使用NFSv4 ACL进行权限管理

命令说明

在设置NFSv4 ACL前，请先熟悉相关操作命令。

操作步骤

您可以参考以下步骤，为目录或文件设置NFSv4 ACL实现权限管理。

1. 创建用户和群组。

   本文假设创建普通用户player，属于普通用户群组players；管理员admini，属于管理员群组adminis；另外再创建一个用户anonym。

   sudo useradd player
   sudo groupadd players
   sudo usermod -g players player
   sudo useradd admini
   sudo groupadd adminis
   sudo usermod -g adminis admini
   sudo useradd anonym

2. 安装NFSv4 ACL工具。

   如果已安装NFSv4 ACL工具，请跳过此步骤。

   sudo yum -y install nfs4-acl-tools

3. 获取用户群组players和adminis的id。
   打开/etc/group文件，获取用户群组players和adminis的id，如下所示。

   players:x:19064:player
   adminis:x:19065:admini

4. 对目录和文件设置NFSv4 ACL。
   本文假设创建目录dir0，针对目录dir0中的所有文件，授予群组players只读权限，授予群组adminis读写执行权限，不授予其他用户权限。

   sudo umask 777
   sudo mkdir dir0
   sudo nfs4_setfacl -a A:fdg:19064:RX dir0
   sudo nfs4_setfacl -a A:fdg:19065:RWX dir0
   sudo nfs4_setfacl -a A:fdg:OWNER@: dir0
   sudo nfs4_setfacl -a A:fdg:GROUP@: dir0
   sudo nfs4_setfacl -a A:fdg:EVERYONE@: dir0

   设置完成后，可执行sudo nfs4_getfacl dir0查看设置结果。

   A::OWNER@:tTnNcCy
   A::GROUP@:tncy
   A::EVERYONE@:tncy
   A:fdi:EVERYONE@:tncy
   A:fdi:OWNER@:tTnNcCy
   A:fdi:GROUP@:tncy
   A:g:19064:rxtncy
   A:g:19065:rwaDxtTnNcCy
   A:fdig:19064:rxtncy
   A:fdig:19065:rwaDxtTnNcCy

5. 验证ACL的设置结果。
   1. 验证用户admini具有读写权限。

      sudo su admini -c 'touch dir0/file'

      sudo su admini -c 'echo 123 > dir0/file'

   2. 验证用户player具有只读权限。
      1. 验证是否有创建文件的权限（例如，创建dir0/file文件）。
         • 执行命令

           sudo su player -c 'touch dir0/file'

         • 如果返回如下信息，则表示用户player无权限创建文件。

           touch: cannot touch ‘dir0/file’: Permission denied

      2. 验证是否有写权限（例如，向dir0/file文件中写入内容）。
         • 执行命令

           sudo su player -c 'echo 456 >> dir0/file'

         • 如果返回如下信息，则表示用户player无写权限。

           bash: dir0/file: Permission denied

      3. 验证是否有读权限。
         • 执行命令

           sudo su player -c 'cat dir0/file'

         • 如果返回如下信息，则表示用户player有读权限。

           123

         您还可以通过执行sudo su player -c 'nfs4_getfacl dir0/file'命令，查看用户player对dir0/file文件的权限。

         A::OWNER@:tTnNcCy
         A::GROUP@:tncy
         A::EVERYONE@:tncy
         A:g:19064:rxtncy
         A:g:19065:rwaxtTnNcCy

   3. 验证用户anonym无权限。
      1. 验证无权限查看dir0目录下的文件。
         • 执行命令

           sudo su anonym -c 'ls dir0'

         • 如果返回如下信息，则表示用户anonym无权限访问。

           ls: cannot open directory dir0: Permission denied

      2. 验证无权限查看file文件的内容。
         • 执行命令

           sudo su anonym -c 'cat dir0/file'

         • 如果返回如下信息，则表示用户anonym无权限查看file文件的内容。

           cat: dir0/file: Permission denied

      3. 验证无权限访问file文件。
         • 执行命令

           sudo su anonym -c 'nfs4_getfacl dir0/file'

         • 如果返回如下信息，则表示用户anonym无权限访问file文件。

           Invalid filename: di

相关操作

如果您要移除用户权限，可参见以下方法。

建议在使用NFSv4 ACL时，尽量把每个用户归类到群组中。在设置NFSv4 ACL时直接设置群组权限而不用设置单个用户的权限。这样在移除用户权限时只需把用户移出某个群组即可。例如：参见以下命令将用户admini移出群组adminis，移入群组adminis2。

1. 创建adminis2群组。

   sudo groupadd adminis2

2. 将用户admini移出群组adminis，移入群组adminis2。

   sudo usermod -g adminis2 admini

3. 查询用户ID权限。
   • 执行命令

     id admini

   • 返回信息

     uid=1057(admini) gid=1057(admini) groups=1061(adminis2)

4. 验证用户admini具备的权限。
   1. 验证无权限访问dir0目录。
      • 执行命令

        sudo su admini -c 'ls dir0

      • 如果返回以下信息，则表示用户admini无权限访问dir0目录。

        ls: cannot open directory dir0: Permission denied

   2. 验证用户admini无权限查看dir0/file文件的内容。
      • 执行命令

        sudo su admini -c 'cat dir0/file'

      • 如果返回以下信息，表示用户admini无权限查看dir0/file文件的内容。

        cat: dir0/file: Permission denied

   3. 验证用户admini无权限访问dir0/file。
      • 执行命令

        sudo su admini -c 'getfacl dir0/file'

      • 如果返回以下信息，表示用户admini无权限访问dir0/file。

        getfacl: dir0/file: Permission denied