下面我们就用getfacl命令来查看一个定义好了的ACL文件:
[root@localhost ~]# getfacl ./test.txt #file: test.txt #owner: root #group: admin user::rw- user:john:rw- group::rw- group:dev:r-- mask::rw- other::r--前面三个以#开头的定义了文件名,fi
le owner和group。这些信息没有太大的作用,接下来我们可以用--omit-header来省略掉。
user::rw- 定义了ACL_USER_OBJ, 说明file owner拥有read and write permission
user:john:rw- 定义了ACL_USER,这样用户john就拥有了对文件的读写权限,实现了我们一开始要达到的目的
group::rw- 定义了ACL_GROUP_OBJ,说明文件的group拥有read and write permission
group:dev:r-- 定义了ACL_GROUP,使得dev组拥有了对文件的read permission
mask::rw- 定义了ACL_MASK的权限为read and write
other::r-- 定义了ACL_OTHER的权限为read
从这里我们就可以看出ACL提供了我们可以定义特定用户和用户组的功能,那么接下来我们就来看一下如何设置一个文件的ACL:
如何设置ACL文件首先我们还是要讲一下设置ACL文件的格式,从上面的例子中我们可以看到每一个Access Entry都是由三个被:号分隔开的字段所组成,第一个就是Entry tag type。
- user 对应了ACL_USER_OBJ和ACL_USER
- group 对应了ACL_GROUP_OBJ和ACL_GROUP
- mask 对应了ACL_MASK
- other 对应了ACL_OTHER
第二个字段称之为qualifier,也就是上面例子中的john和dev组,它定义了特定用户和拥护组对于文件的权限。这里我们也可以发现只有user和group才有qualifier,其他的都为空。第三个字段就是我们熟悉的permission了。它和Linux的permission一样定义,这里就不多讲了。
实例一: 设置test.txt这个文件的ACL让它来达到我们上面的要求。一开始文件没有ACL的额外属性:
[root@localhost ~]# ls -l -rw-rw-r-- 1 root admin 0 Jul 3 22:06 test.txt [root@localhost ~]# getfacl --omit-header ./test.txt user::rw- group::rw- other::r-- 我们先让用户john拥有对test.txt文件的读写权限: [root@localhost ~]# setfacl -m user:john:rw- ./tes t.txt [root@localhost ~]# getfacl --omit-header ./test.txt user::rw- user:john:rw- group::rw- mask::rw- other::r-- 这时我们就可以看到john用户在ACL里面已经拥有了对文件的读写权。这个时候如果我们查看一下linux的permission我们还会发现一个不一样的地方。
[root@localhost ~]# ls -l ./test.txt -rw-rw-r--+ 1 root admin 0 Jul 3 22:06 ./test.txt在文件permission的最后多了一个+号,当任何一个文件拥有了ACL_USER或者ACL_GROUP的值以后我们就可以称它为ACL文件,这个+号就是用来提示我们的。
我们还可以发现当一个文件拥有了ACL_USER或者ACL_GROUP的值时ACL_MASK同时也会被定义。 接下来我们来设置dev组拥有read permission: [root@localhost ~ ]# setfacl -m group:dev:r-- ./test.txt [root@localhost ~]# getfacl --omit-header ./test.txt user::rw- user:john:rw- group::rw- group:dev:r-- mask::rw- other::r--到这里就完成了我们上面讲到的要求,是不是很简单呢。