本文介绍在使用NFS v3协议挂载的文件系统上,如何设置POSIX ACL来进行文件和目录权限管理。
前提条件
已使用NFS v3协议挂载文件系统。具体操作,请参见Linux系统挂载NFS文件系统。命令说明
在设置POSIX ACL前,请先熟悉相关操作命令。
命令 | 说明 |
---|---|
getfacl <filename> | 查看文件当前的ACL。 |
setfacl -m g::w <filename> | 给GROUP设置写权限。 |
setfacl -m u:player:w <filename> | 给用户player设置写权限。 |
setfacl -m g:players:rwx <filename> | 给用户组players设置读写执行权限。 |
setfacl -x g:players <filename> | 删除用户组players的权限。 |
getfacl file1 | setfacl --set-file=- file2 | 将文件file1的ACL复制到文件file2上。 |
setfacl -b file1 | 删除文件file1上的所有非mode的ACE。 |
setfacl -k file1 | 删除文件file1上的所有default的ACE。 |
setfacl -R -m g:players:rw dir | 对目录树dir下的文件和目录增加用户组players读写的权限。 |
setfacl -d -m g:players:rw dir1 | 用户组players对目录dir1下新创建的文件和目录都有读写权限。 |
操作步骤
您可以参考以下步骤,为目录或文件设置NFS ACL实现权限管理。
- 创建用户和群组。
本示例假设创建普通用户player,属于普通用户群组players;管理员admini,属于管理员群组adminis;另外再创建一个用户anonym。
sudo useradd player sudo groupadd players sudo usermod -g players player sudo useradd admini sudo groupadd adminis sudo usermod -g adminis admini sudo useradd anonym
- 对目录和文件设置POSIX ACL实现权限管理。
本示例假设创建目录dir0,针对目录dir0中的所有文件,授予players只读权限,授予adminis读写执行权限,不授予其他用户权限。
sudo umask 777 sudo mkdir dir0 sudo setfacl -m g:players:r-x dir0 sudo setfacl -m g:adminis:rwx dir0 sudo setfacl -m u::--- dir0 sudo setfacl -m g::--x dir0 sudo setfacl -m o::--- dir0 sudo setfacl -d -m g:players:r-x dir0 sudo setfacl -d -m g:adminis:rwx dir0 sudo setfacl -d -m u::--- dir0 sudo setfacl -d -m g::--x dir0 sudo setfacl -d -m o::--- dir0
设置完成后,可执行sudo getfacl dir0
查看设置结果。# file: dir0 # owner: root # group: root user::--- group::--x group:players:r-x group:adminis:rwx mask::rwx other::--- default:user::--- default:group::--x default:group:players:r-x default:group:adminis:rwx default:mask::rwx default:other::---
- 验证ACL设置结果。
相关操作
如果您要移除用户权限,可参见以下方法。
建议在使用NFS v4 ACL时,尽量把每个用户归类到群组中。在设置NFS v4 ACL时直接设置群组权限而不用设置单个用户的权限。这样在移除用户权限时只需把用户移出某个群组即可。例如:见以下命令将用户admini移出群组adminis,移入群组adminis2。
- 创建adminis2群组。
sudo groupadd adminis2
- 将用户admini移出群组adminis,移入群组adminis2。
sudo usermod -g adminis2 admini
- 查询用户ID权限。
- 执行命令
id admini
- 返回信息
uid=1057(admini) gid=1057(admini) groups=1061(adminis2)
- 执行命令
- 验证用户admini具备的权限。