3、ACL基本命令
(1)设定ACL权限 :
setfacl 选项 文件名
-m:设定ACL权限
-b:删除ACL权限
-x:删除单个用户的ACL权限
- 设置ACL权限给用户
setfacl -m u:用户名:权限(数字和字母都行) 文件名
[root@localhost ~ ] # setfacl -m u:st:5 /www/
查看一下/www/文件夹
权限最后哪个+号,说明
/www/文件夹有ACL权限。
(2)查询文件的ACL权限
getfacl 文件名
第一行有一个报错,错误是说不识别左侧的/(根目录标识),他推荐进入到根目录,用相对路径的方式进行查看。这个报错并不影响我们查看结果,可以忽略。
# file:www:文件名
#owner: sc:所有者
# group:tg:所属组
user::rwx:所有者权限
user:st:r-x:这里就是文件的ACL权限
group::rwx:所属组权限
mask::rwx:最大有效权限
other::--:其他人权限
(3)设置文件ACL权限给用户组
setfacl -m g:组名:权限 文件名
[root@localhost ~ ] # setfacl -g u:st:5 /www/
(4)给文件夹和里边的文件同时赋予ACL权限
[root@localhost ~ ] # setfacl -m u:st:5 -R /www/
选项:
-R:递归
注意:赋予递归ACL权限,只能赋予目录。(也就是说
# setfacl -m u:st:5 -R /www/最后的/www/位置,一定要是文件夹,不能是文件。)
- 提示:如果文件被赋予了ACL权限,那么我们用
ll命令查看到文件的权限,可能是不准确的,如果想要看准确的,需要通过getfacl 文件名命令查看。如下图。
(5)ACL默认权限
上边的目录中如果再创建新的文件,新创建的文件是否有ACL权限?
答案是没有的。可以在命令中加入d选项,设置ACL默认权限,就可以解决。
setfacl -m d:u:aa:rwx -R /test
注意:默认权限只能赋予目录。
下图为设置ACL默认权限的文件夹,通过getfacl 文件名命令查看权限。
(6)总结:
如果给目录赋予acl权限,两条命令都要输入
递归与默认的区别:
setfacl -m u:cc:rx -R soft/——》只对已经存在的文件生效。
setfacl -m d:u:aa:rwx -R /test——》只对以后新建的文件生效。
ACL权限,一旦递归之后,不可避免的出现权限溢出
什么是权限溢出。
ACL权限递归之后,目录和目录中的文件都会有相同的执行权限。目录的执行权限是进入目录,而文件的执行权限就非常危险了,相当于赋予了文件最大权限。这个问题是没法解决的。
以后通过shell脚本,能解决ACL权限递归造成的权限溢出问题,判断文件夹里边的文件类型,文件赋予4,文件夹赋予5,这样就能解决。但这就不是一个单一命令了。
正常情况下还是使用所有者,所属组,其他人权限来处理。
4、最大有效权限mask
用来控制文件的最大有效权限的。如下图:
mask值分别和所有者、所属组、其他人、ACL权限,相与的结果,来最终决定一个身份的权限是什么。
- 设定mask权限为r-x。使用
m:权限格式:
[root@localhost www ] # setfacl -m m:6 /www/
结果如下图:
5、删除ACL权限
#删除指定用户和用户组的ACL权限
[root@localhost ~ ] # setfacl -x u:st /project/
#会删除文件的所有的ACL权限
[root@localhost ~ ] # setfacl -b project/
