当提到文件和目录的权限时，你的第一反应可能是“属主/群组/其它”权限。 这些权限可以通过 chmod、 chown 等命令来修改。

文件和目录都有属主 (文件所有者 )、群组 (所属组) 以及其它权限，这些权限构成一个集合。 然而这些权限集合有它的局限性，无法做到为不同的用户设置不同的权限。

Linux 对文件和目录有以下默认权限。

• 文件 -> 644 -> -rw-r-r- （所有者有读写权限，组成员有只读权限， 其他人也只有读权限）
• 目录 -> 755 -> drwxr-xr-x （所有者有读、写和执行权限，组成员有读和执行的权限，其他人也有读和执行的权限）

比如： 默认情况下，所有者可以访问和编辑他们自己主目录中的文件， 也可以访问相关同组人的文件，但他们不能修改这些文件，因为组成员没有写权限，而且让组成员有写权限也是不明智的。 基于同样的原因，他/她也不能修改其他人的文件。 然而在某些情况下，多个用户想要修改同一个文件， 那该怎么办呢？

假设有个名叫 magi 的用户，他想要修改 httpd.conf 文件怎么办呢？ 这个文件是归 root 用户所有的，这样如何授权呢？ 为了解决这种情况， 访问控制列表 Access Control List （ACL）诞生了。

什么是 ACL？

ACL 表示 访问控制列表 Access Control List （ACL），它为文件系统提供了附加的、更具有弹性的权限机制。 它被设计来为补充 UNIX 文件权限机制。 ACL 允许你赋予任何某用户/组访问某项资源的权限。 setfacl 与 getfacl 命令会帮助你管理 ACL 而不会有任何麻烦。

什么是 setfacl？

setfacl 用于设置文件和目录的 ACL。

什么 getfacl？

getfacl - 获取文件的 ACL 。对于每个文件， getfacl 都会显示文件名、文件所有者、所属组以及ACL。 如果目录有默认 ACL， getfacl 也会显示这个默认的 ACL。

如何确认是否启用了 ACL？

运行 tune2fs 命令来检查是否启用了 ACL。

# tune2fs -l /dev/sdb1 | grep options
Default mount options: (none)

上面的输出很明显第说明 /dev/sdb1 分区没有启用 ACL。

如果结果中没有列出 acl，则你需要在挂载选项中加上 acl。 为了让它永久生效， 修改 /etc/fstab 中 /app 这一行成这样：

# more /etc/fstab

UUID=f304277d-1063-40a2-b9dc-8bcf30466a03 / ext4 defaults 1 1
/dev/sdb1        /app ext4 defaults，acl 1 1

或者，你也可以使用下面命令将其添加道文件系统的超级块中：

# tune2fs -o +acl /dev/sdb1

现在，通过运行以下命令来动态修改选项：

# mount -o remount,acl /app

再次运行 tune2fs 命令来看选项中是否有 acl 了：

# tune2fs -l /dev/sdb1 | grep options
Default mount options： acl

嗯，现在 /dev/sdb1 分区中有 ACL 选项了。

如何查看默认的 ACL 值

要查看文件和目录默认的 ACL 值，可以使用 getfacl 命令后面加上文件路径或者目录路径。 注意， 当你对非 ACL 文件/目录运行 getfacl 命令时， 则不会显示附加的 user 和 mask 参数值。

# getfacl /etc/apache2/apache2.conf

# file： etc/apache2/apache2.conf
# owner： root
# group： root
user::rw-
group::r--
other::r--

如何为文件设置 ACL

以下面格式运行 setfacl 命令可以为指定文件设置 ACL。在下面的例子中，我们会给 magi 用户对 /etc/apache2/apache2.conf 文件 rwx 的权限。

# setfacl -m u:magi:rwx /etc/apache2/apache2.conf

仔细分析起来：

• setfacl： 命令
• -m： 修改文件的当前 ACL
• u： 指明用户
• magi： 用户名
• rwx： 要设置的权限
• /etc/apache2/apache2.conf： 文件名称

