Linux의 사용자, 그룹 및 권한

먼저 리눅스의 보안 모델
1. 보안 3A
인증(authentication), 권한 부여(authorization), 회계(audit)(AAA)는 컴퓨터 자원에 대한 접근, 정책 시행, 감사 이용, 서비스 요금 제공에 필요한 정보 등에 사용되며, 등 지능적으로 기능하는 기본 구성 요소에 대한 용어입니다. 대부분의 사람들은 이 세 가지 결합 프로세스가 효과적인 네트워크 관리 및 시스템 보안 관리에 중요하다는 데 동의합니다.

첫 번째 단계에서 인증 정책은 사용자를 식별하는 방법을 제공합니다. 일반적으로 사용자는 인증에 성공하기 전에 유효한 사용자 이름과 유효한 암호를 입력해야 합니다. 인증 과정은 각 사용자가 접근 권한을 얻기 위한 고유한 기준을 가지고 있는지에 따라 다릅니다. AAA 서비스는 기준(비밀번호)과 데이터베이스의 비밀번호를 비교하여 일치하면 컴퓨터에 접근이 허용되고, 그렇지 않으면 인증이 이루어집니다. 실패하고 액세스가 거부됩니다.

두 번째 단계에서는 인증이 완료된 후 사용자에게 특정 작업을 수행하고 관련 작업을 처리할 수 있는 권한이 있어야 합니다. 사용자는 시스템에 로그인한 후 관련 명령을 실행하려고 시도할 수 있습니다. 권한 부여 프로세스는 사용자에게 명령을 실행할 수 있는 권한이 있는지 여부를 결정합니다. 간단히 말해서 승인은 정책을 시행하는 프로세스입니다. 즉, 사용자가 사용할 수 있는 활동, 리소스 또는 서비스의 유형이나 품질을 결정하는 프로세스입니다. 일반적으로 권한 부여는 인증 컨텍스트 내에서 발생합니다. 사용자를 인증하면 해당 사용자에게 다양한 종류의 액세스 및 활동에 대한 권한도 부여된다는 의미입니다.

AAA 프레임워크의 마지막 항목은 감사입니다. 이는 액세스 중 리소스 사용량을 모니터링하고 측정하는 것을 의미합니다. 인증, 권한 부여 및 감사 서비스는 일반적으로 이러한 기능을 수행하는 프로그램인 전용 AAA 서비스에서 제공됩니다.

2. 사용자가 Linux에 로그인하면 일어나는 일
2. Linux 시스템의 사용자 및 그룹 및 관련 파일
1. Linux 시스템의 사용자 유형
일반적으로 Linux 사용자는 관리자와 일반 사용자로 구분되며 관리자의 기본 이름은 다음과 같습니다. 루트, 해당 UID는 0 2, 일반 사용자의 UID: 1-60000은 시스템에 의해 자동으로 할당되며 시스템 사용자와 로그인 사용자로 구분됩니다. 시스템 사용자: 1-499(CentOS6), 1-999(CentOS7) 시스템 사용자는 데몬 프로세스에서 획득한 리소스에 권한을 할당할 책임이 있습니다. 로그인 사용자: 500+, 1000+ (CentOS7) 대화형 로그인 사용 2.
Linux의 사용자 그룹 관리자 그룹
의 그룹 ID(GID) 도 0입니다. (루트 그룹에 다른 사용자를 추가해도 여전히 일반 사용자입니다.) 일반 그룹은 시스템 그룹과 일반 그룹으로 구분됩니다. 시스템 그룹: 1-499, 1-999 (CENTOS7) 일반 그룹: 500+, 1000+ (CENTOS7)

Linux 그룹의 종류
사용자의 기본 그룹(primary group)
사용자는 오직 하나의 기본 그룹에만 속해야 하며, 그룹 이름은 사용자 이름과 동일하며, 한 명의 사용자만 포함하며, 비공개 그룹 사용자의 추가
그룹 (보조 그룹)
사용자는 0개 또는 여러 개의 보조 그룹에 속할 수 있습니다.
3. Linux 사용자 및 그룹의 주요 구성 파일
사용자 및 그룹의 구성 파일은 /etc 폴더에 있습니다.
/etc/passwd: 사용자 및 해당 속성 정보를 저장합니다. (이름, UID, 기본 그룹 ID 등)
/ etc/group: 그룹 및 해당 속성 정보 저장
/etc/shadow: 사용자 비밀번호 및 관련 속성 저장
/etc/gshadow: 그룹 비밀번호 및 관련 속성 저장
passwd file format
passwd file format:
1:2:3:4:5 :6:7 # 각 사용자는 특정 형식의 텍스트 레코드 한 줄을 사용합니다. 1:
로그인 이름: 로그인 이름(steve)
2: passwd: 비밀번호(x )
3: UID: 사용자 ID(1000)
4: GID: 로그인 기본값 그룹 번호(1000)
5:GECOS: 사용자의 전체 이름 또는 설명
6:home 디렉터리: 사용자의 홈 디렉터리(/home/steve)
7:shell: 사용자 기본적으로 쉘(/bin/bash) 섀도우
파일 형식을 사용합니다.

