靈活運(yùn)用Linux中的文件/目錄訪問(wèn)控制機(jī)制
文件/目錄訪問(wèn)控制是Linux操作系統(tǒng)安全的重要組成部分。傳統(tǒng)的Linux操作系統(tǒng)支持用戶-用戶組-其它用戶的訪問(wèn)控制機(jī)制,來(lái)限定系統(tǒng)用戶對(duì)文件/目錄的訪問(wèn)權(quán)限,該機(jī)制已經(jīng)廣泛為用戶所接受和應(yīng)用。而在實(shí)際的使用過(guò)程中,用戶意識(shí)到在很多應(yīng)用場(chǎng)景該機(jī)制并不能靈活、高效地滿足訪問(wèn)控制需求,因而自Linux內(nèi)核2.6版本開始便支持更為靈活的ACL(訪問(wèn)控制列表)機(jī)制。本文將通過(guò)實(shí)例來(lái)詳細(xì)介紹這兩種機(jī)制的原理及使用。
1、傳統(tǒng)的用戶-用戶組-其他用戶(UGO)訪問(wèn)控制機(jī)制
UGO(user,group,other)模式原理
Linux系統(tǒng)中的每個(gè)文件和目錄都有訪問(wèn)許可權(quán)限,通過(guò)其確定誰(shuí)可以通過(guò)何種方式對(duì)文件和目錄進(jìn)行訪問(wèn)和操作。文件或目錄的訪問(wèn)權(quán)限分為只讀,只寫和可執(zhí)行三種。以文件為例,只讀權(quán)限表示只允許讀其內(nèi)容,而禁止對(duì)其做任何的更改操作;只寫權(quán)限允許對(duì)文件進(jìn)行任何的修改操作;可執(zhí)行權(quán)限表示允許將該文件作為一個(gè)程序執(zhí)行。文件被創(chuàng)建時(shí),文件所有者自動(dòng)擁有對(duì)該文件的讀、寫和可執(zhí)行權(quán)限,以便于對(duì)文件的閱讀和修改。用戶也可根據(jù)需要把訪問(wèn)權(quán)限設(shè)置為需要的任何組合。
有三種不同類型的用戶可對(duì)文件或目錄進(jìn)行訪問(wèn):文件所有者,同組用戶、其他用戶。所有者一般是文件的創(chuàng)建者。它可以允許同組用戶有權(quán)訪問(wèn)文件,還可以將文件的訪問(wèn)權(quán)限賦予系統(tǒng)中的其他用戶。在這種情況下,系統(tǒng)中的每一位用戶都能訪問(wèn)該用戶擁有的文件或目錄。
每一個(gè)文件或目錄的訪問(wèn)權(quán)限都有三組,每組用三位表示,分別為文件屬主的讀、寫和執(zhí)行權(quán)限;與屬主同組的用戶的讀、寫和執(zhí)行權(quán)限;系統(tǒng)中其他用戶的讀、寫和執(zhí)行權(quán)限。當(dāng)用ls-l命令顯示文件或目錄的詳細(xì)信息時(shí),最左邊的一列為文件的訪問(wèn)權(quán)限。例如:
#ls-l
總計(jì)76
-rw-------1rootroot79711-0620:41anaconda-ks.cfg
drwxr-xr-x2rootroot409611-0613:50Desktop
-rw-r--r--1rootroot4484311-0620:40install.log
-rw-r--r--1rootroot751311-0620:35install.log.syslog
橫線代表空許可(即表示不具有該權(quán)限)。r代表只讀,w代表寫,x代表可執(zhí)行。注意:這里共有10個(gè)位置。第1個(gè)字符指定了文件類型。在通常意義上,一個(gè)目錄也是一個(gè)文件。如果第1個(gè)字符是橫線,表示是一個(gè)非目錄的文件。如果是d,表示是一個(gè)目錄。后面的9個(gè)字符每三個(gè)構(gòu)成一組,依次表示文件主、組用戶、其他用戶對(duì)該文件的訪問(wèn)權(quán)限。
確定了一個(gè)文件的訪問(wèn)權(quán)限后,用戶可以利用Linux系統(tǒng)提供的chmod命令來(lái)重新設(shè)定不同的訪問(wèn)權(quán)限。也可以利用chown命令來(lái)更改某個(gè)文件或目錄的所有者。
2、擴(kuò)展的訪問(wèn)控制列表(ACL)方式
為什么要采用ACL
