恰当的acl规则被用在修改和设定的操作中,对于uid和gid,可以指定一个数字,也可指定一个名字。perms域是一个代表各种权限的字母的组合:读-r写-w执行-x,执行只适合目录和一些可执行的文件。pers域也可设置为八进制格式。
自动创建的规则
最初的,文件目录仅包含3个基本的acl规则。为了使规则能正常执行,需要满足以下规则。
3个基本规则不能被删除。 任何一条包含指定的用户名或群组名的规则必须包含有效的权限组合。 任何一条包含缺省规则的规则在使用时,缺省规则必须存在。ACL的名词定义
先来看看在ACL里面每一个名词的定义,这些名词我大多从man page上摘下来虽然有些枯燥,但是对于理解下面的内容还是很有帮助的。
ACL是由一系列的Access Entry所组成的,每一条Access Entry定义了特定的类别可以对文件拥有的操作权限。Access Entry有三个组成部分:Entry tag type, qualifier (optional), permission。
我们先来看一下最重要的Entry tag type,它有以下几个类型:
ACL_USER_OBJ:相当于Linux里file_owner的permission ACL_USER:定义了额外的用户可以对此文件拥有的permission ACL_GROUP_OBJ:相当于Linux里group的permission ACL_GROUP:定义了额外的组可以对此文件拥有的permission ACL_MASK:定义了ACL_USER, ACL_GROUP_OBJ和ACL_GROUP的最大权限 (这个我下面还会专门讨论) ACL_OTHER:相当于Linux里other的permission
让我们来据个例子说明一下,下面我们就用getfacl命令来查看一个定义好了的ACL文件:
[root@localhost ~]# getfacl ./test.txt # file: test.txt # owner: root # group: admin user::rw- user:john:rw- group::rw- group:dev:r-- mask::rw- other::r--
前面三个以#开头的定义了文件名,file owner和group。这些信息没有太大的作用,接下来我们可以用--omit-header来省略掉。
user::rw- 定义了ACL_USER_OBJ, 说明file owner拥有read and write permission user:john:rw- 定义了ACL_USER,这样用户john就拥有了对文件的读写权限,实现了我们一开始要达到的目的 group::rw- 定义了ACL_GROUP_OBJ,说明文件的group拥有read and write permission group:dev:r-- 定义了ACL_GROUP,使得dev组拥有了对文件的read permission mask::rw- 定义了ACL_MASK的权限为read and write other::r-- 定义了ACL_OTHER的权限为read
从这里我们就可以看出ACL提供了我们可以定义特定用户和用户组的功能,那么接下来我们就来看一下如何设置一个文件的ACL:
如何设置ACL文件
首先我们还是要讲一下设置ACL文件的格式,从上面的例子中我们可以看到每一个Access Entry都是由三个被:号分隔开的字段所组成,第一个就是Entry tag type。