再查看一次新的 ACL 值：

# getfacl /etc/apache2/apache2.conf

# file： etc/apache2/apache2.conf
# owner： root
# group： root
user::rw-
user:magi:rwx
group::r--
mask::rwx
other::r--

注意： 若你发现文件或目录权限后面有一个加号（+），就表示设置了 ACL。

# ls -lh /etc/apache2/apache2.conf
-rw-rwxr--+ 1 root root 7.1K Sep 19 14:58 /etc/apache2/apache2.conf

如何为目录设置 ACL

以下面格式运行 setfacl 命令可以递归地为指定目录设置 ACL。在下面的例子中，我们会将 /etc/apache2/sites-available/ 目录中的 rwx 权限赋予 magi 用户。

# setfacl -Rm u:magi:rwx /etc/apache2/sites-available/

其中：

• -R： 递归到子目录中

再次查看一下新的 ACL 值。

# getfacl /etc/apache2/sites-available/

# file： etc/apache2/sites-available/
# owner： root
# group： root
user::rwx
user:magi:rwx
group::r-x
mask::rwx
other::r-x

现在 /etc/apache2/sites-available/ 中的文件和目录都设置了 ACL。

# ls -lh /etc/apache2/sites-available/
total 20K
-rw-rwxr--+ 1 root root 1.4K Sep 19 14:56 000-default.conf
-rw-rwxr--+ 1 root root 6.2K Sep 19 14:56 default-ssl.conf
-rw-rwxr--+ 1 root root 1.4K Dec 8 02:57 mywebpage.com.conf
-rw-rwxr--+ 1 root root 1.4K Dec 7 19:07 testpage.com.conf

如何为组设置 ACL

以下面格式为指定文件运行 setfacl 命令。在下面的例子中，我们会给 appdev 组赋予 /etc/apache2/apache2.conf 文件的 rwx 权限。

# setfacl -m g:appdev:rwx /etc/apache2/apache2.conf

其中：

• g： 指明一个组

对多个用户和组授权，只需要用 逗号 区分开，就像下面这样。

# setfacl -m u:magi:rwx,g:appdev:rwx /etc/apache2/apache2.conf

如何删除 ACL

以下面格式运行 setfacl 命令会删除文件对指定用户的 ACL。这只会删除用户权限而保留 mask 的值为只读。

# setfacl -x u:magi /etc/apache2/apache2.conf

其中：

• -x： 从文件的 ACL 中删除

再次查看 ACL 值。在下面的输出中我们可以看到 mask 的值是读。

# getfacl /etc/apache2/apache2.conf

# file： etc/apache2/apache2.conf
# owner： root
# group： root
user::rw-
group::r--
mask::r--
other::r--

使用 -b 来删除文件中所有的 ACL。

# setfacl -b /etc/apache2/apache2.conf

其中：

• -b： 删除所有的 ACL 条目

再次查看删掉后的 ACl 值就会发现所有的东西都不见了，包括 mask 的值也不见了。

# getfacl /etc/apache2/apache2.conf

# file： etc/apache2/apache2.conf
# owner： root
# group： root
user::rw-
group::r--
other::r--

如何备份并还原 ACL

下面命令可以备份和还原 ACL 的值。要制作备份， 需要进入对应的目录然后这样做（假设我们要备份 sites-available 目录中的 ACL 值)。

# cd /etc/apache2/sites-available/
# getfacl -R * > acl_backup_for_folder

还原的话，则运行下面命令：

# setfacl --restore=/etc/apache2/sites-available/acl_backup_for_folder

via: https://www.2daygeek.com/how-to-configure-access-control-lists-acls-setfacl-getfacl-linux/

作者：Magesh Maruthamuthu 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

本教程可以了解如何通过用户组和访问控制表（ACL）来管理用户。

当你需要管理一台容纳多个用户的 Linux 机器时，比起一些基本的用户管理工具所提供的方法，有时候你需要对这些用户采取更多的用户权限管理方式。特别是当你要管理某些用户的权限时，这个想法尤为重要。比如说，你有一个目录，某个用户组中的用户可以通过读和写的权限访问这个目录，而其他用户组中的用户对这个目录只有读的权限。在 Linux 中，这是完全可以实现的。但前提是你必须先了解如何通过用户组和访问控制表（ACL）来管理用户。

