在Linux中使用访问控制列表(ACL)保护文件/目录

译文
安全 数据安全
作为系统管理员,我们的首要任务就是切实保护数据的安全,以免被未授权的人访问。我们都很清楚使用一些大有帮助的Linux命令设置的权限,比如chmod、chown和chgrp等命令,可是这些默认的权限集有一定的局限性,有时可能还满足不了我们的要求。

作为系统管理员,我们的首要任务就是切实保护数据的安全,以免被未授权的人访问。我们都很清楚使用一些大有帮助的Linux命令设置的权限,比如chmod、chown和chgrp等命令,可是这些默认的权限集有一定的局限性,有时可能还满足不了我们的要求。比如说,我们就无法针对同一目录或文件为不同用户设置不同的权限集。因而,访问控制列表(ACL)应运而生。

在Linux中使用访问控制列表(ACL)保护文件/目录

Linux访问控制列表

比如说,你有三个用户,分别是“tecmint1”、“tecmint2”和“tecmint3”。每个用户都有一个共同的用户组,比如说“acl”。用户“tecmint1”希望,只有“tecmint2”用户才能读取和访问归“tecmint1”用户所有的文件,其他人都无权访问该文件。

访问控制列表(ACL)让我们可以做到同样这点。这些ACL让我们可以为某个用户、用户组或不在用户组列表中的任何用户的任何组授予权限。

注意:按照红帽产品说明文档,它为ext3文件系统和NFS导出文件系统提供了ACL支持。

如何检查Linux系统中的ACL支持?

在继续下一步之前,你应确保ACL在现有的内核和已挂载的文件系统上得到支持。

1. 检查内核是否支持ACL。

运行下面这个命令,检查是否为文件系统提供ACL支持,是否有POSIX_ACL=Y选项(如果出现的是N,而不是Y,那么这意味着内核并不支持ACL,需要重新加以编译)。

[root@linux ~]# grep -i acl /boot/config*

CONFIG_EXT4_FS_POSIX_ACL=y
CONFIG_REISERFS_FS_POSIX_ACL=y
CONFIG_JFS_POSIX_ACL=y
CONFIG_XFS_POSIX_ACL=y
CONFIG_BTRFS_FS_POSIX_ACL=y
CONFIG_FS_POSIX_ACL=y
CONFIG_GENERIC_ACL=y
CONFIG_TMPFS_POSIX_ACL=y
CONFIG_NFS_V3_ACL=y
CONFIG_NFSD_V2_ACL=y
CONFIG_NFSD_V3_ACL=y
CONFIG_NFS_ACL_SUPPORT=m
CONFIG_CIFS_ACL=y
CONFIG_9P_FS_POSIX_ACL=y

2. 检查所需的程序包。

在开始处理ACL之前,要确保你已安装了所需的程序包。下面是所需的程序包,需要使用yum或apt-get命令加以安装。

[root@linux ~]# yum install nfs4-acl-tools acl libacl  [on RedHat based systems]
[tecmint@linux ~]$ sudo apt-get install nfs4-acl-tools acl [on Debian based systems]

3. 检查已挂载的文件系统是否支持ACL。

现在,检查已挂载的文件系统是否使用ACL选项挂载的。我们可以使用“mount”命令来进行同样的检查,如下所示。

[root@linux ~]# mount  | grep -i root
/dev/mapper/fedora-root on / type ext4 (rw,relatime,data=ordered)

但在本例中,它在默认情况下没有显示acl。所以,接下来我们可以再次使用acl选项,重新挂载已挂载的分区。但在继续下一步之前,我们还有另一个选项:确保有没有使用acl选项来挂载,因为对较新系统而言,它可能整合了默认的挂载选项。

[root@linux ~]# tune2fs -l /dev/mapper/fedora-root | grep acl
Default mount options:    user_xattr acl

在上面的输出结果中,你能看到默认的挂载选项已经支持acl。另一个选项是,重新挂载分区,如下所示。

[root@linux ~]# mount -o remount,acl /

下一步,将下面这一项条目添加到/etc/fstab文件,让其具有***性。

/dev/mapper/fedora-root / ext4 defaults,acl 1 1

再次重新挂载分区。

[root@linux ~]# mount -o remount /

4. 针对NFS服务器。

在NFS服务器上,如果NFS服务器导出的文件系统支持ACL,ACL又可以被NFS客户机读取,那么客户机系统就能使用ACL。

想禁用NFS共享区上的ACL,你就得在NFS服务器的“/etc/exportfs”文件中添加选项“no_acl”。想在NSF客户端禁用它,那么在挂载期间再次使用“no_acl“选项。

如何在Linux系统中实现ACL支持?

