Linux下如何利用訪問(wèn)控制列表來(lái)限制用戶權(quán)限

　　Linux下的訪問(wèn)控制列表（ACL）主要用來(lái)控制用戶的權(quán)限，可以做到不同用戶對(duì)同一文件有不同的權(quán)限，那么具體要如何操作呢？下面小編就教你如何在Linux下設(shè)置訪問(wèn)控制列表（ACL）來(lái)控制用戶的權(quán)限。

　　使用擁有權(quán)限控制的Liunx，工作是一件輕松的任務(wù)。它可以定義任何user，group和other的權(quán)限。無(wú)論是在桌面電腦或者不會(huì)有很多用戶的虛擬Linux實(shí)例，或者當(dāng)用戶不愿意分享他們之間的文件時(shí)，這樣的工作是很棒的。然而，如果你是在一個(gè)大型組織，你運(yùn)行了NFS或者Samba服務(wù)給不同的用戶，然后你將會(huì)需要靈活的挑選并設(shè)置很多復(fù)雜的配置和權(quán)限去滿足你的組織不同的需求。

　　Linux（和其他Unix等POSIX兼容的操作系統(tǒng)）有一種被稱為訪問(wèn)控制列表（ACL）的權(quán)限控制方法，它是一種權(quán)限分配之外的普遍范式。例如，默認(rèn)情況下你需要確認(rèn)3個(gè)權(quán)限組：owner、group和other。而使用ACL，你可以增加權(quán)限給其他用戶或組別，而不單只是簡(jiǎn)單的“other”或者是擁有者不存在的組別�？梢栽试S指定的用戶A、B、C擁有寫(xiě)權(quán)限而不再是讓他們整個(gè)組擁有寫(xiě)權(quán)限。

　　ACL支持多種Linux文件系統(tǒng)，包括ext2， ext3， ext4， XFS， Btfrs， 等。如果你不確定你的文件系統(tǒng)是否支持ACL，請(qǐng)參考文檔。

　　在文件系統(tǒng)使ACL生效

　　首先，我們需要安裝工具來(lái)管理ACL。

　　Ubuntu/Debian 中：

　　$ sudo apt-get install acl

　　CentOS/Fedora/RHEL 中：

　　# yum -y install acl

　　Archlinux 中：

　　# pacman -S acl

　　出于演示目的，我將使用ubuntu server版本，其他版本類似。

　　安裝ACL完成后，需要激活我們磁盤分區(qū)的ACL功能，這樣我們才能使用它。

　　首先，我們檢查ACL功能是否已經(jīng)開(kāi)啟。

　　$ mount

　　你可以注意到，我的root分區(qū)中ACL屬性已經(jīng)開(kāi)啟。萬(wàn)一你沒(méi)有開(kāi)啟，你需要編輯/etc/fstab文件，在你需要開(kāi)啟ACL的分區(qū)的選項(xiàng)前增加acl標(biāo)記。

　　現(xiàn)在我們需要重新掛載分區(qū)（我喜歡完全重啟，因?yàn)槲也幌雭G失數(shù)據(jù)），如果你對(duì)其它分區(qū)開(kāi)啟ACL，你必須也重新掛載它。

　　$ sudo mount / -o remount

　　干的不錯(cuò)！現(xiàn)在我們已經(jīng)在我們的系統(tǒng)中開(kāi)啟ACL，讓我們開(kāi)始和它一起工作。

　　ACL 范例

　　基礎(chǔ)ACL通過(guò)兩條命令管理：setfacl用于增加或者修改ACL，getfacl用于顯示分配完的ACL。讓我們來(lái)做一些測(cè)試。

　　我創(chuàng)建一個(gè)目錄/shared給一個(gè)假設(shè)的用戶，名叫freeuser

　　$ ls -lh /

　　我想要分享這個(gè)目錄給其他兩個(gè)用戶test和test2，一個(gè)擁有完整權(quán)限，另一個(gè)只有讀權(quán)限。

　　首先，為用戶test設(shè)置ACL：

　　$ sudo setfacl -m u:test:rwx /shared

　　現(xiàn)在用戶test可以隨意創(chuàng)建文件夾，文件和訪問(wèn)在/shared目錄下的任何地方。

　　現(xiàn)在我們?cè)黾又蛔x權(quán)限給用戶test2：

　　$ sudo setfacl -m u:test2:rx /shared

　　注意test2讀取目錄需要執(zhí)行（x）權(quán)限

　　讓我來(lái)解釋下setfacl命令格式：

　　-m 表示修改ACL。你可以增加新的，或修改存在的ACLu： 表示用戶。你可以使用 g 來(lái)設(shè)置組權(quán)限test 用戶名：rwx 需要設(shè)置的權(quán)限。

　　現(xiàn)在讓我向你展示如何讀取ACL：

　　$ ls -lh /shared

　　你可以注意到，正常權(quán)限后多一個(gè)+標(biāo)記。這表示ACL已經(jīng)設(shè)置成功。要具體看一下ACL，我們需要運(yùn)行：

　　$ sudo getfacl /shared

　　最后，如果你需要移除ACL：

　　$ sudo setfacl -x u:test /shared

　　如果你想要立即擦除所有ACL條目：

　　$ sudo setfacl -b /shared

　　最后，在設(shè)置了ACL文件或目錄工作時(shí)，cp和mv命令會(huì)改變這些設(shè)置。在cp的情況下，需要添加“p”參數(shù)來(lái)復(fù)制ACL設(shè)置。如果這不可行，它將會(huì)展示一個(gè)警告。mv默認(rèn)移動(dòng)ACL設(shè)置，如果這也不可行，它也會(huì)向您展示一個(gè)警告。

　　總結(jié)

　　使用ACL讓在你想要分享的文件上擁有更多的能力和控制，特別是在NFS/Samba服務(wù)。此外，如果你的主管共享主機(jī)，這個(gè)工具是必備的。

　　上面就是Linux下設(shè)置訪問(wèn)控制列表來(lái)控制用戶權(quán)限的方法介紹了，因?yàn)锳CL的配置和使用較為復(fù)雜，初學(xué)者在使用的時(shí)候容易出現(xiàn)錯(cuò)誤，希望本文介紹的方法能夠幫助到你。