UGO訪問(wèn)控制機(jī)制在很多情況下難以滿足實(shí)際文件/目錄訪問(wèn)授權(quán)的需求,比如,要設(shè)定一個(gè)組中的部分用戶對(duì)特定的文件/目錄具有讀取和訪問(wèn)權(quán)限(rw-),而另外一部分用戶只能具備讀權(quán)限(r--);這在傳統(tǒng)的Linux訪問(wèn)控制中無(wú)法通過(guò)單純地建立新的組和用戶來(lái)實(shí)現(xiàn)。因此,為了解決這些問(wèn)題,人們提出了一種新的訪問(wèn)控制方法,也就是訪問(wèn)控制列表(ACL,AccessControlList)。
ACL是一個(gè)POSIX(可移植操作系統(tǒng)接口,PortableOperatingSystemInterface)標(biāo)準(zhǔn)。目前,支持ACL需要內(nèi)核和文件系統(tǒng)的支持。現(xiàn)在2.6內(nèi)核配合EXT2/EXT3,JFS,XFS,ReiserFS等文件系統(tǒng)都是可以支持ACL的。在目前主流的發(fā)行套件,如RedHatEnterpriseLinux(RHEL)5、RHEL6、Fedora16等等,都已經(jīng)支持ACL。
ACL的類型及權(quán)限位
ACL是由一系列的AccessEntry所組成的。每一條AccessEntry定義了特定的類別可以對(duì)文件擁有的操作權(quán)限。AccessEntry主要包括6個(gè),可分為兩大類:一類包括owner、owninggroup和other,對(duì)應(yīng)傳統(tǒng)UGO機(jī)制中的user、group和other;一類則包括nameduser、namedgroup和mask。這六類的主要說(shuō)明如下:
user:相當(dāng)于Linux里文件所有者的permission
nameduser:定義了額外的用戶可以對(duì)此文件擁有的permission
group:相當(dāng)于Linux里group的permission
namedgroup:定義了額外的組可以對(duì)此文件擁有的permission
mask:定義了nameduser,namedgroup和group的***權(quán)限
other:相當(dāng)于Linux里other的permission
舉個(gè)簡(jiǎn)單的例子,對(duì)于如下的ACLEntry的定義:
#file:example.xml
#owner:liyang
#group:operation
user::rwx
user:shengping:rw-
group::rw-
group:dev:r-x
mask::rwx
other::r—
其中,前面三個(gè)以#開頭的定義了文件名、文件的所有者和所有者所在的組。后面緊跟著的六行則說(shuō)明了如下的問(wèn)題:
user::rwx說(shuō)明文件所有者擁有讀寫和執(zhí)行權(quán)限
user:shengping:rw-定義了用戶shengping擁有對(duì)文件的讀寫權(quán)限
group::rw-說(shuō)明文件的group擁有讀寫權(quán)限
group:dev:r-x定義dev組擁有對(duì)文件的讀和執(zhí)行權(quán)限
mask::rwx定義了mask的權(quán)限為讀
other::r--定義了other用戶的權(quán)限為讀
值得特別注意的是:mask的rwx權(quán)限定義,決定了user:shengping,group和group:dev對(duì)文件的***權(quán)限分別是rw、rw和rx。這也是mask這個(gè)ACLEntry的用途所在,可以用它來(lái)批量控制權(quán)限。當(dāng)然,在實(shí)際的使用過(guò)程中,并不需要用戶對(duì)該Entry直接進(jìn)行操作,而只需要使用相應(yīng)的setfacl命令即可,系統(tǒng)將會(huì)根據(jù)該命令的執(zhí)行來(lái)自動(dòng)生成上述Entry項(xiàng),這其中就包含了mask這個(gè)Entry項(xiàng)。#p#
ACL的基本命令
ACL的主要命令有2個(gè):getfacl和setfacl。Getfacl用于或取文件或者目錄的ACL權(quán)限信息,而setfacl則用于設(shè)置文件或者目錄的ACL權(quán)限信息。下面分別對(duì)他們的使用進(jìn)行簡(jiǎn)單介紹。
Getfacl-獲取ACL權(quán)限信息
getfacl命令用于獲取文件的ACL權(quán)限信息,其基本用法為:getfacl[文件/目錄名]。