我们将从简单的用户开始，逐渐深入到复杂的访问控制表（ACL）。你可以在你所选择的 Linux 发行版完成你所需要做的一切。本文的重点是用户组，所以不会涉及到关于用户的基础知识。

为了达到演示的目的，我将假设：

你需要用下面两个用户名新建两个用户：

• olivia
• nathan

你需要新建以下两个用户组：

• readers
• editors

olivia 属于 editors 用户组，而 nathan 属于 readers 用户组。reader 用户组对 /DATA 目录只有读的权限，而 editors 用户组则对 /DATA 目录同时有读和写的权限。当然，这是个非常小的任务，但它会给你基本的信息，你可以扩展这个任务以适应你其他更大的需求。

我将在 Ubuntu 16.04 Server 平台上进行演示。这些命令都是通用的，唯一不同的是，要是在你的发行版中不使用 sudo 命令，你必须切换到 root 用户来执行这些命令。

创建用户

我们需要做的第一件事是为我们的实验创建两个用户。可以用 useradd 命令来创建用户，我们不只是简单地创建一个用户，而需要同时创建用户和属于他们的家目录，然后给他们设置密码。

sudo useradd -m olivia
sudo useradd -m nathan

我们现在创建了两个用户，如果你看看 /home 目录，你可以发现他们的家目录（因为我们用了 -m 选项，可以在创建用户的同时创建他们的家目录。

之后，我们可以用以下命令给他们设置密码：

sudo passwd olivia
sudo passwd nathan

就这样，我们创建了两个用户。

创建用户组并添加用户

现在我们将创建 readers 和 editors 用户组，然后给它们添加用户。创建用户组的命令是：

addgroup readers
addgroup editors

（LCTT 译注：当你使用 CentOS 等一些 Linux 发行版时，可能系统没有 addgroup 这个命令，推荐使用 groupadd 命令来替换 addgroup 命令以达到同样的效果）

图一：我们可以使用刚创建的新用户组了。

创建用户组后，我们需要添加我们的用户到这两个用户组。我们用以下命令来将 nathan 用户添加到 readers 用户组：

sudo usermod -a -G readers nathan

用以下命令将 olivia 添加到 editors 用户组：

sudo usermod -a -G editors olivia

现在我们可以通过用户组来管理用户了。

给用户组授予目录的权限

假设你有个目录 /READERS 且允许 readers 用户组的所有成员访问这个目录。首先，我们执行以下命令来更改目录所属用户组：

sudo chown -R :readers /READERS 

接下来，执行以下命令收回目录所属用户组的写入权限：

sudo chmod -R g-w /READERS

然后我们执行下面的命令来收回其他用户对这个目录的访问权限（以防止任何不在 readers 组中的用户访问这个目录里的文件）：

sudo chmod -R o-x /READERS

这时候，只有目录的所有者（root）和用户组 reader 中的用户可以访问 /READES 中的文件。

假设你有个目录 /EDITORS ，你需要给用户组 editors 里的成员这个目录的读和写的权限。为了达到这个目的，执行下面的这些命令是必要的：

sudo chown -R :editors /EDITORS
sudo chmod -R g+w /EDITORS
sudo chmod -R o-x /EDITORS

此时 editors 用户组的所有成员都可以访问和修改其中的文件。除此之外其他用户（除了 root 之外）无法访问 /EDITORS 中的任何文件。

使用这个方法的问题在于，你一次只能操作一个组和一个目录而已。这时候访问控制表（ACL）就可以派得上用场了。

使用访问控制表（ACL）

现在，让我们把这个问题变得棘手一点。假设你有一个目录 /DATA 并且你想给 readers 用户组的成员读取权限，并同时给 editors 用户组的成员读和写的权限。为此，你必须要用到 setfacl 命令。setfacl 命令可以为文件或文件夹设置一个访问控制表（ACL）。

