ACL的配置方法二

接着上一篇， 我们来看看ACL的具体操作
体验1 － ACL的基本操作：添加和修改
我首先新建一个文件作为实施ACL的对象：

[root@FC3-vm mnt]# touch file1 [root@FC3-vm mnt]# ls -l file1 -rw-r--r-- 1 root root 7 Dec 11 00:28 file1

然后看一下这个文件缺省的ACL，这时这个文件除了通常的UGO的权限之外，并没有ACL：

[root@FC3-vm mnt]# getfacl file1 # file: file1 # owner: root # group: root user::rw- group::r-- other::r-

*注意：即使是不支持ACL的情况下，getfacl仍然能返回一个这样的结果。不过setfacl是不能工作的。
下面添加几个用户和组，一会我将使用ACL赋予他们不同的权限：

现在我们看看testu1能做什么：

[root@FC3-vm mnt]# groupadd testg1 [root@FC3-vm mnt]# useradd testu1 [root@FC3-vm mnt]# useradd testu2 [root@FC3-vm mnt]# usermod -G testg1 testu1

失败了。因为file1并不允许除了root以外的用户写。我们现在就通过修改file1的ACL赋予testu1足够的权限：

[root@FC3-vm mnt]# su testu1 [testu1@FC3-vm mnt]$ echo "testu1" >> file1 bash: file1: Permission denied

修改成功了，用户testu1可以对file1做读写操作了。我们来看一下file1的ACL：

[root@FC3-vm mnt]# setfacl -m u:testu1:rw file1 [root@FC3-vm mnt]# su testu1 [testu1@FC3-vm mnt]$ echo "testu1" >> file1 [testu1@FC3-vm mnt]$ cat file1 testu1

[testu1@FC3-vm mnt]$ getfacl file1 # file: file1 # owner: root # group: root user::rw- user:testu1:rw- group::r-- mask::rw- other::r-

我们ls看一下：

可以看到那个"+"了么？就在通常我们看到的权限位的旁边。这个说明file1设置了ACL， 接下来我们修改一下testu1的权限，同时给testg1这个组以读的权限：

[root@FC3-vm mnt]# ls -l file1 -rw-rw-r--+ 1 root root 7 Dec 11 00:28 file1

[root@FC3-vm mnt]# setfacl -m u:testu1:rwx,g:testg1:r file1 [root@FC3-vm mnt]# getfacl file1 # file: file1 # owner: root # group: root user::rw- user:testu1:rwx group::r-- group:testg1:r-- mask::rwx other::r-

可以看到设置后的权限，testu1已经有了执行的权限，而testg1这个组也获得了读取文件内容的权限。也许有人已经注意到了两个问题：首先，file1的组权限从r--变成了rw-。其次，mask是什么？为什么也变化了呢？我们先从mask说起。如果说acl的优先级高于UGO，那么mask就是一个名副其实的最后一道防线。它决定了一个用户/组能够得到的最大的权限。这样我们在不破坏已有ACL的定义的基础上，可以临时提高或是降低安全级别：

[root@FC3-vm mnt]# setfacl -m mask::r file1 [root@FC3-vm mnt]# getfacl file1 # file: file1 # owner: root # group: root user::rw- user:testu1:rwx #effective:r-- group::r-- group:testg1:r-- mask::r-- other::r-- [root@FC3-vm mnt]# ls -l file1 -rw-r--r--+ 1 root root 7 Dec 11 00:28 file1

在testu1对应的ACL项的后边出现了effective的字样，这是实际testu1得到的权限。Mask只对其他用户和组的权限有影响，对owner和other的权限是没有任何影响的。执行ls的结果也显示UGO的设置也有了对应的变化。因为在使用了ACL的情况下，group的权限显示的就是当前的mask。通常我们把mask设置成rwx，以不阻止任何的单个ACL项。
*需要注意的是，每次修改或添加某个用户或组的ACL项的时候，mask都会随之修改以使最新的修改能够真正生效。所以如果需要一个比较严格的mask的话，可能需要每次都重新设置一下mask。

体验2 － ACL的其他功能：删除和覆盖
我们来看一下其他的ACL操作。首先如何删除已有的ACL项呢？

我们看到testg1的权限已经被去掉了。如果需要去掉所有的ACL可以用-b选项。所有的ACL项都会被去掉。

[root@FC3-vm mnt]# setfacl -x g:testg1 file1 [root@FC3-vm mnt]# getfacl file1 # file: file1 # owner: root # group: root user::rw- user:testu1:rwx group::r-- mask::rwx other::r--

我们可以用--set 设置一些新的ACL项，并把原有的ACL项全部都覆盖掉。和-m不同，-m选项只是修改已有的配置或是新增加一些。--set选项会把原有的ACL项都删除，用新的替代，需要注意的是一定要包含UGO的设置，不能象-m一样只是添加ACL就可以了。比如下边这一段：

[root@FC3-vm mnt]# setfacl -b file1 [root@FC3-vm mnt]# getfacl file1 # file: file1 # owner: root # group: root user::rw- group::r-- other::r--

o::-是另一个需要注意的地方。其实完整的写法是other::---，正如u::rw的完整写法是user::rw-。通常我们可以把"-"省略，但是当权限位只包含"-"时，必须至少保留一个。如果写成了o::，就会出现错误。
如果希望对目录下的所有子目录都设置同样的ACL，可以使用-R参数：

如果希望能从一个文件来读入ACL，并修改当前的文件的ACL，可以用-M参数：

[root@FC3-vm mnt]# setfacl --set u::rw,u:testu1:rw,g::r,o::- file1 [root@FC3-vm mnt]# getfacl file1 # file: file1 # owner: root # group: root user::rw- user:testu1:rw- group::r-- mask::rw- other::---

接后面文章