服务器评测文件/目录访问控制是Linux操作系统安全的重要组成部分。传统的Linux操作系统支持用户-用户组-其它用户的访问控制机制,来限定系统用户对文件/目录的访问权限,该机制已经广泛为用户所接受和应用。而在实际的使用过程中,用户意识到在很多应用场景该机制并不能灵活、高效地满足访问控制需求,因而自Linux内核2.6版本开始便支持更为灵活的ACL(访问控制列表)机制。本文将通过实例来详细介绍这两种机制的原理及使用。
1、传统的用户-用户组-其他用户(UGO)访问控制机制
UGO(user,group,other)模式原理
Linux系统中的每个文件和目录都有访问许可权限,通过其确定谁可以通过何种方式对文件和目录进行访问和操作。文件或目录的访问权限分为只读,只写和可执行三种。以文件为例,只读权限表示只允许读其内容,而禁止对其做任何的更改操作;只写权限允许对文件进行任何的修改操作;可执行权限表示允许将该文件作为一个程序执行。文件被创建时,文件所有者自动拥有对该文件的读、写和可执行权限,以便于对文件的阅读和修改。用户也可根据需要把访问权限设置为需要的任何组合。
有三种不同类型的用户可对文件或目录进行访问:文件所有者,同组用户、其他用户。所有者一般是文件的创建者。它可以允许同组用户有权访问文件,还可以将文件的访问权限赋予系统中的其他用户。在这种情况下,系统中的每一位用户都能访问该用户拥有的文件或目录。
每一个文件或目录的访问权限都有三组,每组用三位表示,分别为文件属主的读、写和执行权限;与属主同组的用户的读、写和执行权限;系统中其他用户的读、写和执行权限。当用ls -l命令显示文件或目录的详细信息时,最左边的一列为文件的访问权限。例如:
# ls -l
总计 76
-rw——- 1 root root 797 11-06 20:41 anaconda-ks.cfg
drwxr-xr-x 2 root root 4096 11-06 13:50 Desktop
-rw-r–r– 1 root root 44843 11-06 20:40 install.log
-rw-r–r– 1 root root 7513 11-06 20:35 install.log.syslog
横线代表空许可(即表示不具有该权限)。r代表只读,w代表写,x代表可执行。注意:这里共有10个位置。第1个字符指定了文件类型。在通常意义上,一个目录也是一个文件。如果第1个字符是横线,表示是一个非目录的文件。如果是d,表示是一个目录。后面的9个字符每三个构成一组,依次表示文件主、组用户、其他用户对该文件的访问权限。
确定了一个文件的访问权限后,用户可以利用Linux系统提供的chmod命令来重新设定不同的访问权限。也可以利用chown命令来更改某个文件或目录的所有者。
2、扩展的访问控制列表(ACL)方式
为什么要采用ACL
UGO访问控制机制在很多情况下难以满足实际文件/目录访问授权的需求,比如,要设定一个组中的部分用户对特定的文件/目录具有读取和访问权限(rw-),而另外一部分用户只能具备读权限(r–);这在传统的Linux访问控制中无法通过单纯地建立新的组和用户来实现。因此,为了解决这些问题,人们提出了一种新的访问控制方法,也就是访问控制列表(ACL,Access Control List)。
ACL是一个POSIX(可移植操作系统接口,Portable Operating System Interface)标准。目前,支持ACL需要内核和文件系统的支持。现在2.6内核配合EXT2/EXT3, JFS, XFS, ReiserFS等文件系统都是可以支持ACL的。在目前主流的发行套件,如Red Hat Enterprise Linux (RHEL)5、RHEL 6、Fedora 16等等,都已经支持ACL。
ACL的类型及权限位
ACL 是由一系列的Access Entry所组成的。每一条Access Entry定义了特定的类别可以对文件拥有的操作权限。Access Entry主要包括6个,可分为两大类:一类包括owner、owning group和other,对应传统UGO机制中的user、group和other;一类则包括named user、named group和mask。这六类的主要说明如下:
user:相当于Linux里文件所有者的permission
named user:定义了额外的用户可以对此文件拥有的permission
group:相当于Linux里group的permission
named group:定义了额外的组可以对此文件拥有的permission
mask:定义了named user, named group和group的最大权限
other:相当于Linux里other的permission
举个简单的例子,对于如下的ACL Entry的定义:
# file: example.xml
# owner: liyang
# group: operation
user::rwx
user:shengping:rw-
group::rw-
group:dev:r-x
mask::rwx
other::r—
其中,前面三个以#开头的定义了文件名、文件的所有者和所有者所在的组。后面紧跟着的六行则说明了如下的问题:
user::rwx说明文件所有者拥有读写和执行权限
user:shengping:rw-定义了用户shengping拥有对文件的读写权限
group::rw-说明文件的group拥有读写权限
group:dev:r-x 定义dev组拥有对文件的读和执行权限
mask::rwx 定义了mask的权限为读
other::r– 定义了other用户的权限为读
值得特别注意的是:mask的rwx权限定义,决定了user:shengping,group和group:dev对文件的最大权限分别是rw、rw和rx。这也是mask这个ACL Entry的用途所在,可以用它来批量控制权限。当然,在实际的使用过程中,并不需要用户对该Entry直接进行操作,而只需要使用相应的setfacl命令即可,系统将会根据该命令的执行来自动生成上述Entry项,这其中就包含了mask这个Entry项。
