一、setfacl——设定文件访问控制列表
语法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
  -m, --modify=acl 更改文件的访问控制列表
  -M, --modify-file=file 从文件读取访问控制列表条目更改
  -x, --remove=acl 根据文件中访问控制列表移除条目
  -X, --remove-file=file 从文件读取访问控制列表条目并删除
  -b, --remove-all 删除所有扩展访问控制列表条目
  -k, --remove-default 移除默认访问控制列表
      --set=acl 设定替换当前的文件访问控制列表
      --set-file=file 从文件中读取访问控制列表条目设定
      --mask 重新计算有效权限掩码
  -n, --no-mask 不重新计算有效权限掩码
  -d, --default 应用到默认访问控制列表的操作
  -R, --recursive 递归操作子目录
  -L, --logical 依照系统逻辑,跟随符号链接
  -P, --physical 依照自然逻辑,不跟随符号链接
      --restore=file 恢复访问控制列表,和“getfacl -R”作用相反
      --test 测试模式,并不真正修改访问控制列表属性
  -v, --version           显示版本并退出
  -h, --help              显示本帮助信息
二、getfacl ——获取文件访问控制列表
使用方法: getfacl  [-aceEsRLPtpndvh]  文件 ...
  -a,  --access           仅显示文件访问控制列表
  -d, --default           仅显示默认的访问控制列表
  -c, --omit-header     不显示注释表头
  -e, --all-effective     显示所有的有效权限
  -E, --no-effective      显示无效权限
  -s, --skip-base         跳过只有基条目(base entries)的文件
  -R, --recursive         递归显示子目录
  -L, --logical           逻辑遍历(跟随符号链接)
  -P, --physical          物理遍历(不跟随符号链接)
  -t, --tabular           使用制表符分隔的输出格式
  -n, --numeric           显示数字的用户/组标识
  -p, --absolute-names    不去除路径前的 '/' 符号
  -v, --version           显示版本并退出
  -h, --help              显示本帮助信息
对于Access ACL,也就是对文件而言的例子

1)例子
首先创建个521M的文件

[root@centos7 test]# dd if=/dev/zero of=/test/file bs=521M count=1
记录了1+0 的读入
记录了1+0 的写出
546308096字节(546 MB)已复制,120.211 秒,4.5 MB/秒
You have new mail in /var/spool/mail/root
[root@centos7 test]#
查看file(没有额外属性)
[root@centos2 test]# getfacl file
# file: file
# owner: root
# group: root
user::rw-
group::r--
other::r--

让zhangsan用户对file拥有rw权
[root@centos2 ~]# setfacl -m u:zhangsan:rw- /test/file
[root@centos2 ~]# cd /test/
[root@centos2 test]# ll
总用量 533512
-rw-rw-r--+ 1 root root 546308096 9月 14 22:53 file
注:在文件permission的最后多了一个+号,当任何一个文件拥有了ACL_USER或者ACL_GROUP的值以后我们就可以称它为ACL文件,这个+号就是用来提示我们的。

[root@centos2 test]# getfacl --omit-header file
user::rw-
user:zhangsan:rw- #可以看到zhangsan用户在ACL里面已经拥有了对文件的读写权。
group::r--
mask::rw-
other::r--

让财务组有file的r权限

[root@centos2 test]# setfacl -m g:caiwu:r-- file
[root@centos2 test]# getfacl file
# file: file
# owner: root
# group: root
user::rw-
user:zhangsan:rw-
group::r--
group:caiwu:r-- #财务部里的成员都有了r权限
mask::rw-
other::r--
这里需要重点讲一下ACL_MASK,因为这是掌握ACL的另一个关键,在Linux file permission里面大家都知道比如对于rw-rw-r--来说, 当中的那个rw-是指文件组的permission. 但是在ACL里面这种情况只是在ACL_MASK不存在的情况下成立。如果文件有ACL_MASK值,那么当中那个rw-代表的就是mask值而不再是group permission了。
2)例子