daemon:*:18027:0:99999:7::: # 각 사용자는 특정 형식의 텍스트 레코드 한 줄을 사용합니다.
1:2:3:4:5:6:7:8:9
1: 로그인 이름
2: user 비밀번호: 일반적으로 sha512로 암호화됨
3: 1970년 1월 1일부터 비밀번호가 마지막으로 변경된 시점까지
4: 비밀번호는 며칠 내에 변경 가능함(0은 언제든지 변경 가능함을 의미)
5: 비밀번호는 반드시 변경되어야 함 며칠 후에 변경됨 변경됨(99999는 만료되지 않음을 의미함)
6: 시스템은 비밀번호가 만료되기 며칠 전에 사용자에게 알림(기본적으로 1주)
7: 비밀번호가 만료된 후 며칠 후 계정이 잠김
8 : 1970년 1월 1일부터 계정 이후 몇일부터 계산 잘못된
9: 사용하지 않는
그룹 파일 형식
그룹 파일 형식
데몬❌2:
1:2:3:4
1: 그룹 이름: 그룹 이름
2: 그룹 비밀번호: 일반적으로 설정할 필요가 없으며 비밀번호는 /etc/gshadow에 기록됩니다.
3: GID: 그룹의 ID입니다.
4: 추가 그룹으로 현재 그룹이 포함된 사용자 목록(구분자는 쉼표입니다)
gshdow 파일 format
gshdow 파일 형식
데몬:::
1:2:3:4
1: 그룹 이름: 그룹 이름
2: 그룹 비밀번호:
3: 그룹 관리자 목록: 그룹 관리자 목록, 그룹 비밀번호 및 구성원 변경
4: 현재 그룹을 추가 그룹으로 포함하는 사용자 목록: 여러 사용자 사이에 쉼표를 사용하여 구분
3. Linux 시스템의 사용자 및 그룹 관리 명령
1. 관련 파일 작업
vipw & vigr vipw, vigr - 비밀번호, 그룹, 섀도우 비밀번호 또는 섀도우 그룹 파일 편집
-g, --group

그룹 데이터베이스를 편집합니다.
-p, --passwd
passwd 데이터베이스를 편집합니다.
-s, --shadow
섀도우 또는 gshadow 데이터베이스를 편집합니다.
pwck
pwck - 비밀번호 파일의 무결성 확인

