在眾多的linux訪問控制系統(tǒng)中，Andreas Gruenbacher的Linux ACL工程是比較有影響力的一個，也是最容易使用的一個。它依賴于文件系統(tǒng)的擴展屬性（Extended Attribute）。

簡介

作為一種自由的操作系統(tǒng)，Linux的發(fā)展極為迅速，也出現(xiàn)了很多改進傳統(tǒng)UNIX系統(tǒng)缺點的工程。這些工程通過不同的方式幫助系統(tǒng)管理員提高系統(tǒng)的安全性，例如：進程的能力，更細粒度的權(quán)限等。在上期我們介紹了Linux的能力特性，本文將介紹Linux的ACL系統(tǒng)。

傳統(tǒng)UNIX系統(tǒng)的訪問控制方法是非常簡單的，它把用戶分成三類：文件的擁有者、組成員和其他用戶。很顯然，這種訪問控制模型過于簡陋了。隨著對Linux系統(tǒng)安全性要求的提高，需要一種更細粒度的訪問控制模型來代替?zhèn)鹘y(tǒng)UNIX系統(tǒng)的訪問控制模型。使用ACL(Access Control List，訪問控制列表)系統(tǒng)，系統(tǒng)管理員能夠為每個用戶（包括root用戶在內(nèi)）對文件和目錄的訪問提供更好的訪問控制。在POSIX中定義了一種訪問控制叫做POSIX ACL，可以實現(xiàn)基于單獨用戶的控制，目前的大多數(shù)Linux訪問控制工程都是以此為基礎(chǔ)。

在眾多的工程中，Andreas Gruenbacher的Linux ACL工程是比較有影響力的一個。它依賴于文件系統(tǒng)的擴展屬性（Extended Attribute）。當(dāng)前，Linux能夠在ext2/ext3和SGI的XFS文件系統(tǒng)中支持POSIX ACL。其它類型的文件系統(tǒng)，例如：ReiserFS文件系統(tǒng)也很快會支持ACL。在網(wǎng)絡(luò)文件系統(tǒng)中，Linux能夠通過Samba共享支持ACL，不過目前的NFS還不能支持ACL。需要指出的是，目前使用磁盤限額的ext3文件系統(tǒng)對ACL的支持不是很好。

1.安裝EA/ACL系統(tǒng)

1.1.下載ACL/EA內(nèi)核補丁以及相關(guān)工具

安裝ACL/EA系統(tǒng)，首先需要下載相關(guān)的內(nèi)核補丁、工具以及輔助庫。所有所需的軟件包都可以從http://acl.bestbits.at/download.html下載。

本文將討論如何在RedHat7.3（內(nèi)核使用編寫本文時的最新版本2.4.19，在本文完成時linux-2.4.20剛剛發(fā)布，不過相關(guān)的ea/acl的補丁還不太穩(wěn)定）中安裝ACL系統(tǒng)。需要指出的是，最新版的RedHat 8中已經(jīng)廣泛使用了ea/acl。為了系統(tǒng)維護的方便，建議除了內(nèi)核補丁使用源代碼包之外，其余軟件都是用RPM包進行安裝。整個安裝過程需要用到以下的軟件包：

1.2.安裝內(nèi)核

在下在了所需的軟件之后，就可以進入實際的安裝了。我們首先需要一個支持ACL的內(nèi)核，以下是具體的操作步驟：

1)進入內(nèi)核源代碼所在的目錄，使用EA/ACL補丁升級內(nèi)核源代碼：

2)執(zhí)行如下命令進入內(nèi)核選項配置界面

3)選擇File systems進入文件系統(tǒng)的配置界面

4)打開POSIX Access Control List選項，然后根據(jù)需要打開ext2/ext3文件系統(tǒng)的支持選項。

5)完成配置之后，執(zhí)行如下命令編譯支持ACL的內(nèi)核：

6)最后使用自己喜歡的編輯器編輯/boot/grub/menu.lst文件，使我們剛才編譯的內(nèi)核能夠啟動。

1.3.安裝輔助工具

完成內(nèi)核的安裝之后，我們還需要安裝用戶空間的工具和庫以便對ACL進行日常維護。

1)安裝attr庫

2)安裝acl庫

3)安裝支持ACL的fileutils軟件包。它比原始的fileutils軟件包增加了維護ACL的工具。

4)安裝支持文件系統(tǒng)的擴展屬性（Extended Attribute）的e2fsprogs軟件包。

5)安裝star。Star是一個類似于tar，支持ACL的快速歸檔工具。

【相關(guān)文章】

• 專題：訪問控制列表(ACL)介紹

• Cisco IOS RST-ACK包訪問控制繞過漏洞

• nCipher PKCS#11實現(xiàn)訪問控制漏洞