Spuneam în articolul trecut că există două tipuri de POSIX ACLs: access ACLs și default ACLs. Access ACL poate fi folosit pentru a acorda permisiuni atât fișierelor, cât și directoarelor.
Să facem un fișier și să-i vizualizăm informațiile despre ACL. Vom crea acest fișier ca superutilizator root în directorul /tmp:
# touch fisiertest.txt # ll fisiertest.txt -rw-r--r--. 1 root root 0 Oct 13 18:02 fisiertest.txt
Acum să-i vedem informațiile ACL:
# getfacl fisiertest.txt # file: fisiertest.txt # owner: root # group: root user::rw- group::r-- other::r--
După cum se observă, comanda getfacl ne arată informații despre permisiunile standard ale acestui fișier: rwx/ugo. ACL moștenește permisiunile standard ale fișierelor înainte de a construi altceva nou deasupra lor. Acum, să spunem că vrem ca și utilizatorul bobses să aibă permisiuni de scriere asupra acestui fișier (doar lui bobses și nimănui altcuiva în afară de proprietar). În acest moment, userul bobses nu poate să scrie în fișier:
[bobses@testserver ~]$ echo 'Salutare!' > /tmp/fisiertest.txt -bash: /root/fisiertest.txt: Permission denied
Pentru a permite utilizatorului bobses să scrie în acest fișier deținut de utilizatorul root, abordarea clasică este crearea unui nou grup, apoi adăugarea userilor bobses și root în acest nou grup, apoi, cu ajutorul comenzii chown, schimbăm grupul default al acestui fișier cu noul grup. Acest mod de procedare este destul de plictisitor și ia mai mult timp decât dacă am folosi comanda setfacl pentru a suprascrie permisiunile fișierului fisiertest.txt și să-i acordăm userului bobses dreptul de scriere:
# setfacl -m user:bobses:rw- /tmp/fisiertest.txt
Am folosit opțiunea -m (modificare) pentru a acorda utilizatorului bobses privilegii de citire și scriere (rw-) în fișierul fisiertest.txt. Acum, dacă folosim comanda ls cu opțiunea -l, observăm semnul + la sfârșitul șirului de caractere care arată permisiunile (acesta este un indicator care spune că a fost folosită comanda setfacl pentru a aplica permisiuni speciale):
# ll fisiertest.txt
-rw-rw-r--+ 1 root root 0 Oct 13 18:17 fisiertest.txt
Acum, să vedem care sunt aceste permisiuni speciale și cui sunt atribuite; vom utiliza, din nou, comanda getfacl și observăm că o nouă intrare a fost adăugată:
# getfacl fisiertest.txt # file: fisiertest.txt # owner: root # group: root user::rw- user:bobses:rw- group::r-- mask::rw- other::r--
În acest moment, datorită noilor permisiuni speciale acordate, utilizatorul bobses are drepturi de scriere în acest fișier deținut de superutilizatorul root:
$ echo 'Salutare!' > /tmp/fisiertest.txt [bobses@testserver ~]$ cat /tmp/fisiertest.txt Salutare!
Ștergerea permisiunilor ACL
Pentru a șterge permisiunile special ACL, vom folosi tot comanda setfacl; de exemplu, pentru a șterge permisiunile speciale acordate utilizatorului bobses în exemplul de mai sus vom rula comanda setfacl cu opțiunea -x:
# setfacl -x u:bobses /tmp/fisiertest.txt
Dacă, în acest moment, rulăm comanda ls -l, observăm că, la finalul șirului de permisiuni, încă există caracterul +; la rularea comenzii getfacl, vom observa că a rămas și masca asociată fișierului (vom vorbi despre ea în alt articol):
# ll /tmp/fisiertest.txt -rw-r--r--+ 1 root root 10 Oct 13 18:37 /tmp/fisiertest.txt
Pentru a șterge toate permisiunile speciale ACL vom folosi opțiunea --remove-all a comenzii setfacl:
# setfacl --remove-all /tmp/fisiertest.txt
După rularea acestei comenzi cu opțiunea --remove-all, vom observa că a dispărut și semnul + de la sfârșitul listei de permisiuni:
Comanda getfacl are următoarea ieșire (a dispărut și semnul +, dar și masca):
# getfacl /tmp/fisiertest.txt # file: tmp/fisiertest.txt # owner: root # group: root user::rw- group::r-- other::r--
Folosirea comenzii setfacl pentru a stabili permisiuni standard
Pe lângă stabilirea permisiunilor special ACL, comanda setfacl poate fi folosită și pentru a seta permisiuni standard ugo+rwx în locul comenzii chown. Aceasta se realizează prin nespecificarea unui nume de utilizator sau de grup.
De exemplu, comanda de mai jos:
# setfacl -m user::rwx /tmp/fisiertest.txt
este echivalentă cu:
# chmod u=rwx /tmp/fisiertest.txt
Copierea permisiunilor speciale ACL de la un fișier la altul
Un lucru util este copierea permisiunilor speciale ACL ale unui fișier la alt fișier: vom citi permisiunile ACL ale unui fișier cu comanda getfacl și le vom aplica altui fișier cu comanda setfacl:
#getfaclfisier1.txt |setfacl--set-file=- fisier2.txt
Caracterul - al opțiunii --set-file se referă la faptul că este citită lista de fișiere de la intrarea standard.
În acest caz, vechile permisiuni speciale ACL (dacă există) vor fi înlocuite cu cele noi.
Mult mai multe opțiuni ale acestor după comenzi pot fi aflate citind manualul lor:
man getfacl
man setfacl
Lasă un răspuns