grpck
grpck - 그룹 파일의 무결성 확인

2. 사용자 및 그룹 관리 명령어
사용자 관리 명령어

사용자 추가 사용자 모드 사용자 삭제

그룹 계정 유지 관리 명령

groupadd groupmod groupdel

useradd 사용자 옵션 생성
\사용법 useradd [옵션] LOGIN
-u UID 사용자 UID 지정
-o -u 옵션과 협력하여 UID의 고유성을 확인하지 않고 다른 사용자 이름과 UID를 사용하여 사용자를 생성할 수 있습니다.
-g GID GID는 기본 그룹을 나타냅니다. 사용자가 속한 그룹 이름 또는 GID일 수 있습니다.
-c 사용자의 설명 정보를 지정하려면 "COMMENT"
-d HOME_DIR은 경로(존재하지 않음)를 홈 디렉터리로 지정합니다.
-s SHELL은 사용자의 기본값을 지정합니다. 쉘 프로그램, 사용 가능한 목록은 /etc/shells 파일에 있습니다.
- G GROUP1[,GROUP2,…] 사용자에 대한 추가 그룹을 지정합니다. 그룹은 미리 존재해야 합니다.
-N 개인 그룹을 기본 그룹으로 생성하지 마십시오. 사용자 그룹을 기본 그룹으로 사용
-r 시스템 사용자 생성 CentOS 6: ID<500, CentOS 7: ID< 1000 -m
시스템 사용자를 위한 홈 디렉터리 생성
-M 시스템 사용자가 아닌 사용자를 위한 홈 디렉터리 생성 안 함 생성
기본값 설정 파일 /etc/default/useradd
기본 설정 표시 또는 변경 useradd -D 현재 기본값 표시
useradd –D -s SHELL 새 사용자의 기본 셸 변경
useradd –D –b BASE_DIR 기본 홈 디렉터리 변경 새 사용자
useradd –D –g GROUP 새 사용자 그룹 변경
새 사용자 관련 파일 및 명령
/etc/default/useradd
/etc/skel/*
/etc/login.defs
newusers passwd 형식 파일을 사용하여 사용자를 일괄 생성합니다.
chpasswd 한 줄에 여러 사용자 비밀번호의 형식을 일괄 수정합니다: 사용자 이름:passwd
usermod 사용자 속성 수정
매개변수\사용 usermod [옵션] login
-u UID 새 항목 지정 UID
-g GID 새 기본 그룹 지정
-G GROUP1[,GROUP2,…[,GROUPN]]] 새 추가 그룹을 지정하면 원래 추가 그룹을 덮어쓰게 됩니다. 원본을 유지하는 경우 -a 옵션을 사용해야 합니다. 동시에 -s SHELL
새 기본값 SHELL
-c 'COMMENT' 새 주석 정보
-d HOME 새 홈 디렉토리가 자동으로 생성되지 않습니다. 새 홈 디렉토리를 생성하고 원래 홈 데이터를 이동하려면 -를 사용하십시오. m 옵션
-l login_name 새 이름
-L 사용자를 지정하는 잠금, 즉 /etc/shadow 비밀번호 열에 느낌표를 추가합니다!
-U 잠금 해제하여 사용자를 지정하고, /etc/shadow 비밀번호 열에서 !를 제거합니다
. e YYYY-MM-DD 사용자 계정 만료 날짜 지정
-f INACTIVE 비활성 기간 설정
userdel delete User
Option\Usage userdel [OPTION]... Login
-f, --force force delete user
-r, --remove delete user
사용자 관련 ID 정보를 보기 위한 홈 디렉터리 및 메일함 id 명령
Option\Usage id [OPTION]... [USER]
-u UID 표시
-g GID 표시
-G 사용자가 속한 그룹의 ID 표시 -n 표시 이름, su 명령을
사용하려면 ugG와 협력해야 합니다.
사용자를 전환하거나 다른 사용자로 명령을 실행합니다.
Options\ Usage [user [args...]]
사용자를 전환하는 방법
su UserName 비로그인 전환, 즉 대상 사용자의 구성 파일을 읽지 않고 현재 작업 디렉터리는 변경되지 않습니다.
su - UserName 로그인 전환, 대상 사용자의 구성 파일을 읽습니다. 홈 디렉터리로 전환하고 완전히
