灵活运用Linux中的文件/目录访问控制机制

　　UGO访问控制机制在很多情况下难以满足实际文件/目录访问授权的需求，比如，要设定一个组中的部分用户对特定的文件/目录具有读取和访问权限 （rw-），而另外一部分用户只能具备读权限（r--）；这在传统的Linux访问控制中无法通过单纯地建立新的组和用户来实现。因此，为了解决这些问 题，人们提出了一种新的访问控制方法，也就是访问控制列表（ACL，AccessControlList）。

　　ACL是一个POSIX（可移植操作系统接口，PortableOperatingSystemInterface）标准。目前，支持ACL需要内核 和文件系统的支持。现在2.6内核配合EXT2/EXT3,JFS,XFS,ReiserFS等文件系统都是可以支持ACL的。在目前主流的发行套件，如 RedHatEnterpriseLinux（RHEL）5、RHEL6、Fedora16等等，都已经支持ACL。

　　ACL的类型及权限位

　　ACL是由一系列的AccessEntry所组成的。每一条AccessEntry定义了特定的类别可以对文件拥有的操作权限。 AccessEntry主要包括6个，可分为两大类：一类包括owner、owninggroup和other，对应传统UGO机制中的user、 group和other；一类则包括nameduser、namedgroup和mask。这六类的主要说明如下：

　　user：相当于Linux里文件所有者的permission

　　nameduser：定义了额外的用户可以对此文件拥有的permission

　　group：相当于Linux里group的permission

　　namedgroup：定义了额外的组可以对此文件拥有的permission

　　mask：定义了nameduser,namedgroup和group的最大权限

　　other：相当于Linux里other的permission

　　举个简单的例子，对于如下的ACLEntry的定义：

　　#file:example.xml

　　#owner:liyang

　　#group:operation

　　user::rwx

　　user:shengping:rw-

　　group::rw-

　　group:dev:r-x

　　mask::rwx

　　other::r—

　　其中，前面三个以#开头的定义了文件名、文件的所有者和所有者所在的组。后面紧跟着的六行则说明了如下的问题：

　　user::rwx说明文件所有者拥有读写和执行权限

　　user:shengping:rw-定义了用户shengping拥有对文件的读写权限

　　group::rw-说明文件的group拥有读写权限

　　group:dev:r-x定义dev组拥有对文件的读和执行权限

　　mask::rwx定义了mask的权限为读

　　other::r--定义了other用户的权限为读

　　值得特别注意的是：mask的rwx权限定义，决定了user:shengping，group和group:dev对文件的最大权限分别是rw、 rw和rx。这也是mask这个ACLEntry的用途所在，可以用它来批量控制权限。当然，在实际的使用过程中，并不需要用户对该Entry直接进行操 作，而只需要使用相应的setfacl命令即可，系统将会根据该命令的执行来自动生成上述Entry项，这其中就包含了mask这个Entry项。

　　ACL的基本命令

　　ACL的主要命令有2个：getfacl和setfacl。Getfacl用于或取文件或者目录的ACL权限信息，而setfacl则用于设置文件或者目录的ACL权限信息。下面分别对他们的使用进行简单介绍。

　　Getfacl-获取ACL权限信息

　　getfacl命令用于获取文件的ACL权限信息，其基本用法为：getfacl[文件/目录名]。

　　举个例子，首先，使用touch命令先建立一个测试文件acl_test：

　　$touchfileacl_test

　　然后，使用ls命令来查看该文件的权限访问属性，发现其并没有加入acl权限，因为没有出现“+”符号：

　　$ls-lacl_test

　　-rw-rw-r--1gavingavin012-2011:49acl_test

　　接着，使用getfacl命令来获取文件的ACL权限信息，得到如下结果：

　　$getfaclacl_test

　　#file:acl_test

　　#owner:gavin

　　#group:gavin

　　user::rw-

　　group::rw-

　　other::r—

　　值得注意的是：即使该文件系统上没有开启ACL选项，getfacl命令仍然可用，不过只显示默认的文件访问权限，即与ls-l显示的内容相似。