現(xiàn)在需要限定某個(gè)用戶對(duì)特定目錄/文件的訪問權(quán)限,或者把某個(gè)用戶的訪問范圍限制在某個(gè)目錄/文件中。現(xiàn)實(shí)情況下,還是能遇到這樣的需求的,比如說ubuntu下有多個(gè)可登錄用戶,默認(rèn)情況下,用戶A的工作目錄(一般為/home/A)對(duì)任何其他用戶來說都是可讀的,但是用戶A可能不希望其他用戶(或者某個(gè)特定用戶)讀取A的文件。
這里提出三個(gè)解決方案。
第一種:使用chmod更改特定目錄的權(quán)限。這能起到限制特定目錄被某些人訪問的作用,限定某個(gè)用戶的目的也能達(dá)到,但是會(huì)誤傷其他用戶。
第二種:使用linux容器,例如lxc。耗費(fèi)空間,設(shè)置稍顯麻煩。
第三種:使用setfacl命令設(shè)定訪問控制。
其中,第三個(gè)方案是最符合要求的。本文主要講該方案的具體實(shí)現(xiàn)并在我自己的本上測(cè)試。我的系統(tǒng)為Linux Mint 15 64位,根目錄/使用的是ext4文件系統(tǒng),/home使用的btrfs文件系統(tǒng)。
安裝acl
sudo apt-get install acl
有資料說是要重啟系統(tǒng),但是測(cè)試的時(shí)候我發(fā)現(xiàn)這個(gè)在以前就已經(jīng)安裝好了(不知道是Mint自帶了還是我胡亂裝的),沒有重啟依舊有效。
使用setfacl
以root的身份執(zhí)行下面的命令:
# mkdir /home/test
# touch /home/test/foo.txt
# vim /home/test/foo.txt
# ls -ld /home/test/
drwxr-xr-x 1 root root 14 Jan 16 09:46 /home/test/
# ls -ld /home/test/foo.txt
-rw-r--r-- 1 root root 6 Jan 16 09:46 /home/test/foo.txt
上面的命令在/home目錄下創(chuàng)建目錄test,在test目錄下創(chuàng)建文件foo.txt,并在foo.txt下隨便加了些內(nèi)容。然后以普通用戶letian的身份訪問foo.txt,可以讀foo.txt。
現(xiàn)在以root身份運(yùn)行setfacl,使得/home/test目錄及其里面的文件和目錄不能被letian訪問。
# setfacl -R -m u:letian:- /home/test/
-R表示遞歸,-m表示修改,u:letian:-表示用戶(user)letian對(duì)/home/test沒有任何權(quán)限。可以根據(jù)需要添加r、w、x及其組合。 我們查看一下test目錄的詳細(xì)信息:
# ls -ld /home/test/
drwxr-xr-x+ 1 root root 14 Jan 16 09:46 /home/test/
文件權(quán)限后面出現(xiàn)了一個(gè)+號(hào),這說明該文件或者目錄設(shè)置了ACL。foo.txt的權(quán)限信息后面也會(huì)有+號(hào)。 然后,以letian的身份訪問該目錄:
$ ls /home/test
ls: cannot open directory /home/test: Permission denied
使用getfacl
getfacl用來查看對(duì)某個(gè)目錄/文件設(shè)置的acl。
$ getfacl /home/test
# file: /home/test
# owner: root
# group: root
user::rwx
user:letian:---
group::r-x
mask::r-x
other::r-x
刪除設(shè)置的acl
# setfacl -b /home/test/
# getfacl /home/test
# file: /home/test
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
