扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
1.4.安装完成之后的设置
如果使用0.8.50版本的EA/ACL内核补丁,内核重新启动之后不会自动打开ACL功能,我们需要使用acl或者user_xattr选项mount文件系统才能使ACL生效。例如,笔者系统的/home目录位于/dev/hda7分区,我可以使用如下命令使/home分区支持访问控制列表:
# mount -o remount,acl /dev/hda7
为了方便使用(毕竟每次重新启动系统都是用手工打开ACL是很麻烦的),可以直接修改/etc/fstab文件,还是以笔者的系统为例,下面/etc/fstab文件的节选:
LABEL=/ / ext2 defaults 1 1
LABEL=/boot /boot ext2 defaults1 2
LABEL=/home /home ext3 defaults1 2
LABEL=/usr /usr ext3 defaults1 2
如果需要使这几个分区支持文件系统的扩展属性和访问控制列表,只要在选项栏加入acl选项,然后执行#mount -remount -a命令即可:
LABEL=/ / ext2 defaults,acl 1 1
LABEL=/boot /boot ext2 defaults,acl1 2
LABEL=/home /home ext3 defaults,acl1 2
LABEL=/usr /usr ext3 defaults,acl1 2
2.Linux EA/ACL的语法
安装了ACL系统之后,系统中的每个对象(文件和目录)都有一个ACL项目控制对这个目标的访问。每个目录之内所有对象的初始访问控制由目录的默认ACL项目决定。
每个ACL项目由一系列ACL规则组成,这些规则设置单独用户或者一组用户对目标的访问权限,包括:读、写和搜索/执行。每个ACL条目被冒号分为三个部分:规则标签类型(tag type)、规则限制符(qualifier)和访问权限(access permission)。规则标签类型包括以下关键词:
user--以user关键词开头的ACL规则设置对象拥有者或者其他用户对对象的访问权限。例如:
user::rw- 表示对象拥有者的访问权限;
user:nixe0n:r-- 表示用户nixe0n拥有读对象的权限。
group--设定某个用户组对对象的访问权限。例如:
group::rw- 表示用户所在用户组拥有读写权限;
group:linuxaid:r-- 表示属于linuxaid组的用户拥有读权限。
mask--以mask关键词开头的ACL规则用来限制赋予用户的最大访问权限,对象拥有者除外。例如:
user::rw-
user:nixe0n:rw- #有效的是user:nixe0n:r--
group::rw- #有效的是group:r--
group:linuxaid::rw- #有效的是group:linuxaid:r--
mask::r--
other::r--
other--指定其他用户对对象的访问权限。
每条ACL规则的第二部分是包含用户或者用户组识别符。用户识别符可以是用户名或者十进制的用户ID号;用户组识别符可以是用户组名或者十进制的用户组ID号。空白表示对象的拥有者或者拥有者所在的用户组。
第三部分是对对象的访问权限。读、写和搜索(目录)/执行(文件)分别由x、w和x代表,和通常使用的权限表示方法完全相同。对应的权限被-代替表示不具有此权限。
除了以上的关键词之外,还有一个只用于目录的关键词default。由default关键词修饰的ACL条目表示目录下所有子目录和文件的默认访问控制列表。
为了方便,还有一种简化的ACL规则表示方式。user可以用u代替;g表示group;m表示mask;o表示other。简化方式的访问控制列表,条目之间使用逗号分割。这种表示方式为命令行设置访问控制列表提供了很大的便利。例如:
$setfacl -m u::rw-,u:floatboat:rw-,g::r--,g:nixe0n:rw-,m::r--,o::r-- foo.txt
3.访问控制列表的维护
ACL生效之后,在使用ls -l命令罗列文件时,你会看到具有访问控制规则的目录或者文件的权限域会有一个加号(+)。例如,在打开ACL功能之前的文件如下所示:
[nixe0n@nixe0n nixe0n]$ ls -l
-rw-rw-r--1 nixe0n nixe0n 11331 09-12 20:02 exam.txt
使ACL功能生效之后,ls -l命令得到如下结果:
[nixe0n@nixe0n nixe0n]$ ls -l
-rw-rw-r--+ 1 nixe0n nixe0n 11331 09-12 20:02 exam.txt
3.1.setfacl
setfacl工具设置文件和目录的访问控制列表,支持对ACL规则的设置(-s/-S)、修改(-m/-M)和删除(-x/-X)。我们可以使用自己喜欢的编辑器按照ACL语法事先编写好某个对象的访问控制列表,然后使用大写的命令行选项进行设置或者修改操作;我们也可以使用小写命令行选项直接修改对象的访问控制规则,例如:
[nixe0n@nixe0n nixe0n]$ setfacl -m -m u::rw-,u:floatboat:rw-,g::r--, - exam.txt
3.2.getfacl
ls命令能够获得某个对象的访问权限,与之类似,getfacl命令可以获得文件和目录的访问控制列表规则,其输出格式如下所示:
[nixe0n@nixe0n nixe0n]$ getfacl doc
# file: doc/
# owner: nixe0n
# group: linuxaid
user::rwx
user:floatboat:rwx
group::rwx
group:cool:r-x
mask:r-x
other:r-x
default:user::rwx
default:user:flatboat:rwx
default:group::r-x
default:mask:r-x
default:other:---
总结
以上,我们讨论了EA/ACL访问控制系统的安装和使用。相对于其它类似的系统,如:lids、grsecurity等,EA/ACL非常容易使用,和Linux内核的结合也好的多。而且,ea/acl已经合并到了2.5内核中。合理地利用访问控制列表对提高系统的安全性很有帮助。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。