《灵活运用Linux中的文件/目录访问控制机制(上) 》通过实例详细介绍了UGO和ACL两种机制的原理及UGO的使用,本文将介绍ACL的命令及使用方法。
ACL的基本命令
ACL的主要命令有2个:getfacl和setfacl。Getfacl用于或取文件或者目录的ACL权限信息,而setfacl则用于设置文件或者目录的ACL权限信息。下面分别对他们的使用进行简单介绍。
Getfacl-获取ACL权限信息
getfacl命令用于获取文件的ACL权限信息,其基本用法为:getfacl [文件/目录名]。
举个例子,首先,使用touch命令先建立一个测试文件acl_test:
$ touch file acl_test
然后,使用ls命令来查看该文件的权限访问属性,发现其并没有加入acl权限,因为没有出现“+”符号:
$ ls -l acl_test
-rw-rw-r– 1 gavin gavin 0 12-20 11:49 acl_test
接着,使用getfacl命令来获取文件的ACL权限信息,得到如下结果:
$ getfacl acl_test
# file: acl_test
# owner: gavin
# group: gavin
user::rw-
group::rw-
other::r—
值得注意的是:即使该文件系统上没有开启ACL选项,getfacl命令仍然可用,不过只显示默认的文件访问权限,即与ls -l显示的内容相似。
Setfacl-设置ACL权限
为了设置文件的ACL权限,需要使用setfacl命令来详细设置文件的访问权限,其基本用法如下:
setfacl –[参数] [文件/目录],其常用的参数及作用如下所示:
-m:建立一个ACL规则
-x:删除一个ACL规则
-b:删除全部的ACL规则
-set:覆盖ACL规则
下面来详细介绍如何使用setfacl来设置文件/目录的ACL权限。
(1)添加/修改ACL规则
需要使用-m选项来进行操作。
举个例子,使用该命令为用户gavin和组test设置acl_test文件的读写权限,并使用getfacl查看设置结果:
$ setfacl -m u:gavin:rw,g:test:r acl_test
$ getfacl acl_test
# file: acl_test
# owner: gavin
# group: gavin
user::rw-
user:gavin:rw-
group::rw-
group:test:r–
mask::rw-
other::r—
在上面的命令示例中,可以清楚地看到加粗部分user:gavin、group:test、mask这3个ACL Entry的出现,表明对文件进行了ACL权限设置,否则,不会出现该标识。为了进一步验证,我们使用ls-l来查看该文件的权限位中是否多了“+”这个标识位,如下所示:
$ ls -l acl_test
-rw-rw-r–+ 1 gavin gavin 0 12-20 11:49 acl_test
其中,user:gavin、group:test为我们设置的访问权限,而mask::rw为自动添加的内容。
(2)删除ACL规则
使用-x选项可以方便地删除指定用户对指定文件/目录的访问权限。
以下示例删除用户gavin对文件acl_test的访问权限:
$ setfacl -x u:gavin acl_test
$ getfacl acl_test
# file: acl_test
# owner: gavin
# group: gavin
user::rw-
group::rw-
group:test:r–
mask::rw-
other::r–
$ ls -l acl_test
-rw-rw-r–+ 1 gavin gavin 0 12-20 11:49 acl_test
通过上述2段ACL权限显示的对比可以清楚地看到:用户gavin对于文件acl_test的访问权限已经完全删除了,表现为user:gavin:rw-已经不存在了。这里提醒注意的是:我们不能够通过setfacl命令来指定删除用户/组对文件/目录的某一个特定权限(如r、w或者x)。同时,也可以看到,使用ls-l命令显示文件的9个权限位还是没有改变,因为改变的只是ACL权限,而不是最基本的user、group和others权限。
(3)删除文件/目录的所有ACL规则
使用-b选项可以删除文件/目录的ACL权限。如下命令将删除文件acl_test的所有ACL权限。可以看到,使用getfacl命令来查看是,mask项已经消失,即该文件已经没有了所有的ACL权限:
$ setfacl -b acl_test
$ getfacl acl_test
# file: acl_test
# owner: gavin
# group: gavin
user::rw-
group::rw-
other::r—
(4)覆盖文件的原有ACL规则
需要使用–set选项。此处需要强调一下-m选项和–set选项的区别:-m选项只是修改已有的配置或是新增加一些;而–set选项和-m不同,它会把原有的ACL项全都删除,并用新的替代。另外,–set选项的参数中一定要包含UGO的设置,不能象-m一样只是添加ACL就可以了。
以下示例该选项的使用方法:
$ setfacl –set u::rw,g::rw,o::r,u:gavin:rwx,g:test:rx acl_test
$ getfacl acl_test
# file: acl_test
# owner: gavin
# group: gavin
user::rw-
user:gavin:rwx
group::rw-
group:test:r-x
mask::rwx
other::r–
$ ls -l acl_test
-rw-rwxr–+ 1 gavin gavin 0 12-20 11:49 acl_test