这个命令的结构如下：

setfacl OPTION X:NAME:Y /DIRECTORY

其中 OPTION 是可选选项，X 可以是 u（用户）或者是 g （用户组），NAME 是用户或者用户组的名字，/DIRECTORY 是要用到的目录。我们将使用 -m 选项进行修改。因此，我们给 readers 用户组添加读取权限的命令是：

sudo setfacl -m g:readers:rx -R /DATA

现在 readers 用户组里面的每一个用户都可以读取 /DATA 目录里的文件了，但是他们不能修改里面的内容。

为了给 editors 用户组里面的用户读写权限，我们执行了以下命令：

sudo setfacl -m g:editors:rwx -R /DATA 

上述命令将赋予 editors 用户组中的任何成员读取权限，同时保留 readers 用户组的只读权限。

更多的权限控制

使用访问控制表（ACL），你可以实现你所需的权限控制。你可以添加用户到用户组，并且灵活地控制这些用户组对每个目录的权限以达到你的需求。如果想了解上述工具的更多信息，可以执行下列的命令：

• man usradd
• man addgroup
• man usermod
• man sefacl
• man chown
• man chmod

via: https://www.linux.com/learn/intro-to-linux/2017/12/how-manage-users-groups-linux

作者：[Jack Wallen] 译者：imquanquan 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在上篇文章中我们向您展示了如何在 Linux 上创建一个共享目录。这次，我们会为您介绍如何将 Linux 上指定目录的读写权限赋予用户。

有两种方法可以实现这个目标：第一种是 使用 ACL (访问控制列表) ，第二种是创建用户组来管理文件权限，下面会一一介绍。

为了完成这个教程，我们将使用以下设置。

• 操作系统：CentOS 7
• 测试目录：/shares/project1/reports
• 测试用户：tecmint
• 文件系统类型：ext4

请确认所有的命令都是使用 root 用户执行的，或者使用 sudo 命令 来享受与之同样的权限。

让我们开始吧！下面，先使用 mkdir 命令来创建一个名为 reports 的目录。

# mkdir -p /shares/project1/reports                 

使用 ACL 来为用户赋予目录的读写权限

重要提示：打算使用此方法的话，您需要确认您的 Linux 文件系统类型（如 ext3 和 ext4, NTFS, BTRFS）支持 ACL。

1、 首先， 依照以下命令在您的系统中检查当前文件系统类型，并且查看内核是否支持 ACL：

# df -T | awk '{print $1,$2,$NF}' | grep "^/dev"
# grep -i acl /boot/config*

从下方的截屏可以看到，文件系统类型是 ext4，并且从 CONFIG_EXT4_FS_POSIX_ACL=y 选项可以发现内核是支持 POSIX ACL 的。

查看文件系统类型和内核的 ACL 支持。

2、 接下来，查看文件系统（分区）挂载时是否使用了 ACL 选项。

# tune2fs -l /dev/sda1 | grep acl

查看分区是否支持 ACL

通过上边的输出可以发现，默认的挂载项目中已经对 ACL 进行了支持。如果发现结果不如所愿，你可以通过以下命令对指定分区（此例中使用 /dev/sda3）开启 ACL 的支持。

# mount -o remount,acl /
# tune2fs -o acl /dev/sda3

3、 现在是时候指定目录 reports 的读写权限分配给名为 tecmint 的用户了，依照以下命令执行即可。

# getfacl /shares/project1/reports                # Check the default ACL settings for the directory 
# setfacl -m user:tecmint:rw /shares/project1/reports     # Give rw access to user tecmint 
# getfacl /shares/project1/reports                # Check new ACL settings for the directory

通过 ACL 对指定目录赋予读写权限

在上方的截屏中，通过输出结果的第二行 getfacl 命令可以发现，用户 tecmint 已经成功的被赋予了 /shares/project1/reports 目录的读写权限。

