acl权限列表

权限列表

acl    ##指定特定的用户对特定的文件拥有特殊权力

-rw-rwx---+ 1 root root 0 Mar 28 02:39 file
                ^
         权限列表开启（有加号则表示权限列表开启，那么这个文件的普通权限也在权限列表中识别，ls -l 看到的权限是不准确的）
此时查看文件权限需用
getfacl   /mnt/file
#内容如下：
file: mnt/file        #文件名称
# owner: root        #文件的拥有者
# group: root        #文件的组
user::rw-        #文件拥有者的权限
user:student:rw-        #特殊指定用户的权限
group::---        #文件组的权限
group:student:rwx    #特殊指定组的权限
mask::rwx        #权限最大值
other::---        #其他人的权限
##设定
setfacl -m u:lee:rwx /mnt/file        #设定lee用户对file文件可以读写执行
setfacl -m g:student:rwx  /mnt/file    #设定student组对文件可以读写执行
setfacl -x u:lee /mnt/file        #在权限列表中删除用户lee的信息
setfacl -x g:student    /mnt/file    #在权限列表中删除student组的信息

setfacl -b   /mnt/file            #关闭权限列表那么，"+"消失

我们新建了一个westos文件可以看出对于其他人对于此文件只有读的权限而我们想让某些特定用户对某些文件拥有某些特权时，此时我们可以开启acl权限列表

此时开启权限列表对于student用户拥有rw权限

此时以将所有设置的acl权限列表内容都删除了，但此时权限列表还开启，需要关闭权限列表

##mask值（我们可以看到在权限列表中有这样一栏）

#mask值是能够赋予用户权限的最大值

#当设定acl列表后，如果用chmod命令缩小文件的权限，那么mask值会被更改

#
chmod 600 /mnt/file        #做这样的动作mask值会发生改变
#####在更改前#####
file: mnt/file
owner: root
# group: root
user::rw-
user:student:rw
group::---
mask::rw
other::---

#####更改后######
file: mnt/file
owner: root
# group: root
user::rw-
user:student:rw           #effective:---   此位置表示有效的权力
group::---
mask::---
other::--
###恢复###

setfacl -m m:rw /mnt/file        #用此命令可以恢复mask的值

 ###acl列表的默认权限#####

#权限针对与目录生效
#当对目录设定普通的权限列表后，是不能取定特定用户对在目录中新建的文件由指定权限的
#如果需要权限自动添加到新建文件上那么要设定目录的默认权限

setfacl -m d:u:student:rwx /mnt/westos    ##设定在westos目录中新建文件对student用户有rwx权限
                      ##对已经存在的文件无效

                      ##对目录本身无效

setfacl  -m u:student:rwx  /mnt/test/         student用户对此目录有rwx权限

setfacl  -Rm u:student:rwx /mnt/test /        student用户对此目录下已有存在的文件有rwx权限若此时新建文件不会对新建的生效

##练习
1.新建用户组，shengchan，caiwu，jishu

2.新建用户要求如下：
    1）tom 是shengchan组的附加用户
    2）harry 是caiwu组的附加用户
    3）leo 是jishu组的附加用户
        4）新建admin用户，此用户不属于以上提到的三个部门
3.新建目录要求如下：
    1）/pub目录为公共存储目录对所有用户可以读，写，执行
           但用户只能删除属于自己的文件
    2）/sc 目录为生产部存储目录只能对生产部人员可以写入
           并且生产部人员所建立的文件都自动归属到shengchan组中
    3）/cw 目录为财务部存储目录只能对财务部人员可以写入
           并且财务部人员所建立的文件都自动归属到caiwu组中
    4）admin用户对于/sc和/cw目录可以读写执行
 

###groupadd      shengchan

###groupadd      caiwu

###groupadd   jishu

###useradd  -G shengchan     tom

###useradd  -G caiwu    harry

###useradd  -G  jishu     leo

###useradd   admin

###mkdir  /pub  /sc  /cw

###chmod     1777  /pub

###chgrp     shengchan      /sc

###chmod   2770   /sc

###chgrp   caiwu      /cw

###chmod  2770     /cw

###setfacl  -m u:admin:rwx  /sc/       

###setfacl  -m u:admin:rwx  /cw/       

###setfacl  -m d:u:admin:rwx  /sc/       

###setfacl  -m d:u:admin:rwx  /cw/