舉個(gè)例子,首先,使用touch命令先建立一個(gè)測(cè)試文件acl_test:
$touchfileacl_test
然后,使用ls命令來(lái)查看該文件的權(quán)限訪問(wèn)屬性,發(fā)現(xiàn)其并沒(méi)有加入acl權(quán)限,因?yàn)闆](méi)有出現(xiàn)“+”符號(hào):
$ls-lacl_test
-rw-rw-r--1gavingavin012-2011:49acl_test
接著,使用getfacl命令來(lái)獲取文件的ACL權(quán)限信息,得到如下結(jié)果:
$getfaclacl_test
#file:acl_test
#owner:gavin
#group:gavin
user::rw-
group::rw-
other::r—
值得注意的是:即使該文件系統(tǒng)上沒(méi)有開啟ACL選項(xiàng),getfacl命令仍然可用,不過(guò)只顯示默認(rèn)的文件訪問(wèn)權(quán)限,即與ls-l顯示的內(nèi)容相似。
Setfacl-設(shè)置ACL權(quán)限
為了設(shè)置文件的ACL權(quán)限,需要使用setfacl命令來(lái)詳細(xì)設(shè)置文件的訪問(wèn)權(quán)限,其基本用法如下:
setfacl–[參數(shù)][文件/目錄](méi),其常用的參數(shù)及作用如下所示:
-m:建立一個(gè)ACL規(guī)則
-x:刪除一個(gè)ACL規(guī)則
-b:刪除全部的ACL規(guī)則
-set:覆蓋ACL規(guī)則
下面來(lái)詳細(xì)介紹如何使用setfacl來(lái)設(shè)置文件/目錄的ACL權(quán)限。
(1)添加/修改ACL規(guī)則
需要使用-m選項(xiàng)來(lái)進(jìn)行操作。
舉個(gè)例子,使用該命令為用戶gavin和組test設(shè)置acl_test文件的讀寫權(quán)限,并使用getfacl查看設(shè)置結(jié)果:
$setfacl-mu:gavin:rw,g:test:racl_test
$getfaclacl_test
#file:acl_test
#owner:gavin
#group:gavin
user::rw-
user:gavin:rw-
group::rw-
group:test:r--
mask::rw-
other::r—
在上面的命令示例中,可以清楚地看到加粗部分user:gavin、group:test、mask這3個(gè)ACLEntry的出現(xiàn),表明對(duì)文件進(jìn)行了ACL權(quán)限設(shè)置,否則,不會(huì)出現(xiàn)該標(biāo)識(shí)。為了進(jìn)一步驗(yàn)證,我們使用ls-l來(lái)查看該文件的權(quán)限位中是否多了“+”這個(gè)標(biāo)識(shí)位,如下所示:
$ls-lacl_test
-rw-rw-r--+1gavingavin012-2011:49acl_test
其中,user:gavin、group:test為我們?cè)O(shè)置的訪問(wèn)權(quán)限,而mask::rw為自動(dòng)添加的內(nèi)容。
(2)刪除ACL規(guī)則
使用-x選項(xiàng)可以方便地刪除指定用戶對(duì)指定文件/目錄的訪問(wèn)權(quán)限。
以下示例刪除用戶gavin對(duì)文件acl_test的訪問(wèn)權(quán)限:
$setfacl-xu:gavinacl_test
$getfaclacl_test
#file:acl_test
#owner:gavin
#group:gavin
user::rw-
group::rw-
group:test:r--
mask::rw-
other::r--
$ls-lacl_test
-rw-rw-r--+1gavingavin012-2011:49acl_test
通過(guò)上述2段ACL權(quán)限顯示的對(duì)比可以清楚地看到:用戶gavin對(duì)于文件acl_test的訪問(wèn)權(quán)限已經(jīng)完全刪除了,表現(xiàn)為user:gavin:rw-已經(jīng)不存在了。這里提醒注意的是:我們不能夠通過(guò)setfacl命令來(lái)指定刪除用戶/組對(duì)文件/目錄的某一個(gè)特定權(quán)限(如r、w或者x)。同時(shí),也可以看到,使用ls-l命令顯示文件的9個(gè)權(quán)限位還是沒(méi)有改變,因?yàn)楦淖兊闹皇茿CL權(quán)限,而不是最基本的user、group和others權(quán)限。