如果想要获取 ACL 列表的更多信息。可以在下方查看我们的其他指南。

1. 如何使用访问控制列表（ACL）为用户/组设置磁盘配额
2. 如何使用访问控制列表（ACL）挂载网络共享

现在我们来看看如何使用第二种方法来为目录赋予读写权限。

使用用户组来为用户赋予指定目录的读写权限

1、 如果用户已经拥有了默认的用户组（通常组名与用户名相同），就可以简单的通过变更文件夹的所属用户组来完成。

# chgrp tecmint /shares/project1/reports

另外，我们也可以通过以下方法为多个用户（需要赋予指定目录读写权限的）新建一个用户组。如此一来，也就创建了一个共享目录。

# groupadd projects

2、 接下来将用户 tecmint 添加到 projects 组中：

# usermod -aG projects tecmint      # add user to projects
# groups tecmint                # check users groups

3、 将目录的所属用户组变更为 projects：

# chgrp projects /shares/project1/reports

4、 现在，给组成员设置读写权限。

# chmod -R 0760 /shares/projects/reports
# ls  -l /shares/projects/      #check new permissions

好了！这篇教程中，我们向您展示了如何在 Linux 中将指定目录的读写权限赋予用户。若有疑问，请在留言区中提问。

（题图：Pixabay，CC0）

作者简介：

Aaron Kili 是 Linux 和 F.O.S.S 爱好者，未来的 Linux 系统管理员和网络开发人员，目前是 TecMint 的内容创作者，他喜欢用电脑工作，并坚信分享知识。

via: http://www.tecmint.com/give-read-write-access-to-directory-in-linux/

作者：Aaron Kili 译者：Mr-Ping 校对：jasminepeng

本文由 LCTT 原创编译，Linux中国 荣誉推出

在上一篇文章(RHCSA 系列（六）)中，我们解释了如何使用 parted 和 ssm 来设置和配置本地系统存储。

RHCSA 系列: 配置 ACL 及挂载 NFS/Samba 共享 – Part 7

我们也讨论了如何创建和在系统启动时使用一个密码来挂载加密的卷。另外，我们告诫过你要避免在挂载的文件系统上执行危险的存储管理操作。记住了这点后，现在，我们将回顾在 RHEL 7 中最常使用的文件系统格式，然后将涵盖有关手动或自动挂载、使用和卸载网络文件系统（CIFS 和 NFS）的话题以及在你的操作系统上实现 访问控制列表 （ Access Control List ） 的使用。

前提条件

在进一步深入之前，请确保你可使用 Samba 服务和 NFS 服务（注意在 RHEL 7 中 NFSv2 已不再被支持）。

在本次指导中，我们将使用一个IP 地址为 192.168.0.10 且同时运行着 Samba 服务和 NFS 服务的机器来作为服务器，使用一个 IP 地址为 192.168.0.18 的 RHEL 7 机器来作为客户端。在这篇文章的后面部分，我们将告诉你在客户端上你需要安装哪些软件包。

RHEL 7 中的文件系统格式

从 RHEL 7 开始，由于 XFS 的高性能和可扩展性，它已经被作为所有的架构中的默认文件系统。根据 Red Hat 及其合作伙伴在主流硬件上执行的最新测试，当前 XFS 已支持最大为 500 TB 大小的文件系统。

另外，XFS 启用了 user_xattr（扩展用户属性） 和 acl（POSIX 访问控制列表）来作为默认的挂载选项，而不像 ext3 或 ext4（对于 RHEL 7 来说，ext2 已过时），这意味着当挂载一个 XFS 文件系统时，你不必显式地在命令行或 /etc/fstab 中指定这些选项（假如你想在后一种情况下禁用这些选项，你必须显式地使用 no_acl 和 no_user_xattr）。

请记住扩展用户属性可以给文件和目录指定，用来存储任意的额外信息如 mime 类型，字符集或文件的编码，而用户属性中的访问权限由一般的文件权限位来定义。

访问控制列表

作为一名系统管理员，无论你是新手还是专家，你一定非常熟悉与文件和目录有关的常规访问权限，这些权限为所有者，所有组和“世界”（所有的其他人）指定了特定的权限（可读，可写及可执行）。但如若你需要稍微更新下你的记忆，请参考 RHCSA 系列（三）.

