Flickr的/ Ruprt Ganzer
在Unix系统中指定文件权限的标准方式是如此扎成人是怎么想的Unix,我们许多人似乎忘记了,这个方案是许多年前扩大,以容纳更多的不仅仅是文件所有者,组和其他人。该setfacl的(设置文件访问控制列表)和getfacl(获取文件访问控制列表)的命令被设计为允许比的特权传统的有限分配更多。虽然不是disturing习惯所有者组其他权限,你可以,例如,给另一个帐户持有人相同的权限所有者或允许多个组有特殊的访问,而不是给这个访问只是大家。一切都在一定的成本,但是,使用setfacl的和getfacl命令,文件系统必须安装有特殊的选项,允许使用这些命令和权限的的基本扩张。访问控制列表选项 - 毕竟,有开销跟踪额外的权限,加入一个选项,在/ etc / fstab文件的文件系统相关联,所以你要就选择启用。如果不这样做,任何人试图使用这些命令可能会被错误的“不支持的操作”面对。您可能还需要检查你的内核是否提供此功能的支持。要安装与ACL选项的文件系统,你需要使用如下命令:
#安装-t EXT4 -o ACL的/ dev / HDB3 /数据
在/ etc / fstab中,同样的操作可能是这样的:
的/ dev / HDB3 /数据EXT4默认值,ACL 0 1
迹象表明,扩展权限都在使用中是相当微妙的。你只看到正常的权限字段的末尾一个+号。例如:
-rw-R ----- + 1名击打管理员22088 10月26配方
在-rw-R结束的那个小+ ----- +告诉你,还有比RW-R -----权限字符串是让更多的权限。而且,如果你想知道更多,你只需要使用getfacl命令来显示该文件的完整权限。对于只有标准权限的文件,你会看到这样的事情:
$ getfacl的说明书beerlist#文件:beerlist#业主:重拳出击#组:管理员有用户:: RW-组:: R--其他:: ---
这告诉我们什么,我们在一个长列表通常看到的,但在不同的格式。对于扩展的访问权限的文件,在另一方面,getfacl命令可能会显示您已设置任何额外的权限 - 就像这样:
$ getfacl的说明书beerlist#文件:beerlist#业主:重拳出击#组:管理员有用户:: RW-用户:tsmiley:RW-组:: R--面具:: RW-其他:: ---
请注意,我们现在看到的其他用户(tsmiley)具有读写权限和一个新的领域 - “屏蔽”字段,对文件设置默认权限。您可以使用setfacl命令设置扩展权限。下面是一些例子,我们给用户的读,写和执行或添加写权限。
setfacl的-m U:tsmiley:RWX /数据/示例setfacl的-m U:tsmiley:+ W /数据/示例
该-m代表修改。“U”形的U:代表用户。您可以将权限分配给团体以及个人。您会分配有“G”,如下面所示的例子中的基团的权限。
setfacl的-m克:DEVT:RWX /数据/测试用例setfacl的-R -m克:DEVT:+ X测试用例/ setfacl的-m d:G:管理员:RWX /数据/脚本
在该示例中的第三行中,d:在G:使新设置(RWX)的默认此目录。当在/数据/ scripts目录下创建文件或direcxtories,该管理员组将具有RWX许可他们。设置默认后,你可以期待,当你在附加线的形式使用getfacl命令来查看这些值,看起来像这样:
默认:组:: RWX
一个你很可能会碰上其他复杂的是有效的屏蔽设置的想法。如果掩码比权限更具限制性您授予,面膜会优先考虑。在下面的例子中,掩模是R--并减少给予组的特权R--。
$ getfacl的说明书/data/jumping.jar#文件:/data/jumping.jar#业主:dbender#组:用户的用户:: RW-组:: RWX #effective:R--组:DEVT:RWX #effective:R-- 面具:: R--其他:: R--
要删除扩展权限文件或文件夹,您可以使用这些命令之一。删除从文件中所有ACL:
setfacl的-b /数据/示例
删除默认的ACL:
setfacl的-k测试用例
屏蔽设置很有趣。将设立每当超出所有者,组和其他的权限使用。正如你在setfacl命令手册页阅读,面具是从所属组,命名为用户和组设置的所有权限的联合。它可以限制可用的权限,但你可以改变这样的命令面膜:
$ setfacl的-m掩蔽:RW- /数据/示例
注意,掩模可以被拼写(掩模:)或缩写到m个(m :)。一般情况下,它将被设置的权限适用于用户和组的预期藏品不管。您也可以忽略此设置时,要求不带掩码与-n或--no掩码设置用于分配权限。传统的UNIX权限是很容易想到,但也可以是严重的,当你需要确定你的服务器上的不同用户或组应该是什么能够做更多的灵活性限制。较新的ACL命令给你很多更多的回旋余地在决定谁获得什么权限。你只需要工作有点困难,以确保他们是对的。