루트로 전환한 후 su를 사용하여 비밀번호 없이 다른 사용자로 전환합니다. 루트가 아닌 사용자는 필요합니다. 다른 ID로 전환하기 위한 비밀번호 UserName -c 'COMMAND'
명령을 실행하십시오
. 명령을 실행한 후에도 여전히 현재 사용자
옵션에 있습니다. -l --login
su -l UserName은 su - UserName과 동일합니다.
passwd 명령을 사용하여 비밀번호 설정
Options\Usage passwd [OPTIONS] UserName: 지정된 사용자의 비밀번호 수정
일반 옵션
-d 지정된 사용자 비밀번호
삭제 -l 지정된 사용자 잠금
-u 지정된 사용자 잠금 해제
-e 사용자 강제 다음 로그인 시 비밀번호 변경
-f 필수 작업
-n mindays 최소 사용 기간 지정
-x maxdays 최대 사용 기간
-w warningdays 경고 시작 전 일수
-i inactivedays 비활성 기간
–stdin 표준 입력에서 사용자 비밀번호 수신
예: echo “PASSWORD” | passwd --stdin
USERNAME과 관련된 기타 명령 사용자
chfn 개인 정보 지정
chsh 쉘
핑거 지정 관련 설명 정보 보기
groupadd 명령을 사용하여 그룹을 생성합니다.
Options\Usage groupadd [OPTION]... group_name
-g GID GID 번호를 지정합니다. 범위는 [GID_MIN, GID_MAX]
-r 시스템 그룹 생성
CentOS 6: ID<500
CentOS 7: ID<1000
groupmod 수정 및 그룹 삭제 groupdel
옵션\usage groupmod [OPTION]... group
-n group_name 그룹의 새 이름을 지정합니다.
-g GID 새 GID
그룹 삭제: groupdel groupdel GROUP
gpasswd 명령은 그룹 비밀번호
옵션을 변경합니다. \usage gpasswd [OPTION] GROUP
-a user 사용자를 지정된 그룹에 추가합니다.
-d user 지정된 그룹에서 user 사용자를 제거합니다.
-A user1,user2,… 관리 권한이 있는 사용자 목록 설정
newgrp 명령: 일시적으로 기본 그룹 전환
사용자가 이 그룹에 속하지 않는 경우
그룹 비밀번호 groupmems 및 그룹을 변경해야 그룹 구성원을 볼 수 있습니다
. Options\Usage groupmems [options] [action]
옵션:
-g, --group groupname 지정된 그룹으로 변경(루트만)
작업:
-a, --add 사용자 이름 그룹에 가입할 사용자 지정
-d, --delete 사용자 이름 그룹에서 사용자 제거
-p, --purge 그룹
-l에서 모든 구성원 제거, - -list 표시 그룹 구성원 목록
그룹 [OPTION].[USERNAME]... 사용자가 속한 그룹 목록 보기
연습
질문 및 답변
gentoo 사용자 생성, 추가 그룹은 bin 및 root, 기본 쉘은 /bin/csh, 설명 정보는 "Gentoo Distribution"입니다. useradd -G bin,root - s /bin/csh -c "Gentoo Distribution" 젠투는
다음 사용자, 그룹 및 그룹 멤버십을 생성합니다. 그룹
이름은 webs groupadd webs
user nginx, webs를 추가 그룹으로 사용합니다. useradd -G webs nginx
user varnish, webs를 추가 그룹으로 사용 useradd -G webs varnish
사용자 mysql은 대화형으로 시스템에 로그인할 수 없으며 webs의 구성원이 아닙니다. nginx, varnish 및 mysql의 비밀번호는 magedu
useradd mysql -s /bin/nologin
cat > passwd <<EOF
nginx:magedu
varnish:magedu입니다.
mysql:magedu
EOF
echo passwd | chpasswd
4. Linux 시스템의 파일 권한 관리
1. 파일 속성 및 명령
파일 속성