但是，由于标准的 ugo/rwx 集合并不允许为不同的用户配置不同的权限，所以 ACL 便被引入了进来，为的是为文件和目录定义更加详细的访问权限，而不仅仅是这些特别指定的特定权限。

事实上， ACL 定义的权限是由文件权限位所特别指定的权限的一个超集。下面就让我们看看这个转换是如何在真实世界中被应用的吧。

1. 存在两种类型的 ACL：访问 ACL，可被应用到一个特定的文件或目录上；以及默认 ACL，只可被应用到一个目录上。假如目录中的文件没有 ACL，则它们将继承它们的父目录的默认 ACL 。
2. 从一开始， ACL 就可以为每个用户，每个组或不在文件所属组中的用户配置相应的权限。
3. ACL 可使用 setfacl 来设置（和移除），可相应地使用 -m 或 -x 选项。

例如，让我们创建一个名为 tecmint 的组，并将用户 johndoe 和 davenull 加入该组：

# groupadd tecmint
# useradd johndoe
# useradd davenull
# usermod -a -G tecmint johndoe
# usermod -a -G tecmint davenull

并且让我们检验这两个用户都已属于追加的组 tecmint：

# id johndoe
# id davenull

检验用户

现在，我们在 /mnt 下创建一个名为 playground 的目录，并在该目录下创建一个名为 testfile.txt 的文件。我们将设定该文件的属组为 tecmint，并更改它的默认 ugo/rwx 权限为 770（即赋予该文件的属主和属组可读、可写和可执行权限）：

# mkdir /mnt/playground
# touch /mnt/playground/testfile.txt
# chown :tecmint /mnt/playground/testfile.txt
# chmod 770 /mnt/playground/testfile.txt

接着，依次切换为 johndoe 和 davenull 用户，并在文件中写入一些信息：

# su johndoe
$ echo "My name is John Doe" > /mnt/playground/testfile.txt
$ su davenull
$ echo "My name is Dave Null" >> /mnt/playground/testfile.txt

到目前为止，一切正常。现在我们让用户 gacanepa 来向该文件执行写操作 – 则写操作将会失败，这是可以预料的。

$ su gacanepa
$ echo "My name is Gabriel Canepa" >> /mnt/playground/testfile.txt

管理用户的权限

但实际上我们需要用户 gacanepa（他不是组 tecmint 的成员）在文件 /mnt/playground/testfile.txt 上有写权限，那又该怎么办呢？首先映入你脑海里的可能是将该用户添加到组 tecmint 中。但那将使得他在所有该组具有写权限位的文件上均拥有写权限，但我们并不想这样，我们只想他能够在文件 /mnt/playground/testfile.txt 上有写权限。

现在，让我们给用户 gacanepa 在 /mnt/playground/testfile.txt 文件上有读和写权限。

以 root 的身份运行如下命令：

# setfacl -R -m u:gacanepa:rwx /mnt/playground

则你将成功地添加一条 ACL，允许 gacanepa 对那个测试文件可写。然后切换为 gacanepa 用户，并再次尝试向该文件写入一些信息：

$ echo "My name is Gabriel Canepa" >> /mnt/playground/testfile.txt

要观察一个特定的文件或目录的 ACL，可以使用 getfacl 命令：

# getfacl /mnt/playground/testfile.txt

检查文件的 ACL

要为目录设定默认 ACL（它的内容将被该目录下的文件继承，除非另外被覆写），在规则前添加 d:并特别指定一个目录名，而不是文件名：

# setfacl -m d:o:r /mnt/playground

上面的 ACL 将允许不在属组中的用户对目录 /mnt/playground 中的内容有读权限。请注意观察这次更改前后 getfacl /mnt/playground 的输出结果的不同：