这里需要提醒注意的是:上述acl_test文件的权限标识位中的group的rwx权限,并不是表明acl_test文件所属用户的用户组对其有x权限,实际上只具有rw权限,而是因为在group:test:r-x中指定了test这个组具有x权限,所以ACL机制在这个标识位上进行了体现,在实际的应用中要特别注意,切记不要弄混淆了。
(5)其他选项
除了上述介绍的4类用法外,setfacl还可以使用如下一些选项,如下表,供大家在实际使用中参考:
选项 说明
-M 从文件中获取待修改的ACL权限
-X 从文件中获取待删除的ACL权限
-d 设置默认的ACL权限
-k 删除默认的ACL权限
-R 递归地设置ACL权限
–restore 从文件恢复ACL权限
为目录创建默认ACL
在日常的使用过程中,经常是通过对目录来设定ACL权限来满足应用的需求,而很少仅仅通过设置特定的文件来实现,因为这样做比较繁琐和低效。因此,下面就介绍如何来为目录创建默认的ACL。
如果希望在一个目录中新建的文件和目录都使用同一个预定的ACL,那么我们可以使用默认ACL(DefaultACL)。在对一个目录设置了默认的ACL以后,每个在目录中创建的文件都会自动继承目录的默认ACL作为自己的ACL。
具体的设置命令为: setfacl -d [目录名]。
下面的例子对新建的test目录进行ACL权限设置,并在其中新建了test1和test2文件,来看看默认ACL的设置情况。
首先,对文件夹test进行ACL权限查看如下:
$ getfacl test
# file: test
# owner: gavin
# group: gavin
user::rwx
group::rwx
other::r-x
接着,对其进行权限设置如下:
$ setfacl -d -m g:test:r test
$ getfacl test
# file: test
# owner: gavin
# group: gavin
user::rwx
group::rwx
other::r-x
default:user::rwx
default:group::rwx
default:group:test:r–
default:mask::rwx
default:other::r-x
可以看到,经过setfacl设置后,该文件夹的权限增加了以default开始的几项,表明设置成功。
然后,建立两个新的文件,然后查看他们的ACL权限信息如下:
$ touch test1 test2
$ getfacl test1
# file: test1
# owner: gavin
# group: gavin
user::rw-
group::rwx #effective:rw-
group:test:r–
mask::rw-
other::r–
$ getfacl test2
# file: test2
# owner: gavin
# group: gavin
user::rw-
group::rwx #effective:rw-
group:test:r–
mask::rw-
other::r–
可以清楚地看到:文件test1和test2自动继承了test设置的ACL。
备份和恢复ACL
目前,Linux系统中的主要的文件操作命令,如cp、mv、ls等都支持ACL。因此,在基本的文件/目录操作中可以很好地保持文件/目录的ACL权限。然而,有一些其它的命令,比如tar(文件归档)等常见的备份工具是不会保留目录和文件的ACL信息的。因此,如果希望备份和恢复带有ACL的文件和目录,那么可以先把ACL备份到一个文件里,待操作完成以后,则可以使用–restore选项来恢复这个文件/目录中保存的ACL信息。
下面给出一个具体的例子来进行说明。
(1)获取文件acl_test的ACL权限
$ getfacl acl_test
# file: acl_test
# owner: gavin
# group: gavin
user::rwx
user:test:r–
group::—
mask::r–
other::—
(2)将该文件的ACL权限保存至acl_test.acl文件中并进行查看
$ getfacl acl_test > acl_test.acl
$ cat acl_test.acl
# file: acl_test
# owner: gavin
# group: gavin
user::rwx
user:test:r–
group::—
mask::r–
other::—
(3)使用tar命令进行文件操作,并查看生成文件acl.tar的ACL权限,发现其并不具备ACL权限
$ tar czvf acl.tar acl_test
acl_test
$ getfacl acl.tar
# file: acl.tar
# owner: gavin
# group: gavin
user::rw-
group::rw-
other::r–
(4)删除acl_test文件,并释放acl.tar,查看其ACL权限,发现经过tar命令后,acl_test文件不在具备第(1)步显示的任何ACL权限,表明tar命令不能保持文件的ACL权限
$ rm -rf acl_test
$ tar -xzvf acl.tar
acl_test
$ getfacl acl_test
# file: acl_test
# owner: gavin
# group: gavin
user::rwx
group::r–
other::—
(5)使用命令从文件恢复acl_test的ACL权限,进行查看,表明成功恢复。
$ setfacl –restore acl_test.acl
$ getfacl acl_test
# file: acl_test
# owner: gavin
# group: gavin
user::rwx
user:test:r–
group::—
mask::r–
other::—