파일 속성 작업 명령
chown 파일의 소유자를 설정합니다
chgrp 파일의 그룹 정보를 설정합니다
chown/chgrp를 사용하여 파일의 소유자 및 그룹을 수정합니다
옵션/사용법 chown [OPTION]… [OWNER][:[GROUP]] FILE ...
chown OWNER file 파일의 소유자를 변경합니다
chown OWNER:GROUP 소유자와 그룹을 동시에 변경합니다
chown:GROUP 그룹만 변경하며 콜론도 가능합니다. 바꾸기
-R: 재귀
chown [OPTION]... - -reference=RFILE FILE... 파일 소유자 상속 소속 그룹
파일의 소속 그룹 수정: chgrp
chgrp [OPTION]... GROUP FILE...
chgrp [OPTION]... --reference=RFILE FILE ...
-R 재귀
2. 파일 권한
파일 권한은 주로 세 가지 유형의 개체에 대해 정의됩니다
owner owner , u
group 그룹에 속함 g
other Others o각
파일은 각 유형의 방문자에 대해 세 가지 유형의 권한을 정의합니다
r 읽기 가능
w 쓰기 가능
x eXcutable
각 권한 유형에 해당하는 특정 허용 동작 파일 보기 도구를 사용하여
파일
r을 얻을 수 있습니다. 콘텐츠
w는 해당 콘텐츠를 수정할 수 있습니다.
x 이 파일을 커널에 제출하여 프로세스를 시작할 수 있습니다. 디렉토리
r
ls를 사용하여 이 디렉토리의 파일 목록을 볼 수 있습니다
. w 이 디렉토리에서 파일을 생성할 수 있고 이 디렉토리에서 파일을 삭제할 수도 있습니다.
x ls를 사용할 수 있습니다 -l 이 디렉터리의 파일을 보려면 메타데이터(r과 협력해야 함), 이 디렉터리로 CD를 이동할 수 있습니다.
X는 파일이 아닌 디렉터리 x 권한만 부여합니다. x 권한
파일 권한을 변경하려면 touch chmod를 사용하세요.
옵션/사용
chmod [OPTION]... OCTAL-MODE FILE...
-R: 권한을 재귀적으로 수정
chmod [OPTION]... MODE[,MODE]... FILE...
MODE: 사용자 클래스의 모든 권한 수정
u= g= o= ug= a= u=, g=
사용자 클래스의 하나 또는 일부 권한 수정
u+ u - g+ g- o+ o- a+ a- + -
chmod [옵션]... --reference=RFILE 파일 ...
RFILE 파일의 권한을 참조하고 FILE을 동일한 RFILE
권한 설정 예시 로 수정합니다
chgrp market files
chown root:admins testfile
chmod u +wx,gr,o=rx file
chmod -R g+rwX /pat/ to/dir
chmod 600 파일
chown steve file1
umask를 사용 하여
권한이
. 새 파일에 대한 기본 권한 = 666-새로 생성된 파일 및 디렉터리의 기본 권한을 루트의 umask는 022입니다 . 기본적 으로 현재 셸 환경의 umask 는 호출 구성 파일: 전역 설정: /etc/bashrc 사용자 설정: ~/.bashrc 연습 사용자 docker에 /testdir 디렉터리에 대한 실행 권한이 없으면 어떤 작업을 수행할 수 없습니까? Docker는 파일을 생성, 이름 바꾸기 또는 삭제할 수 없으며 디렉터리에 파일 콘텐츠를 추가할 수 없으며 이 디렉터리로 전환할 수 없습니다. 사용자 mongodb에게 /testdir 디렉터리에 대한 읽기 권한이 없으면 어떤 작업을 수행할 수 없습니까? 사용자 redis에게 /testdir 디렉터리에 대한 쓰기 권한이 없는 경우 이 디렉터리의 읽기 전용 파일 file1을 수정하고 삭제할 수 있습니까? 아니요. 사용자 zabbix가 /testdir 디렉터리에 대한 쓰기 및 실행 권한을 갖고 있는 경우 이 디렉터리의 읽기 전용 파일 file1을 수정하고 삭제할 수 있습니까? 읽기 전용 파일은 읽기만 가능하고 수정할 수 없습니다. 디렉터리에 대한 실행 권한이 있기 때문에 모든 파일을 삭제할 수 있습니다.