在 Linux 中设定默认 ACL

在官方的 RHEL 7 存储管理指导手册的第 20 章 中提供了更多有关 ACL 的例子，我极力推荐你看一看它并将它放在身边作为参考。

挂载 NFS 网络共享

要显示你服务器上可用的 NFS 共享的列表，你可以使用带有 -e 选项的 showmount 命令，再跟上机器的名称或它的 IP 地址。这个工具包含在 nfs-utils 软件包中：

# yum update && yum install nfs-utils

接着运行：

# showmount -e 192.168.0.10

则你将得到一个在 192.168.0.10 上可用的 NFS 共享的列表：

检查可用的 NFS 共享

要按照需求在本地客户端上使用命令行来挂载 NFS 网络共享，可使用下面的语法：

# mount -t nfs -o [options] remote_host:/remote/directory /local/directory

其中，在我们的例子中，对应为：

# mount -t nfs 192.168.0.10:/NFS-SHARE /mnt/nfs

若你得到如下的错误信息：Job for rpc-statd.service failed. See "systemctl status rpc-statd.service" and "journalctl -xn" for details.，请确保 rpcbind 服务被启用且已在你的系统中启动了。

# systemctl enable rpcbind.socket
# systemctl restart rpcbind.service

接着重启。这就应该达到了上面的目的，且你将能够像先前解释的那样挂载你的 NFS 共享了。若你需要在系统启动时自动挂载 NFS 共享，可以向 /etc/fstab 文件添加一个有效的条目：

remote_host:/remote/directory /local/directory nfs options 0 0

上面的变量 remote\_host, /remote/directory, /local/directory 和 options(可选) 和在命令行中手动挂载一个 NFS 共享时使用的一样。按照我们前面的例子，对应为：

192.168.0.10:/NFS-SHARE /mnt/nfs nfs defaults 0 0

挂载 CIFS (Samba) 网络共享

Samba 代表一个特别的工具，使得在由 *nix 和 Windows 机器组成的网络中进行网络共享成为可能。要显示可用的 Samba 共享，可使用带有 -L 选项的 smbclient 命令，再跟上机器的名称或它的 IP 地址。这个工具包含在 samba\_client 软件包中：

你将被提示在远程主机上输入 root 用户的密码：

# smbclient -L 192.168.0.10

检查 Samba 共享

要在本地客户端上挂载 Samba 网络共享，你需要已安装好 cifs-utils 软件包：

# yum update && yum install cifs-utils

然后在命令行中使用下面的语法：

# mount -t cifs -o credentials=/path/to/credentials/file //remote_host/samba_share /local/directory

其中，在我们的例子中，对应为：

# mount -t cifs -o credentials=~/.smbcredentials //192.168.0.10/gacanepa /mnt/samba

其中 .smbcredentials 的内容是：

username=gacanepa
password=XXXXXX

它是一个位于 root 用户的家目录(/root/) 中的隐藏文件，其权限被设置为 600，所以除了该文件的属主外，其他人对该文件既不可读也不可写。

请注意 samba\_share 是 Samba 共享的名称，由上面展示的 smbclient -L remote_host 所返回。

现在，若你需要在系统启动时自动地使得 Samba 分享可用，可以向 /etc/fstab 文件添加一个像下面这样的有效条目：

//remote_host:/samba_share /local/directory cifs options 0 0

上面的变量 remote\_host, /remote/directory, /local/directory 和 options(可选) 和在命令行中手动挂载一个 Samba 共享时使用的一样。按照我们前面的例子中所给的定义，对应为：

//192.168.0.10/gacanepa /mnt/samba  cifs credentials=/root/smbcredentials,defaults 0 0

结论

在这篇文章中，我们已经解释了如何在 Linux 中设置 ACL，并讨论了如何在一个 RHEL 7 客户端上挂载 CIFS 和 NFS 网络共享。

我建议你去练习这些概念，甚至混合使用它们（试着在一个挂载的网络共享上设置 ACL），直至你感觉掌握了。假如你有问题或评论，请随时随意地使用下面的评论框来联系我们。另外，请随意通过你的社交网络分享这篇文章。

via: http://www.tecmint.com/rhcsa-exam-configure-acls-and-mount-nfs-samba-shares/

