Как пользоваться списками контроля доступа (Access Controls Lists, ACLs) в Red Hat Enterprise Linux 5?

Copyright (c) 2009 by Red Hat, Inc. This material may be distributed only subject to the terms and conditions set forth in the Open Publication License, v1.0 or later (available at http://www.opencontent.org/openpub/).
Original article: kbase.redhat.com/faq/docs/DOC-9977.pdf

Translated by Ivan Pesin, June 2009

Списки контроля доступа (Access Control Lists, ACL) предоставляют дополнительные к традиционным правам возможности разграничения доступа к файлам и каталогам. Для того, чтобы использовать ACL, файловая система должна быть смонтирована с параметром acl:

mount -o acl /home

1

mount -o acl /home

Чтобы установить права доступа для для пользователя или группы, используйте команду setfacl -m.

Формат команды для установки пользовательского ACL:

setfacl -m u:[имя пользователя]:[права] /каталог/файл Пример: setfacl -m u:ray:rx /home/foo.txt

1
2
3
4

setfacl -m u:[имя пользователя]:[права] /каталог/файл

Пример:
setfacl -m u:ray:rx /home/foo.txt

Указанная команда даст пользователю ray права на чтение и выполнение файла /home/foo.txt.

Чтобы задать ACL для группы, используйте:

setfacl -m g:[имя группы]:[права] /каталог/файл Пример: setfacl -m g:accounting:rwx /finance/foo.txt

1
2
3
4

setfacl -m g:[имя группы]:[права] /каталог/файл

Пример:
setfacl -m g:accounting:rwx /finance/foo.txt

Команда в примере даёт группе accounting права на чтение, запись и выполнение файла /finance/foo.txt.

ACL по-умолчанию для каталога (этот ACL будет автоматически наследоваться любым файлом и каталогом, созданными в данном каталоге) устанавливается командой:

setfacl -m d:[ug]:[имя пользователя или группы]:[права] /каталог Пример: setfacl -m d:u:marketing:rwx /brochures

1
2
3
4

setfacl -m d:[ug]:[имя пользователя или группы]:[права] /каталог

Пример:
setfacl -m d:u:marketing:rwx /brochures

Эта команда указывает, что любой файл или каталог, созданный в каталоге brochures, будет автоматически доступен пользователю marketing на чтение, запись и выполнение.

Для удаления ACL используется команда:

setfacl -x u:[имя пользователя]:[права] /каталог/файл Пример: setfacl -x u:ray:rx /home/foo.txt

1
2
3
4

setfacl -x u:[имя пользователя]:[права] /каталог/файл

Пример:
setfacl -x u:ray:rx /home/foo.txt

Команда из примера убирает у пользователя ray права на чтение и выполнение файла /home/foo.txt.

Для того, чтобы узнать текущий ACL файла или каталога, используйте команду:

getfacl /каталог/файл Пример: getfacl /home/foo.txt

1
2
3
4

getfacl /каталог/файл

Пример:
getfacl /home/foo.txt

В результате выполнения этой команды выдаётся текущий ACL файла /home/foo.txt. Выглядит это приблизительно так:

# getfacl /home/foo.txt getfacl: Removing leading '/' from absolute path names # file: home/foo.txt # owner: root # group: root user::rw- user:ray:rx group::r-- group:marketing:rwx mask::rwx other::r--

1
2
3
4
5
6
7
8
9
10
11
12

# getfacl /home/foo.txt

getfacl: Removing leading '/' from absolute path names
# file: home/foo.txt
# owner: root
# group: root
user::rw-
user:ray:rx
group::r--
group:marketing:rwx
mask::rwx
other::r--

За подробной информацией о списках контроля доступа обращайтесь к страницам руководства по командам setfacl и getfacl.