[转]使用setfacl划分权限

使用Samba来构建Linux文件系统可谓是功能强大，凡架设过MS Windows网络的人都知道MS Windows网络的核心是SMB/CIFS，而samba也是一套基于UNIX类系统、实现SMB/CIFS协议的软件，作为UNIX的克隆，Linux也可以运行这套软件。和NT相比较，samba的文件服务功能一点也不亚于NT，效率很高，借助Linux本身，可以实现用户磁盘空间限制功能，NT到4.0版本还是无法实现这点。可是要深刻地去认识Samba并不是一天两天的事情，samba由samba小组（http;//samba.org）开发，更新速度很快，目前最高的版本是3.0.7版，每个更新版本在功能上都所增强，也修复了已知的BUG，要使用Samba强大的功能，看来需要一段时间去探究，去理解，去不断地实践，才能领略到Samba。

现在我面临的问题只要是构建文件服务器的权限细分问题，一个100多人的企业，对公司的员工的管理是非常严格的，在文件的共享，员工的资源使用，员工的权限等等都是一样。文件服务器只要是共享日常工作的文档资料，一些共用的资料，一些对部分人保密的资料，一些普通员工不允许看到的文档资料……可见，文件服务器权限的细分有多的重要。另外，公司需要共享的目录实在是太多了，如果使用samba来一个一个目录地去配置，可谓是工程浩大。

OK，现在转入正题。我使用的系统是RedHat Enterpise Linux 3.0 Up3，价钱可性能方面，不用说我想大家也知道了。我做之前，其实我也考虑过使用samba来细分文件共享的权限，但是由于时间的问题，在紧急的关头，我发现了setfacl这个功能。

在使用setfacl之前，首先要检查系统的内核是否支持setfacl啦，另外还需要编辑/etc/fstab文件，对需要setfacl的分区激活acl的功能。

ACL 有两种：存取 ACL（access ACLs）和默认 ACL（default ACLs）。存取 ACL 是对指定文件或目录的存取控制列表。默认 ACL 只能和目录相关。如果目录中的文件没有存取 ACL，它就会使用该目录的默认 ACL。默认 ACL 是可选的。

ACL 可以按以下条件配置：

1. 每用户

2. 每组群

3. 通过有效权限屏蔽

4. 为不属于文件用户组群的用户配置

其实用户打开访问文件服务器时，他看见的只有两个共享的目录，这两个共享目录是samba共享出来的，分配给所有的用户（everyoen组）都有写的权限（rwx），由于系统的权限行前与samba的权限，所以我在系统中设置了所有用户(everyone组)只有r-x的权限，所有在共享出来的目录中，每个用户在这个目录下不能写了。

setfacl 工具为文件和目录设置 ACL。使用 -m 来添加或修改文件或目录的 ACL：

setfacl -m <rules> <files>

规则（<rules>）必须使用以下格式指定。同一条命令中可以指定多项规则，只要它们是用逗号分开即可。

空格被忽略。权限（<perms>）必须是代表读、写、和执行的字符（r、w、x）的组合。

如果某文件或目录已经有了一个 ACL，而 setfacl 命令仍被使用了，额外的规则就会被添加到已存在的 ACL 中，或用来修改已存在的规则。

例如，要给用户 tfox 以读写权限：

setfacl -m u:tfox:rw /project/somefile

要删除用户、组群或其它人的所有权限，使用 -x 选项，并且不指定任何权限：

setfacl -x <rules> <files>

例如，删除 UID 为 500 的用户的所有权限：

setfacl -x u:500 /project/somefile

下面要做的是对samba 共享出来的目录下的各个目录进行权限的细分，例如对于共享目录share1下有两个目录
\\samba\share1\aaa、\\samba\share1\bbb，其中user1和同组人(doc)对目录aaa 可以读写执行，但是只能读bbb，user2和同组人(eng)只能读bbb，不能读aaa。
首先是，所有的用户都加入到everyone组中，使用下面的命令就可以实现了：
setfacl -R -m g:everyone:r-x share1
setfacl -R -m g:doc:rwx,d:g:doc:rwx,g:everyone:--- /share1/aaa
setfacl -R -m g:doc:r-x,d:g:doc:r-x /share1/bbb

其实有很的需求都是需要具体地去拼合的，有些目录实在是太深了，对权限的细分可能有点难度，但是使用setfacl就可以对目录分得很细。