文件权限管理-POSIX ACL
baidu
在 Unix/Linux 系统上沿用了多年的权限机制,由于欠缺灵活性,在现今的信息系统上显得落后和不敷应用。然而一个新的权限机制标准已经诞生出来,本文将会为大家介绍这个新机制在 Linux 上的操作方式。
传统上,在 Linux 系统中每个档案和目录都设有权限 (permission) 来决定那些人能够使用这个档案。
权限分为三组,分别为:拥有者 (file owner),群组 (group),及 其它 (other)。每组中再设有其属性。属性亦分为三种,分别为:读取 (read),写入 (write),及执行(executable)。
我们可以用 "ls -l" 来检视档案的权限:
-rwxrw-r-- 1 adam mis 272401 May 10 2003 report.doc
在上面的例子,档案 report.doc 的拥有者为 "adam" 而 adam 可以读取,写入和执行这个档案,另外 report.doc 的群组为 "mis",在系统中所有属于 mis 群组 的使用者皆可读取和写入这个档案,而其它的使用者只能够读取这个档案。
如果我们想 report.doc 的内容只能给 mis 群组的使用者读取,我们可以用"chmod 640 report.doc" 这个指令更改其权限。
-rw-r----- 1 adam mis 272401 May 10 2003 report.doc
要是 report.doc 这个档案同时要给 mis 和 hr 两个群组的使用者读取,现有的权限机制已不能够让我们简易地设定。我们得要劳烦系统管理员为我们加入一个新的群组 (i.e.mishr),并把所有 mis 和 hr 中的使用者加进 mishr 群组中。然后我们要用 "chgrp mishr report.doc" 把群组设为 mishr。
-rw-r----- 1 adam mishr 272401 May 10 2003 report.doc
假若,我们的要求再复杂一点:要让使用者 adam 和 eva 能读取和写入,群组 mis和 hr 只能读取。那么,任我们再多加新的群组亦没办法得到这样的权限设定。要得到以上的权限设定,我们须要一个新的权限机制。而这个机制名为存取控制清单 (Access Control List, 简称 ACL)。ACL 实为现有权限机制的延伸,在三个基本设定 (拥有者,群组及其它) 外,允许我们加入对某指定使用者或群组的存取权限设定。
为针对 Unix 系统先天的不足,一个名为 POSIX ACL 的权限机制标准便诞生出来。其目的是为各 Unix 系统之间制定一个兼容的 ACL 标准,使各用家能在各系统之间使用统一的接口。
这个 POSIX ACL 的功能在 Linux kernel 2.6 上被正式支持,之后又被 back-port到 2.4 kernel 上。大家常用的档案系统,如:ext3,xfs,jfs,和 ReiserFS,都能使用ACL。当然,大家须要在编译 kernel 时启动 ACL。
相关的 kernel option:
? CONFIG_FS_POSIX_ACL
? CONFIG_EXT3_FS_POSIX_ACL
? CONFIG_EXT2_FS_POSIX_ACL
挂上档案系统
虽然在 kernel 中已加进了 POSIX ACL 的支持,但是并不会自动启用的。我们必须在挂上档案系统时指明要使用 ACL。例如:
mount -t ext3 -o acl /dev/sda1 /home
当中 “-o acl” 便是在 /dev/sda1 上启用 ACL 的选项。
我们亦可以在 /etc/fstab 中加入选项:
/dev/sda1 /home ext3 acl 1 2
检视ACL
要检视一个档案或目录的 ACL,便要使用 “getfacl” 指令:
[adam@www adam]$ getfacl report.doc
# file: report.doc
# owner: adam
# group: mis
user::rwgroup::
rwother::
r--
以上的例子列出了一个基本的 ACL (Minimum ACL)。头三行为档案数据,当中包括了档案的拥有者和所属群组。之后的便是 ACL 中的每一条的规则。
在这个基本的 ACL 中:
user::rw- 拥有者 adam 能读取和写入
group::rw- 属于 mis 群组的使用者能读取和写入
other::r-- 其它的使用者只能读取
更改ACL
“setfacl” 指令能更改一个档案或目录的 ACL。其用法如下:
setfacl option rules files
option:
-m 用来新增或修改 ACL 中的规则
-x 用来移除 ACL 中的规则
rules:
user:(uid/name):(perms) 指定某位使用者的权限
group:(gid/name):(perms) 指定某一群组的权限
other::(perms) 指定其它使用者的权限
mask::(perms) 设定有效的权限屏蔽
(perms) 为传统的 r(读取), w(写入) 及 x(执行)
如果想让 hr 群组的使用者能读取 “report.doc”而其它的人不能读取的话。 我们可以用以下的指令达成:
setfacl -m group:hr:r,other::- report.doc
以 getfacl 检视新的 ACL:
[adam@www adam]$ getfacl report.doc
# file: report.doc
# owner: adam
# group: mis
user::rwgroup::
rwgroup:
hr:r--
mask::rwother::---
回应本文开始时所要的权限: 要让使用者 adam 和 eva 能 读取 和 写入,群组mis 和 hr 只能读取, 其它人不能 读取 和 写入。 我们只须多加两个规则便能达成:
setfacl -m group::r,user:eva:rw report.doc
[adam@www adam]$ getfacl report.doc
# file: report.doc
# owner: adam
# group: mis
user::rwuser:
eva:rwgroup::
r--
group:hr:r--
mask::rwother::---
ACL 的种类
ACL 有两种, 分别为 『存取型ACL』 (Access ACL) 和 『预设型ACL』 (Default ACL)。 我们之前所介绍便是 存取型ACL, 可用于档案或目录, 它决定了该档案或目录本身的使用权限。
而预设型ACL 只可用于目录, 它决定了该目录下新建立的档案或目录的 ACL。
[adam@www adam]$ getfacl /home/adam
getfacl: Removing leading '/' from absolute path names
# file: home/adam
# owner: adam
# group: adam
user::rwx
group::---
other::---
要设定预设型ACL, 同样使用 “setfacl”。 所不同的是, 在每个规则前加上“default:”, 例如:
setfacl -m default:user::rw /home/adam
如果觉得指令太长的话我们可以使用简略字符:
长写 简写
user: u:
group: g:
other: o:
mask: m:
default: d:
例如, 要设定 /home/adam 的预设型ACL 为, 使用者 adam 和 eva 能 读取 和 写入, 群组只能读取 :
setfacl -m d:u::rw,d:u:eva:rw,d:g::r,d:o::- /home/adam
[adam@www adam]$ getfacl /home/adam
getfacl: Removing leading '/' from absolute path names
# file: home/adam
# owner: adam
# group: adam
user::rwx
group::---
other::---
default:user::rwdefault:
user:eva:rwdefault:
group::r--
default:mask::rwdefault:
other::---
建立新的档案并检视其 存取型ACL:
[adam@www adam]$ touch newfile
[adam@www adam]$ getfacl newfile
# file: newfile
# owner: adam
# group: mis
user::rwuser:
eva:rwgroup::
r--
mask::rwother::---
其它要注意的事项
除了以上堤及过的 getfacl 和 setfacl 指令外, 大家亦可以用另一个名为 “chacl”的指令来修改 ACL。 Chacl 原本是 IRIX 系统上 XFS 的 ACL 工具, 如果各位已经对chacl 有认 识的话便不用学 getfacl 和 setfacl 了。
美中不足的是, 由于 ACL 是新的模块。 虽然在 kernel 和一些 shell common 中支持外, 很多大家常用的工具中仍未支持, 当中包括 KDE , Gnome, tar 和 dump 等。如要备份文件或目录既有的 ACL 大家可以用另一个和 tar 类似的工具 star , 来把ACL 一起备份到 tar ?中。 详情请参阅 star 的 man page。