(3)刪除文件/目錄的所有ACL規(guī)則
使用-b選項(xiàng)可以刪除文件/目錄的ACL權(quán)限。如下命令將刪除文件acl_test的所有ACL權(quán)限。可以看到,使用getfacl命令來(lái)查看是,mask項(xiàng)已經(jīng)消失,即該文件已經(jīng)沒(méi)有了所有的ACL權(quán)限:
$setfacl-bacl_test
$getfaclacl_test
#file:acl_test
#owner:gavin
#group:gavin
user::rw-
group::rw-
other::r—
(4)覆蓋文件的原有ACL規(guī)則
需要使用--set選項(xiàng)。此處需要強(qiáng)調(diào)一下-m選項(xiàng)和--set選項(xiàng)的區(qū)別:-m選項(xiàng)只是修改已有的配置或是新增加一些;而--set選項(xiàng)和-m不同,它會(huì)把原有的ACL項(xiàng)全都刪除,并用新的替代。另外,--set選項(xiàng)的參數(shù)中一定要包含UGO的設(shè)置,不能象-m一樣只是添加ACL就可以了。
以下示例該選項(xiàng)的使用方法:
$setfacl--setu::rw,g::rw,o::r,u:gavin:rwx,g:test:rxacl_test
$getfaclacl_test
#file:acl_test
#owner:gavin
#group:gavin
user::rw-
user:gavin:rwx
group::rw-
group:test:r-x
mask::rwx
other::r--
$ls-lacl_test
-rw-rwxr--+1gavingavin012-2011:49acl_test
這里需要提醒注意的是:上述acl_test文件的權(quán)限標(biāo)識(shí)位中的group的rwx權(quán)限,并不是表明acl_test文件所屬用戶的用戶組對(duì)其有x權(quán)限,實(shí)際上只具有rw權(quán)限,而是因?yàn)樵趃roup:test:r-x中指定了test這個(gè)組具有x權(quán)限,所以ACL機(jī)制在這個(gè)標(biāo)識(shí)位上進(jìn)行了體現(xiàn),在實(shí)際的應(yīng)用中要特別注意,切記不要弄混淆了。
(5)其他選項(xiàng)
除了上述介紹的4類用法外,setfacl還可以使用如下一些選項(xiàng),如下表,供大家在實(shí)際使用中參考:
為目錄創(chuàng)建默認(rèn)ACL
在日常的使用過(guò)程中,經(jīng)常是通過(guò)對(duì)目錄來(lái)設(shè)定ACL權(quán)限來(lái)滿足應(yīng)用的需求,而很少僅僅通過(guò)設(shè)置特定的文件來(lái)實(shí)現(xiàn),因?yàn)檫@樣做比較繁瑣和低效。因此,下面就介紹如何來(lái)為目錄創(chuàng)建默認(rèn)的ACL。
如果希望在一個(gè)目錄中新建的文件和目錄都使用同一個(gè)預(yù)定的ACL,那么我們可以使用默認(rèn)ACL(DefaultACL)。在對(duì)一個(gè)目錄設(shè)置了默認(rèn)的ACL以后,每個(gè)在目錄中創(chuàng)建的文件都會(huì)自動(dòng)繼承目錄的默認(rèn)ACL作為自己的ACL。
具體的設(shè)置命令為:setfacl-d[目錄名]。
下面的例子對(duì)新建的test目錄進(jìn)行ACL權(quán)限設(shè)置,并在其中新建了test1和test2文件,來(lái)看看默認(rèn)ACL的設(shè)置情況。
首先,對(duì)文件夾test進(jìn)行ACL權(quán)限查看如下:
$getfacltest
#file:test
#owner:gavin
#group:gavin
user::rwx
group::rwx
other::r-x
接著,對(duì)其進(jìn)行權(quán)限設(shè)置如下:
$setfacl-d-mg:test:rtest
$getfacltest
#file:test
#owner:gavin
#group:gavin
user::rwx
group::rwx
other::r-x
default:user::rwx
default:group::rwx
default:group:test:r--
default:mask::rwx
default:other::r-x
可以看到,經(jīng)過(guò)setfacl設(shè)置后,該文件夾的權(quán)限增加了以default開始的幾項(xiàng),表明設(shè)置成功。
然后,建立兩個(gè)新的文件,然后查看他們的ACL權(quán)限信息如下:
$touchtest1test2
$getfacltest1
#file:test1
#owner:gavin
#group:gavin
user::rw-
group::rwx#effective:rw-
group:test:r--
mask::rw-
other::r--
$getfacltest2
#file:test2
#owner:gavin
#group:gavin
user::rw-
group::rwx#effective:rw-
group:test:r--
mask::rw-
other::r--
可以清楚地看到:文件test1和test2自動(dòng)繼承了test設(shè)置的ACL。
備份和恢復(fù)ACL
目前,Linux系統(tǒng)中的主要的文件操作命令,如cp、mv、ls等都支持ACL。因此,在基本的文件/目錄操作中可以很好地保持文件/目錄的ACL權(quán)限。然而,有一些其它的命令,比如tar(文件歸檔)等常見(jiàn)的備份工具是不會(huì)保留目錄和文件的ACL信息的。因此,如果希望備份和恢復(fù)帶有ACL的文件和目錄,那么可以先把ACL備份到一個(gè)文件里,待操作完成以后,則可以使用--restore選項(xiàng)來(lái)恢復(fù)這個(gè)文件/目錄中保存的ACL信息。
下面給出一個(gè)具體的例子來(lái)進(jìn)行說(shuō)明。
(1)獲取文件acl_test的ACL權(quán)限
$getfaclacl_test
#file:acl_test
#owner:gavin
#group:gavin
user::rwx
user:test:r--
group::---
mask::r--
other::---
(2)將該文件的ACL權(quán)限保存至acl_test.acl文件中并進(jìn)行查看
$getfaclacl_test>acl_test.acl
$catacl_test.acl
#file:acl_test
#owner:gavin
#group:gavin
user::rwx
user:test:r--
group::---
mask::r--
other::---
(3)使用tar命令進(jìn)行文件操作,并查看生成文件acl.tar的ACL權(quán)限,發(fā)現(xiàn)其并不具備ACL權(quán)限
$tarczvfacl.taracl_test
acl_test
$getfaclacl.tar
#file:acl.tar
#owner:gavin
#group:gavin
user::rw-
group::rw-
other::r--
(4)刪除acl_test文件,并釋放acl.tar,查看其ACL權(quán)限,發(fā)現(xiàn)經(jīng)過(guò)tar命令后,acl_test文件不在具備第(1)步顯示的任何ACL權(quán)限,表明tar命令不能保持文件的ACL權(quán)限
$rm-rfacl_test
$tar-xzvfacl.tar
acl_test
$getfaclacl_test
#file:acl_test
#owner:gavin
#group:gavin
user::rwx
group::r--
other::---
(5)使用命令從文件恢復(fù)acl_test的ACL權(quán)限,進(jìn)行查看,表明成功恢復(fù)。
$setfacl--restoreacl_test.acl
$getfaclacl_test
#file:acl_test
#owner:gavin
#group:gavin
user::rwx
user:test:r--
group::---
mask::r--
other::---
【編輯推薦】