ACL有两种类型:

◦访问ACL:访问ACL用于授予针对任何文件或目录的权限。

◦默认ACL:默认ACL用于授予/设置只针对特定目录的访问控制列表。

访问ACL与默认ACL之间的区别如下:

◦默认ACL只能用在目录级别。

◦在该目录里面创建的任何子目录或文件将从父目录那里继承ACL。另一方面,文件继承默认ACL作为其访问ACL。

◦我们使用“–d”来设置默认ACL,默认ACL是可选的。

在设置默认ACL之前

想为特定的文件或目录设置默认ACL,可以使用“getfacl”命令。在下面这个例子中,getfacl用于为文件夹“Music”获得默认ACL。

[root@linux ~]# getfacl Music/
# 文件:Music/
# 所有者:root
# 用户组:root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x
default:other::rw-

设置默认ACL之后

想为特定的文件或目录设置默认ACL,使用“setfacl”命令。在下面这个例子中,setfacl命令将为文件夹“Music”设置新的ACL(读取和执行)。

[root@linux ~]# setfacl -m d:o:rx Music/
[root@linux ~]# getfacl Music/
# 文件:Music/
# 所有者:root
# 用户组:root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x
default:other::r-x

如何设置新的ACL

使用“setfacl”命令用于设置或修改任何文件或目录。比如说,想为用户“tecmint1”授予读取和写入权限。

# setfacl -m u:tecmint1:rw /tecmint1/example

如何查看ACL

使用“getfacl”命令用于查看任何文件或目录的ACL。比如说,想查看“/tecmint1/example”上的ACL,使用下面这个命令。

# getfacl /tecmint1/example

# 文件:tecmint1/example/
# 所有者:tecmint1
# 用户组:tecmint1
user::rwx
user:tecmint1:rwx
user:tecmint2:r--
group::rwx
mask::rwx
other::---

如何删除ACL

想删除任何文件/目录的ACL,我们可以使用x和b这两个选项,如下所示。

# setfacl -x ACL file/directory # 只删除文件/目录的指定ACL
# setfacl -b file/directory # 删除文件/目录的所有ACL

不妨将ACL实现到下列场景。

两个用户(tecmint1和tecmint2)都有共同的辅助组,名为“acl”。我们将创建归“tecmint1”用户所有的一个目录,并为用户“tecmint2”提供针对该目录的读取和执行权限。

第1步:创建两个用户,并清除两个用户的密码。

 [root@linux ~]# for user in tecmint1 tecmint2

> do
> useradd $user
> passwd -d $user
> done
Removing password for user tecmint1.
passwd: Success
Removing password for user tecmint2.
passwd: Success

第2步:为辅助组创建用户组和用户。

[root@linux ~]# groupadd acl
[root@linux ~]# usermod -G acl tecmint1 
[root@linux ~]# usermod -G acl tecmint2

第3步:创建目录/tecmint,并将所有权改为tecmint1。

[root@linux ~]# mkdir /tecmint1
[root@linux ~]# chown tecmint1 /tecmint1/

[root@linux ~]# ls -ld /tecmint1/
drwxr-xr-x 2 tecmint1 root 4096 Apr 17 14:46 /tecmint1/

[root@linux ~]# getfacl /tecmint1
getfacl: Removing leading '/' from absolute path names
# 文件:tecmint1
# 所有者:tecmint1
# 用户组:root
user::rwx
group::r-x
other::r-x

第4步:以tecmint1身份登录,在/tecmint文件夹下创建一个目录。

[tecmint@linux ~]$ su - tecmint1
Last login: Thu Apr 17 14:49:16 IST 2014 on pts/4

[tecmint1@linux ~]$ cd /tecmint1/
[tecmint1@linux tecmint1]$ mkdir example

[tecmint1@linux tecmint1]$ ll
total 4
drwxrwxr-x 2 tecmint1 tecmint1 4096 Apr 17 14:50 example