查看file2.sh文件

[root@centos2 test]# ls -lh file2.sh
-rwxrw-r--. 1 root caiwu 0 9月 15 00:10 file2.sh
[root@centos2 test]#
让用户zhang也对file2.sh具有和root一样的permission。
[root@centos2 test]# setfacl -m user:zhang:rwx file2.sh
[root@centos2 test]# getfacl --omit-header file2.sh
user::rwx
user:root:rwx
group::rw-
mask::rwx
other::r--
[root@centos2 test]#
这里我们看到zhang已经拥有了rwx的permission,mask值也被设定为rwx,那是因为它规定了ACL_USER,ACL_GROUP和ACL_GROUP_OBJ的最大值,现在我们再来看file2的Linux permission,它已经变成了:
[root@centos2 test]# ls -lh file2.sh
-rwxrwxr--+ 1 root caiwu 0 9月 15 00:10 file2.sh
[root@centos2 test]#
那么如果现在zhang组的用户想要执行file2.sh的程序会发生什么情况呢?它会被permission deny。原因在于实际上caiwu组的用户只有read and write permission,这里当中显示的rwx是ACL_MASK的值而不是group的permission。
所以从这里我们就可以知道,如果一个文件后面有+标记,我们都需要用getfacl来确认它的permission,以免发生混淆。
下面我们再来继续看一个例子,假如现在我们设置file2.sh的mask为read only,那么caiwu组的用户还会有write permission吗?

[root@centos2 test]# setfacl -m mask::r-- file2.sh
[root@centos2 test]# getfacl file2.sh
# file: file2
# owner: root
# group: caiwu
user::rwx
user:root:rwx #effective:r--
group::rw- #effective:r--
mask::r--
other::r--

[root@centos2 test]#
这时候我们可以看到ACL_USER和ACL_GROUP_OBJ旁边多了个#effective:r--,这是什么意思呢?让我们再来回顾一下ACL_MASK的定义。它规定了ACL_USER,ACL_GROUP_OBJ和ACL_GROUP的最大权限。那么在我们这个例子中他们的最大权限也就是read only。虽然我们这里给ACL_USER和ACL_GROUP_OBJ设置了其他权限,但是他们真正有效果的只有read权限。
这时我们再来查看file.sh的Linux file permission时它的group permission也会显示其mask的值(r--)

[root@centos2 test]# ls -lh file2.sh
-rwxr--r--+ 1 root caiwu 0 9月 15 00:10 file2.sh
[root@centos2 test]#
Default ACL
Default ACL是指对于一个目录进行Default ACL设置,并且在此目录下建立的文件都将继承此目录的ACL。

1)例子

在root用户建立了一个testdir目录;希望所有在此目录下建立的文件都可以被ming用户所访问,那么我们就应该对testdir目录设置Default ACL。

[root@centos2 /]# setfacl -d -m user:ming:rw testdir/
[root@centos2 /]# getfacl testdir/
# file: testdir/
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:ming:rw-
default:group::r-x
default:mask::rwx
default:other::r-x
注:这里我们可以看到ACL定义了default选项,ming用户拥有了default的read, write, excute/search permission。所有没有定义的default都将从file permission里copy过来;
在root用户在testdir目录下建立一个test.txt文件。

[root@centos2 /]# touch /testdir/test.txt
[root@centos2 /]# ls -l /testdir/test.txt
-rw-rw-r--+ 1 root root 0 9月 15 00:48 /testdir/test.txt
[root@centos2 /]# getfacl --omit-header /testdir/test.txt
user::rw-
user:ming:rw-
group::r-x #effective:r--
mask::rw-
other::r--
注:我们看到在testdir下建立的文件ming用户自动就有了read and write permission

注:这里还有一个chacl是用来改变文件和目录的Access ACL and Default ACL,它的具体参数大家可以去看man page。我只想提及一下chacl -B。它可以彻底删除文件或者目录的ACL属性(包括Default ACL),比如你即使用了setfacl -x删除了所有文件的ACL属性,那个+号还是会出现在文件的末尾,所以正确的删除方法应该是用chacl -B用cp来复制文件的时候我们现在可以加上-p选项。
这样在拷贝文件的时候也将拷贝文件的ACL属性,对于不能拷贝的ACL属性将给出警告。
mv命令将会默认地移动文件的ACL属性,同样如果操作不允许的情况下会给出警告。

需要注意的几点 如果你的文件系统不支持ACL的话,你也许需要重新mount你的file system:mount -o remount, acl [mount point] 如果用chmod命令改变Linux file perm
 ission的时候相应的ACL值也会改变,反之改变ACL的值,相应的file permission也会改变。

---------------------
作者:bpb_cx
来源:CSDN
原文:https://blog.csdn.net/bpb_cx/article/details/82702989
版权声明:本文为博主原创文章,转载请附上博文链接!

getfacl语法2的更多相关文章

  1. Hadoop学习(四) FileSystem Shell命令详解

    FileSystem Shell中大多数命令都和unix命令相同,只是两者之间的解释不同,如果你对unix命令有基本的了解,那么对于FileSystem Shell的命令,你将会感到很亲切. appe ...