作者：Gabriel Cánepa 译者：FSSlc 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

使用拥有权限控制的Liunx，工作是一件轻松的任务。它可以定义任何user,group和other的权限。无论是在桌面电脑或者不会有很多用户的虚拟Linux实例，或者当用户不愿意分享他们之间的文件时，这样的工作是很棒的。然而，如果你是在一个大型组织，你运行了NFS或者Samba服务给不同的用户，然后你将会需要灵活的挑选并设置很多复杂的配置和权限去满足你的组织不同的需求。

Linux（和其他Unix等POSIX兼容的操作系统）有一种被称为访问控制列表(ACL)的权限控制方法，它是一种权限分配之外的普遍范式。例如，默认情况下你需要确认3个权限组：owner、group和other。而使用ACL，你可以增加权限给其他用户或组别，而不单只是简单的"other"或者是拥有者不存在的组别。可以允许指定的用户A、B、C拥有写权限而不再是让他们整个组拥有写权限。

ACL支持多种Linux文件系统，包括ext2, ext3, ext4, XFS, Btfrs, 等。如果你不确定你的文件系统是否支持ACL，请参考文档。

在文件系统使ACL生效

首先，我们需要安装工具来管理ACL。

Ubuntu/Debian 中:

$ sudo apt-get install acl

CentOS/Fedora/RHEL 中:

# yum -y install acl

Archlinux 中:

# pacman -S acl

出于演示目的，我将使用ubuntu server版本，其他版本类似。

安装ACL完成后，需要激活我们磁盘分区的ACL功能，这样我们才能使用它。

首先，我们检查ACL功能是否已经开启。

$ mount

你可以注意到，我的root分区中ACL属性已经开启。万一你没有开启，你需要编辑/etc/fstab文件，在你需要开启ACL的分区的选项前增加acl标记。

现在我们需要重新挂载分区（我喜欢完全重启，因为我不想丢失数据），如果你对其它分区开启ACL，你必须也重新挂载它。

$ sudo mount / -o remount

干的不错！现在我们已经在我们的系统中开启ACL，让我们开始和它一起工作。

ACL 范例

基础ACL通过两条命令管理：setfacl用于增加或者修改ACL，getfacl用于显示分配完的ACL。让我们来做一些测试。

我创建一个目录/shared给一个假设的用户，名叫freeuser

$ ls -lh /

我想要分享这个目录给其他两个用户test和test2，一个拥有完整权限，另一个只有读权限。

首先，为用户test设置ACL：

$ sudo setfacl -m u:test:rwx /shared

现在用户test可以随意创建文件夹，文件和访问在/shared目录下的任何地方。

现在我们增加只读权限给用户test2:

$ sudo setfacl -m u:test2:rx /shared

注意test2读取目录需要执行(x)权限

让我来解释下setfacl命令格式：

• -m 表示修改ACL。你可以增加新的，或修改存在的ACL
• u: 表示用户。你可以使用 g 来设置组权限
• test 用户名
• :rwx 需要设置的权限。

现在让我向你展示如何读取ACL：

$ ls -lh /shared

你可以注意到，正常权限后多一个+标记。这表示ACL已经设置成功。要具体看一下ACL，我们需要运行：

$ sudo getfacl /shared

最后，如果你需要移除ACL：

$ sudo setfacl -x u:test /shared

如果你想要立即擦除所有ACL条目：

$ sudo setfacl -b /shared

最后，在设置了ACL文件或目录工作时，cp和mv命令会改变这些设置。在cp的情况下,需要添加“p”参数来复制ACL设置。如果这不可行，它将会展示一个警告。mv默认移动ACL设置，如果这也不可行，它也会向您展示一个警告。

总结

使用ACL让在你想要分享的文件上拥有更多的能力和控制，特别是在NFS/Samba服务。此外，如果你的主管共享主机，这个工具是必备的。

via: http://xmodulo.com/2014/08/configure-access-control-lists-acls-linux.html

作者：Christopher Valerio 译者：VicYu 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出