[tecmint1@linux tecmint1]$ whoami
tecmint1

第5步:现在使用“setfacl”设置ACL,那样“tecmint1”用户会拥有所有的rwx(读取、写入和执行)权限,“tecmint2”用户只有“example”文件夹上的读取权限,其他用户没有任何权限。

$ setfacl -m u:tecmint1:rwx example/
$ setfacl -m u:tecmint2:r-- example/
$ setfacl -m  other:--- example/
$ getfacl example/

# 文件:example
# 所有者:tecmint1
# 用户组:tecmint1
user::rwx
user:tecmint1:rwx
user:tecmint2:r--
group::r-x
mask::rwx
other::---

第6步:现在以另一用户(即“tecmint2”)的身份在另一个终端上登录,将目录改为“/tecmint1”。现在试着使用“ls”命令,查看内容,然后试着更改目录,看看有什么区别,如下所示。

[tecmint@linux ~]$ su - tecmint2
Last login: Thu Apr 17 15:03:31 IST 2014 on pts/5

[tecmint2@linux ~]$ cd /tecmint1/
[tecmint2@linux tecmint1]$ ls -lR example/
example/:
total 0

[tecmint2@linux tecmint1]$ cd example/
-bash: cd: example/: Permission denied

[tecmint2@linux tecmint1]$ getfacl example/
# 文件:example
# 所有者:tecmint1
# 用户组:tecmint1
user::rwx
user:tecmint1:rwx
user:tecmint2:r--
group::rwx
mask::rwx
other::---

第7步:现在为“tecmint2”用户授予针对“example”文件夹的“执行”权限,然后使用“cd”命令看看有什么效果。现在,“tecmint2”用户拥有查看和更改目录的权限,但没有写入任何内容的权限。

[tecmint1@linux tecmint1]$ setfacl -m u:tecmint2:r-x example/
[tecmint1@linux tecmint1]$ getfacl example/

# 文件:example
# 所有者:tecmint1
# 用户组:tecmint1
user::rwx
user:tecmint1:rwx
user:tecmint2:r-x
group::rwx
mask::rwx
other::---

[tecmint@linux ~]$ su - tecmint2
Last login: Thu Apr 17 15:09:49 IST 2014 on pts/5

[tecmint2@linux ~]$ cd /tecmint1/
[tecmint2@linux tecmint1]$ cd example/
[tecmint2@linux example]$ getfacl .[tecmint2@linux example]$ mkdir test
mkdir: cannot create directory 'test': Permission denied

[tecmint2@linux example]$ touch test
touch: cannot touch 'test': Permission denied

注意:实现ACL后,你会看到“ls –l”输出有一个额外的“+”符号,如下所示。

[root@linux tecmint1]# ll

total 4
drwxrwx---+ 2 tecmint1 tecmint1 4096 Apr 17 17:01 example

参考链接:

ACL的说明文档:

https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Storage_Administration_Guide/ch-acls.html

原文地址:http://www.tecmint.com/secure-files-using-acls-in-linux/

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2023-12-06 21:50:40

2019-07-31 08:11:46

ACL访问控制列表网络通信

2012-09-18 09:43:14

Squid代理服务器安全网关

2009-05-13 10:26:02

CCNAACLIP访问控制

2017-02-23 09:00:42

2018-01-05 10:00:50

Linux命令ACL

2010-09-01 16:43:26

Squid ACLSquid访问列表Squid

2013-03-01 10:48:28

2021-06-22 10:30:42

Linuxpushdpopd

2022-07-13 09:01:48

ACL网络流量

2009-12-14 13:33:31

linuxramdisk文件系统

2012-01-10 10:05:47

文件目录访问控制UGO

2024-10-10 17:55:57

LinuxACL访问控制列表

2020-07-29 07:40:19

Linux系统Vim

2012-05-09 10:38:37

2009-02-12 11:59:11

2009-12-22 09:04:35

ACL时间控制列表

2011-03-14 17:50:27

访问控制列表

2010-08-04 13:06:41

路由器配置

2011-03-01 13:22:18

自反访问控制列表
点赞
收藏

51CTO技术栈公众号