只写权限答应对文件进行任何的修正操作；可履行权限标明答应将该文件作为一个程序履行。文件被创立时，文件一切者主动具有对该文件的读、写和可履行权限，以便于对文件的阅览和修正。用户也可依据需求把拜访权限设置为需求的任何组合。

有三种不同类型的用户可对文件或目录进行拜访：文件一切者，同组用户、其他用户。一切者一般是文件的创立者。它能够答应同组用户有权拜访文件，还能够将文件的拜访权限赋予体系中的其他用户。在这种状况下，体系中的每一位用户都能拜访该用户具有的文件或目录。

每一个文件或目录的拜访权限都有三组，每组用三位标明，分别为文件属主的读、写和履行权限；与属主同组的用户的读、写和履行权限；体系中其他用户的读、写和履行权限。当用ls-l指令显现文件或目录的详细信息时，最左面的一列为文件的拜访权限。例如：

#ls-l

总计76

-rw-------1rootroot79711-0620:41anaconda-ks.cfg

drwxr-xr-x2rootroot409611-0613:50Desktop

-rw-r--r--1rootroot4484311-0620:40install.log

-rw-r--r--1rootroot751311-0620:35install.log.syslog

横线代表空答应（即标明不具有该权限）。r代表只读，w代表写，x代表可履行。留意：这儿共有10个方位。第1个字符指定了文件类型。在一般意义上，一个目录也是一个文件。假如第1个字符是横线，标明是一个非目录的文件。假如是d，标明是一个目录。后边的9个字符每三个构成一组，顺次标明文件主、组用户、其他用户对该文件的拜访权限。

确认了一个文件的拜访权限后，用户能够运用Linux体系供给的chmod指令来从头设定不同的拜访权限。也能够运用chown指令来更改某个文件或目录的一切者。

2、扩展的拜访操控列表（ACL）办法

为什么要选用ACL

UGO拜访操控机制在许多状况下难以满意实践文件/目录拜访授权的需求，比方，要设定一个组中的部分用户对特定的文件/目录具有读取和拜访权限（rw-），而别的一部分用户只能具有读权限（r--）；这在传统的Linux拜访操控中无法经过单纯地树立新的组和用户来完结。因而，为了处理这些问题，人们提出了一种新的拜访操控办法，也便是拜访操控列表（ACL，AccessControlList）。

ACL是一个POSIX（可移植操作体系接口，PortableOperatingSystemInterface）规范。现在，支撑ACL需求内核和文件体系的支撑。现在2.6内核合作EXT2/EXT3,JFS,XFS,ReiserFS等文件体系都是能够支撑ACL的。在现在干流的发行套件，如RedHatEnterpriseLinux（RHEL）5、RHEL6、Fedora16等等，都现已支撑ACL。

ACL的类型及权限位

ACL是由一系列的AccessEntry所组成的。每一条AccessEntry界说了特定的类别能够对文件具有的操作权限。AccessEntry首要包括6个，可分为两大类：一类包括owner、owninggroup和other，对应传统UGO机制中的user、group和other；一类则包括nameduser、namedgroup和mask。这六类的首要阐明如下：

user：相当于Linux里文件一切者的permission

nameduser：界说了额定的用户能够对此文件具有的permission

group：相当于Linux里group的permission

namedgroup：界说了额定的组能够对此文件具有的permission

mask：界说了nameduser,namedgroup和group的***权限

other：相当于Linux里other的permission

举个简略的比方，关于如下的ACLEntry的界说：

#file:example.xml

#owner:liyang

#group:operation

user::rwx

user:shengping:rw-

group::rw-

group:dev:r-x

mask::rwx

other::r—

其间，前面三个以#最初的界说了文件名、文件的一切者和一切者地点的组。后边紧跟着的六行则阐明了如下的问题：

user::rwx阐明文件一切者具有读写和履行权限

user:shengping:rw-界说了用户shengping具有对文件的读写权限

group::rw-阐明文件的group具有读写权限

group:dev:r-x界说dev组具有对文件的读和履行权限

mask::rwx界说了mask的权限为读

other::r--界说了other用户的权限为读

值得特别留意的是：mask的rwx权限制义，决议了user:shengping，group和group:dev对文件的***权限分别是rw、rw和rx。这也是mask这个ACLEntry的用处地点，能够用它来批量操控权限。当然，在实践的运用过程中，并不需求用户对该Entry直接进行操作，而只需求运用相应的setfACL指令即可，体系将会依据该指令的履行来主动生成上述Entry项，这其间就包括了mask这个Entry项。#p#