/etc/fstab 파일을 /var/tmp에 복사하고 파일 소유자를 읽기 및 쓰기 권한이 있는 tomcat으로 설정하고 해당 그룹이 속한 그룹은 읽기 및 쓰기 권한이 있는 앱 그룹이고 나머지는 권한이 없습니다 cp/ etc/fstab /var/tmp/–> chown tomcat:apps /var/tmp–> chmod 660 /var/tmp/fstab가
실수로 사용자 git의 홈 디렉터리를 삭제했습니다. 사용자의 홈 디렉터리와 해당 권한을 다시 빌드하고 복원하십시오. 속성 cp -a /etc/skel/ /home/ git/ --> chown -R git:git /home/git/–>chmod -R 700 /home/git 다섯,
Linux 시스템의 특수 권한
1. 세 가지 특수 권한
SUID SGUI
Linux에서 실행 파일에 대한 Sticky 실행 파일 및 디렉터리에 대해 Sticky 비트를 설정하는 데 사용됩니다. 파일 소유자 또는 루트만 파일을 삭제할 수 있습니다. 2. 실행 파일에
SUID 권한이
사용됩니다. 파일에 실행 권한이 있음
프로세스로 시작한 후 해당 프로세스의 소유자는 원래 프로그램 파일의 소유자가 됨
SUID는 바이너리 실행 프로그램에만 유효하며 디렉터리에서 SUID 설정은 의미가 없음 권한
설정
chmod u+s FILE...
chmod us FILE ...
3. SGID 권한은 실행 파일에 사용됩니다.
실행 가능한 프로그램 파일을 프로세스로 시작할 수 있는지 여부: 개시자가 프로그램 파일에 대한 실행 권한을 가지고 있는지 여부에 따라 다릅니다.
프로세스로 시작한 후 프로세스는 다음에 속합니다. 원본 프로그램 파일
권한 설정:
chmod g+s FILE...
chmod gs FILE...
4. SGID 권한은 협업 디렉토리를 생성하기 위해 디렉토리에 사용됩니다.
기본적으로 사용자가 파일을 생성하면 해당 그룹은 사용자가 속한 기본 그룹에 속합니다.
디렉토리가 설정되면 SGID, 디렉토리 이 디렉토리에 쓰기 권한이 있는 사용자가 생성한 파일은
이 디렉토리의 그룹에 속하며 일반적으로 공동 작업 디렉토리
권한 설정을 생성하는 데 사용됩니다:
chmod g+s DIR...
chmod gs DIR...
5 스티키 비트 권한
에는 쓰기 권한이 있는 디렉터리 일반적으로 사용자는 파일의 권한이나 소유권에 관계없이 디렉터리에 있는 모든 파일을 삭제할 수 있습니다. 디렉터리에 스티키 비트가
설정된 경우 파일 소유자나 루트만 파일을 삭제할 수 있습니다.
파일에 대한 고정 설정은 의미가 없습니다 .
권한 설정:
chmod o+t DIR...
chmod ot DIR...
예:
ls -ld /tmp
drwxrwxrwt 12 root root 4096 Nov 2 15:44 /tmp
숫자를 사용하여 특별 허가 표시
특별 허가 번호 방법
SUID SGID STICKY
000 0
001 1
010 2
011 3
100 4
101 5
110 6
111 7
chmod 4777 /tmp/a.txt
6. 특수 권한 비트 매핑
SUID: 사용자, 소유자의 실행 권한 비트 s를 점유,
소유자는 x 권한 S를 가지며,
소유자는 x 권한이 없음 SGID 그룹, 실행 권한 비트 s를 점유
그룹 소유자의
x 권한
S 그룹에는 x 권한이 없습니다.
Sticky other, 다른 사람의 실행 권한 비트를 점유합니다.
t 다른 사람은 x 권한이 있습니다.
T 다른 사람은 x 권한이 없습니다. v
7. 파일 특정 속성 설정
chattr +i 파일은 삭제하거나 이름을 바꿀 수 없습니다. 변경된 chattr +a 파일은 추가
만 가능 콘텐츠
lsattr 파일은 특정 속성을 표시합니다.
여섯째, Linux 파일 시스템의 FACL
FACL의 전체 이름은 파일 액세스 제어 목록(File Access Control List)
ACL: 액세스 제어 목록(Access Control List)을 사용하여 유연한 권한 관리를 구현합니다.
파일 소유자, 그룹 및 기타 사용자에게 더 많은 사용자 설정 권한
CentOS7에서 기본적으로 생성되는 xfs 및 ext4 파일 시스템에는 ACL 기능이 있지만
이전 버전의 CentOS7에서는 수동으로 생성된 ext4 파일 시스템에는 기본적으로 ACL 기능이 없습니다. tune2fs를 수동으로 추가하려면
–o acl /dev/sdb1
mount –o acl /dev/sdb1 / mnt/test
ACL 유효 순서: 소유자 –> 사용자 정의 사용자 –> 그룹에 속함|사용자 정의 그룹 –> 기타
**여러 사용자 또는 그룹의 파일 및 디렉토리에 rwx 액세스 권한 부여 **
mount -o acl /directory facl 기능 활성화
getfacl file |directory
setfacl -mu:wang:rwx file|directory
setfacl -mg:admins:rw file| 디렉토리
setfacl -xu:wang 파일|디렉터리
setfacl -b file1은 모든 ACL 권한을 지웁니다.
getfacl file1 | setfacl --set-file=- file2는 file1의 ACL 권한을 file2에 복사합니다.
마스크는 소유자와 기타를 제외한 사람과 그룹에만 영향을 미칩니다. 최대 권한
마스크는 다음과 같아야 합니다. 제한된 권한(유효 권한)이 되기 전에 사용자 권한과 논리적으로 AND되어야 합니다.
사용자 또는 그룹 설정이 적용되려면 마스크 권한 설정 범위 내에 있어야 합니다.
setfacl -m 마스크::rx 파일
–set 옵션 원래 ACL 항목을 모두 삭제하고 새 항목으로 교체합니다.
UGO의 설정이 포함되어야 합니다. -m과 같은 ACL만 추가할 수는 없습니다. 예
:
setfacl --set u::rw, u :wang:rw,g::r,o::- file1
백업 및 복원 ACL
기본 파일 작업 명령인 cp와 mv는 모두 ACL을 지원하지만 -p 매개변수를 cp 명령에 추가해야 합니다. 그러나 tar와 같은 일반적인 백업 도구는 디렉터리 및 파일의 ACL 정보를 유지하지 않습니다.
getfacl -R /tmp/dir1 > acl.txt
setfacl -R -b /tmp/dir1
setfacl -R --set-file=acl.txt /tmp/dir1
setfacl --restore acl.txt
getfacl -R /tmp/dir1