  2. Linux—权限管理

    Linux 权限管理 1.权限简介 Linux权限是操作系统用来限制对资源访问的机制,权限一般分为读.写.执行.系统中每个文件都拥有特定的权限:属主.属组以及其他人,通过这样的机制来限制哪些用户或用户 ...

  3. 我的MYSQL学习心得(一) 简单语法

    我的MYSQL学习心得(一) 简单语法 我的MYSQL学习心得(二) 数据类型宽度 我的MYSQL学习心得(三) 查看字段长度 我的MYSQL学习心得(四) 数据类型 我的MYSQL学习心得(五) 运 ...

  4. Swift与C#的基础语法比较

    背景: 这两天不小心看了一下Swift的基础语法,感觉既然看了,还是写一下笔记,留个痕迹~ 总体而言,感觉Swift是一种前后端多种语言混合的产物~~~ 做为一名.NET阵营人士,少少多多总喜欢通过对 ...

  5. 探索C#之6.0语法糖剖析

    阅读目录: 自动属性默认初始化 自动只读属性默认初始化 表达式为主体的函数 表达式为主体的属性(赋值) 静态类导入 Null条件运算符 字符串格式化 索引初始化 异常过滤器when catch和fin ...

  6. [C#] 回眸 C# 的前世今生 - 见证 C# 6.0 的新语法特性

    回眸 C# 的前世今生 - 见证 C# 6.0 的新语法特性 序 目前最新的版本是 C# 7.0,VS 的最新版本为 Visual Studio 2017 RC,两者都尚未进入正式阶段.C# 6.0 ...

  7. Velocity初探小结--velocity使用语法详解

    做java开发的朋友一般对JSP是比较熟悉的,大部分人第一次学习开发View层都是使用JSP来进行页面渲染的,我们都知道JSP是可以嵌入java代码的,在远古时代,java程序员甚至在一个jsp页面上 ...

  8. node.js学习(二)--Node.js控制台(REPL)&&Node.js的基础和语法

    1.1.2 Node.js控制台(REPL) Node.js也有自己的虚拟的运行环境:REPL. 我们可以使用它来执行任何的Node.js或者javascript代码.还可以引入模块和使用文件系统. ...

  9. C#语法糖大汇总

    首先需要声明的是"语法糖"这个词绝非贬义词,它可以给我带来方便,是一种便捷的写法,编译器会帮我们做转换:而且可以提高开发编码的效率,在性能上也不会带来损失.这让java开发人员羡慕 ...

随机推荐

  1. 常用python的标准库

    1.itsdangerous # 加密签名的数据 2.re # 正则表达式 3.time # 时间模块 4.keyword # 查看关键字5.random # 随机6.uuid

  2. onclick 事件

    onclick 事件 Event 对象 定义和用法 onclick 事件会在对象被点击时发生. 请注意, onclick 与 onmousedown 不同.单击事件是在同一元素上发生了鼠标按下事件之后 ...

  3. Learning-Python【16】:模块的导入使用

    一.什么是模块 模块就是一系列功能的集合体,一个模块就是一个包含了Python定义和声明的文件,文件名就是模块名字加上.py的后缀. 模块有三种来源: 1.内置的模块 2.第三方的模块 3.自定义模块 ...

  4. Signal in unit is connected to following multiple drivers VHDL

    参考链接 https://blog.csdn.net/jbb0523/article/details/6946899 出错原因 两个Process都对LDS_temp进行了赋值,万一在某个时刻,在两个 ...

  5. _skill,_skill_category

    _skill,_skill_category -- 自定义商业技能-- 小技巧:配合增加自定义商业技能._add skill [ID _skill `skillId`商业技能ID `skillIcon ...

  6. python 简单的串口收发数据

    # -*- coding: utf- -*- import serial #打开串口 serialPort="COM3" #串口 baudRate= #波特率 ser=serial ...

  7. Series 和 Dataframe 的 rank 方法

    rank 方法返回的是当前数据的排名名次,而 sort——values() 返回的是排名之后数据的结果 rank()用法 sort_values()用法

  8. Spring框架基础

    1         Spring框架 1.1           Spring的基本概念 是一个轻量级的框架,提供基础的开发包,包括消息.web通讯.数据库.大数据.授权.手机应用.session管理 ...

  9. spring 配置Value常量(不支持到static上)

    spring 配置Value常量(不支持到static上) 看代码吧,语言表达有问题. package com.variflight.xzair.rest.constant; import org.s ...

  10. Fastjson-fastjson中$ref对象重复引用问题

    当你有城市数据,你需要按国内.国际.热门城市分成数组的形式给出并输出为json格式. 第一个问题,你的数据格式,需要按字母类别划分,比如: "int": { "C&quo ...