ACL的根本指令

ACL的首要指令有2个：getfacl和setfacl。Getfacl用于或取文件或许目录的ACL权限信息，而setfacl则用于设置文件或许目录的ACL权限信息。下面分别对他们的运用进行简略介绍。

Getfacl-获取ACL权限信息

getfacl指令用于获取文件的ACL权限信息，其根本用法为：getfacl[文件/目录名]。

举个比方，首要，运用touch指令先树立一个测验文件acl_test：

$touchfileacl_test

然后，运用ls指令来检查该文件的权限拜访特点，发现其并没有参加acl权限，由于没有呈现“+”符号：

$ls-lacl_test

-rw-rw-r--1gavingavin012-2011:49acl_test

接着，运用getfacl指令来获取文件的ACL权限信息，得到如下成果：

$getfaclacl_test

#file:acl_test

#owner:gavin

#group:gavin

user::rw-

group::rw-

other::r—

值得留意的是：即便该文件体系上没有敞开ACL选项，getfacl指令依然可用，不过只显现默许的文件拜访权限，即与ls-l显现的内容类似。

Setfacl-设置ACL权限

为了设置文件的ACL权限，需求运用setfacl指令来详细设置文件的拜访权限，其根本用法如下：

setfacl–[参数][文件/目录]，其常用的参数及效果如下所示：

-m：树立一个ACL规矩

-x：删去一个ACL规矩

-b：删去悉数的ACL规矩

-set：掩盖ACL规矩

下面来详细介绍怎么运用setfacl来设置文件/目录的ACL权限。

（1）增加/修正ACL规矩

需求运用-m选项来进行操作。

举个比方，运用该指令为用户gavin和组test设置acl_test文件的读写权限，并运用getfacl检查设置成果：

$setfacl-mu:gavin:rw,g:test:racl_test

$getfaclacl_test

#file:acl_test

#owner:gavin

#group:gavin

user::rw-

user:gavin:rw-

group::rw-

group:test:r--

mask::rw-

other::r—

在上面的指令示例中，能够清楚地看到加粗部分user:gavin、group:test、mask这3个ACLEntry的呈现，标明对文件进行了ACL权限设置，不然，不会呈现该标识。为了进一步验证，咱们运用ls-l来检查该文件的权限位中是否多了“+”这个标识位，如下所示：

$ls-lacl_test

-rw-rw-r--+1gavingavin012-2011:49acl_test

其间，user:gavin、group:test为咱们设置的拜访权限，而mask::rw为主动增加的内容。

（2）删去ACL规矩

运用-x选项能够方便地删去指定用户对指定文件/目录的拜访权限。

以下示例删去用户gavin对文件acl_test的拜访权限：

$setfacl-xu:gavinacl_test

$getfaclacl_test

#file:acl_test

#owner:gavin

#group:gavin

user::rw-

group::rw-

group:test:r--

mask::rw-

other::r--

$ls-lacl_test

-rw-rw-r--+1gavingavin012-2011:49acl_test

经过上述2段ACL权限显现的比照能够清楚地看到：用户gavin关于文件acl_test的拜访权限现已彻底删去了，表现为user:gavin:rw-现已不存在了。这儿提示留意的是：咱们不能够经过setfacl指令来指定删去用户/组对文件/目录的某一个特定权限（如r、w或许x）。一起，也能够看到，运用ls-l指令显现文件的9个权限位仍是没有改动，由于改动的只是ACL权限，而不是最根本的user、group和others权限。

（3）删去文件/目录的一切ACL规矩

运用-b选项能够删去文件/目录的ACL权限。如下指令将删去文件acl_test的一切ACL权限。能够看到，运用getfacl指令来检查是，mask项现已消失，即该文件现已没有了一切的ACL权限：

$setfacl-bacl_test

$getfaclacl_test

#file:acl_test

#owner:gavin

#group:gavin

user::rw-

group::rw-

other::r—

（4）掩盖文件的原有ACL规矩

需求运用--set选项。此处需求着重一下-m选项和--set选项的差异：-m选项只是修正已有的装备或是新增加一些；而--set选项和-m不同，它会把原有的ACL项全都删去，并用新的代替。别的，--set选项的参数中一定要包括UGO的设置，不能象-m相同只是增加ACL就能够了。

以下示例该选项的运用办法：

$setfacl--setu::rw,g::rw,o::r,u:gavin:rwx,g:test:rxacl_test

$getfaclacl_test

#file:acl_test

#owner:gavin

#group:gavin

user::rw-

user:gavin:rwx

group::rw-

group:test:r-x

mask::rwx

other::r--

$ls-lacl_test

-rw-rwxr--+1gavingavin012-2011:49acl_test

这儿需求提示留意的是：上述acl_test文件的权限标识位中的group的rwx权限，并不是标明acl_test文件所属用户的用户组对其有x权限，实践上只具有rw权限，而是由于在group:test:r-x中指定了test这个组具有x权限，所以ACL机制在这个标识位进步行了表现，在实践的运用中要特别留意，牢记不要弄混杂了。

