文档归属的局限性
- 任何人只属于三种角色:属主 属组 其他人- 无法实现更精细的控制
acl访问策略
- 能够对个别用户个别组设置独立的权限- 大多数挂载ext3/4,xfs文件系统默认已支持
Usage: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...setfacl [选项] u:用户名:权限 文件setfacl [选项] g:组名:权限 文件
常用命令选项-m 定义一条acl策略-x 清除指定的acl策略-b 清楚所有已设置的acl策略-R 递归设置acl策略创建 一个目录,用普通用户查看显示权限拒绝
[xp@test3 ~]$ cd /xp
-bash: cd: /xp: Permission denied
[xp@test3 ~]$ 修改权限
[root@test3 ~]# ll /xp -d
drwx------ 2 root root 6 Jun 15 22:45 /xp
[root@test3 ~]# setfacl -m u:xp:rx /xp
[root@test3 ~]# ll /xp -d
drwxr-x---+ 2 root root 6 Jun 15 22:45 /xp此时xp用户就能进入了
[xp@test3 ~]$ cd /xp
-bash: cd: /xp: Permission denied
[xp@test3 ~]$ cd /xp
[xp@test3 xp]$ [xp@test3 xp]$ getfacl /xp
getfacl: Removing leading '/' from absolute path names
# file: xp
# owner: root
# group: root
user::rwx
user:xp:r-x
group::---
mask::r-x
other::---删除刚刚添加的权限
[root@test3 ~]# setfacl -x u:xp /xp
[root@test3 ~]# 验证
[xp@test3 ~]$ cd /xp
-bash: cd: /xp: Permission denied
[xp@test3 ~]$ 清楚这个目录的所有acl策略
[root@test3 ~]# setfacl -b /xp/单独拒绝一个用户不让他访问
[root@test3 ~]# setfacl -m u:xp:--- /xp/
[root@test3 ~]#递归设置acl策略
[root@test3 ~]# setfacl -Rm u:xp:rx /xp