一、setfacl命令setfacl用来细分linux下的文件权限。 chmod命令可以把文件权限分为u,g,o三个组,而setfacl可以对每一个文件或目录设置更精确的文件权限。 换句话说,setfacl可以更精确的控制权限的分配。 比如:让某一个用户对某一个文件具有某种权限。 这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL(Access Control List) ACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制,对于需要特殊权限的使用状况有一定帮助。 如,某一个文件,不让单一的某个用户访问。用法:
用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
-m, --modify-acl 更改文件的访问控制列表
-M, --modify-file=file 从文件读取访问控制列表条目更改
-x, --remove=acl 根据文件中访问控制列表移除条目
-X, --remove-file=file 从文件读取访问控制列表条目并删除
-b, --remove-all 删除所有扩展访问控制列表条目
-k, --remove-default 移除默认访问控制列表
--set=acl 设定替换当前的文件访问控制列表
--set-file=file 从文件中读取访问控制列表条目设定
--mask 重新计算有效权限掩码
-n, --no-mask 不重新计算有效权限掩码
-d, --default 应用到默认访问控制列表的操作,针对目录
-R, --recursive 递归操作子目录,使用该参数时需要放在-m参数前面
-L, --logical 依照系统逻辑,跟随符号链接
-P, --physical 依照自然逻辑,不跟随符号链接
--restore=file 恢复访问控制列表,和“getfacl -R”作用相反
--test 测试模式,并不真正修改访问控制列表属性
-v, --version 显示版本并退出
-h, --help 显示本帮助信息
案例:(题型)
# 用户 natasha 能够对文件 /var/tmp/fstab 执行读和写操作 [root@VM_0_10_centos study]# setfacl -m u:natasha:rw /var/tmp/fstab # 用户 harry 对文件 /var/tmp/fstab 既不能读,也不能写 [root@VM_0_10_centos study]# setfacl -m u:harry:--- /var/tmp/fstab # 查看 [root@VM_0_10_centos study]# getfacl /var/tmp/fstab getfacl: Removing leading '/' from absolute path names # file: var/tmp/fstab # owner: root # group: root user::rw- user:natasha:rw- user:harry:--- group::r-- mask::rw- other::r--
PS:除了对某个文件的单个用户进行权限设置外,还可以对某个组进行同样的设置 设置mask的话,setfacl -m u::rwx 中的u改为m,并且这个可不针对用户和组哦,其他的大致差不多。
g:[用户组]:[rwx]
如果是默认用户设置可以这样:
#设置默认用户,读,写,可执行 [root@VM_0_10_centos study]# setfacl -m u::rwx /var/tmp/fstab
清理所有acl:
# 取消某个用户的acl setfacl -x u:handsome test.txt # 取消所有用户的acl setfacl -b test.txt