（5）其他选项

除了上述介绍的4类用法外，setfacl还能够运用如下一些选项，如下表，供咱们在实践运用中参阅：

为目录创立默许ACL

在日常的运用过程中，经常是经过对目录来设定ACL权限来满意运用的需求，而很少只是经过设置特定的文件来完结，由于这样做比较繁琐和低效。因而，下面就介绍怎么来为目录创立默许的ACL。

假如期望在一个目录中新建的文件和目录都运用同一个预订的ACL，那么咱们能够运用默许ACL(DefaultACL)。在对一个目录设置了默许的ACL今后，每个在目录中创立的文件都会主动承继目录的默许ACL作为自己的ACL。

详细的设置指令为：setfacl-d[目录名]。

下面的比方对新建的test目录进行ACL权限设置，并在其间新建了test1和test2文件，来看看默许ACL的设置状况。

首要，对文件夹test进行ACL权限检查如下：

$getfacltest

#file:test

#owner:gavin

#group:gavin

user::rwx

group::rwx

other::r-x

接着，对其进行权限设置如下：

$setfacl-d-mg:test:rtest

$getfacltest

#file:test

#owner:gavin

#group:gavin

user::rwx

group::rwx

other::r-x

default:user::rwx

default:group::rwx

default:group:test:r--

default:mask::rwx

default:other::r-x

能够看到，经过setfacl设置后，该文件夹的权限增加了以default开端的几项，标明设置成功。

然后，树立两个新的文件，然后检查他们的ACL权限信息如下：

$touchtest1test2

$getfacltest1

#file:test1

#owner:gavin

#group:gavin

user::rw-

group::rwx#effective:rw-

group:test:r--

mask::rw-

other::r--

$getfacltest2

#file:test2

#owner:gavin

#group:gavin

user::rw-

group::rwx#effective:rw-

group:test:r--

mask::rw-

other::r--

能够清楚地看到：文件test1和test2主动承继了test设置的ACL。

备份和康复ACL

现在，Linux体系中的首要的文件操作指令，如cp、mv、ls等都支撑ACL。因而，在根本的文件／目录操作中能够很好地坚持文件／目录的ACL权限。但是，有一些其它的指令，比方tar（文件归档）等常见的备份东西是不会保存目录和文件的ACL信息的。因而，假如期望备份和康复带有ACL的文件和目录，那么能够先把ACL备份到一个文件里，待操作完结今后，则能够运用--restore选项来康复这个文件／目录中保存的ACL信息。

下面给出一个详细的比方来进行阐明。

（1）获取文件acl_test的ACL权限

$getfaclacl_test

#file:acl_test

#owner:gavin

#group:gavin

user::rwx

user:test:r--

group::---

mask::r--

other::---

（2）将该文件的ACL权限保存至acl_test.acl文件中并进行检查

$getfaclacl_test>acl_test.acl

$catacl_test.acl

#file:acl_test

#owner:gavin

#group:gavin

user::rwx

user:test:r--

group::---

mask::r--

other::---

（3）运用tar指令进行文件操作，并检查生成文件acl.tar的ACL权限，发现其并不具有ACL权限

$tarczvfacl.taracl_test

acl_test

$getfaclacl.tar

#file:acl.tar

#owner:gavin

#group:gavin

user::rw-

group::rw-

other::r--

（4）删去acl_test文件，并开释acl.tar，检查其ACL权限，发现经过tar指令后，acl_test文件不在具有第（１）步显现的任何ACL权限，标明tar指令不能坚持文件的ACL权限

$rm-rfacl_test

$tar-xzvfacl.tar

acl_test

$getfaclacl_test

#file:acl_test

#owner:gavin

#group:gavin

user::rwx

group::r--

other::---

（5）运用指令从文件康复acl_test的ACL权限，进行检查，标明成功康复。

$setfacl--restoreacl_test.acl

$getfaclacl_test

#file:acl_test

#owner:gavin

#group:gavin

user::rwx

user:test:r--

group::---

mask::r--

other::---

【修改引荐】

1. 黑客称将推出答应Windows Phone自界说文件夹东西
2. 文件夹病毒的防治办法
3. Imperva经过署理技能加强文件维护
4. 木马强化歹意文件迷惑性