至顶网›网络频道 ›linux安全：Linux ACL 体验

linux安全：Linux ACL 体验

扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条

在安全管理日益重要的今天，传统的 Unix 文件系统的 UGO 权限管理方式已经无法满足日常系统管理工作的需要。而 ACL 机制逐渐成为主流的权限管理方式。本文主要介绍了在基于 Linux2.6 内核的发行版 Fedora Core上进行的一些 ACL 基本功能的实验。

作者：巧巧读书来源：巧巧读书 2008年5月30日

关键字： Linux 访问控制列表 ACL

在本页阅读全文(共4页)

体验4 －备份和恢复ACL

主要的文件操作命令cp和mv都支持ACL，只是cp命令需要加上-p 参数。但是tar等常见的备份工具是不会保留目录和文件的ACL信息的。如果希望备份和恢复带有ACL的文件和目录，那么可以先把ACL备份到一个文件里。以后用--restore选项来回复这个文件中保存的ACL信息：

[root@FC3-vm mnt]# getfacl -R dir1 > dir1.acl
[root@FC3-vm mnt]# ls -l dir1.acl
total 16
-rw-r--r--  1 root root   310 Dec 12 21:10 dir1.acl

我们用-b选项删除所有的ACL数据，来模拟从备份中回复的文件和目录：

[root@FC3-vm mnt]# setfacl -R -b dir1
[root@FC3-vm mnt]# getfacl -R dir1
# file: dir1
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

# file: dir1/file1
# owner: root
# group: root
user::rw-
group::r--
other::r--

现在我们从dir1.acl中恢复被删除的ACL信息：

[root@FC3-vm mnt]# setfacl --restore dir1.acl
[root@FC3-vm mnt]# getfacl -R dir1
# file: dir1
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x
default:group:testg1:rwx
default:mask::rwx
default:other::r-x

# file: dir1/file1
# owner: root
# group: root
user::rw-
group::r-x                      #effective:r--
group:testg1:rwx                #effective:rw-
mask::rw-
other::r--

结语

ACL 的引入使得大规模的复杂权限管理可以很容易的在 Linux 上实现。对于 /home 这样存放大量用户文件的分区，可以做到更有效的管理。但是我们也看到在备份工具等方面的欠缺，好在 FC2 中已经开始包含了 star 这样的支持 ACL 的备份工具，虽然还是 alpha 版。

在单个文件的 ACL 条目的数量上，不同的文件系统有不同的限制。Ext2 和 Ext3 只能支持每个文件 25 个 ACL 条目。ReiserFS 和 JFS 可以支持超过 8,000 个条目。这个方面 Ext* 文件系统还需要加强。

无论多么复杂的系统中，文件系统的权限管理都是最基础的内容。而 Linux 对 ACL的支持，无疑是一把管理海量用户系统的利器，对 Linux 在大规模的企业级应用中更方便的发挥更大的作用添了一把火。