通过配置ACL可实现linux文件权限的精细化管理,突破传统用户-组-其他模型限制。启用ACL需确保文件系统挂载时包含acl选项,可通过mount命令查看并修改/etc/fstab实现。使用setfacl -m为特定用户或组设置权限,如u:alice:rwX赋予alice读写执行权,g:developers:rx为组添加读和执行权限。对目录设置默认ACL(setfacl -d)可使新文件自动继承权限。getfacl用于查看当前ACL配置,显示包括所有者、组及其他相关权限条目。删除单个条目用setfacl -x,清除全部扩展ACL则使用-b选项。mask权限决定实际生效的最大权限,修改mask会限制其下所有条目的访问能力;chmod操作会自动更新mask值,可能影响原有ACL效果。合理应用ACL可在不更改文件归属的前提下灵活授权,适用于多用户协作环境,但应定期审计以防权限滥用。
在Linux中,传统的权限模型(用户、组、其他)有时无法满足复杂的访问需求。通过配置ACL(access Control List,访问控制列表),可以实现更精细的文件和目录权限管理。ACL允许为单个文件或目录设置多个用户和组的独立权限,突破标准权限的限制。
启用文件系统的ACL支持
大多数现代Linux发行版默认支持ACL,但需确保文件系统挂载时启用了ACL功能。
检查根分区或目标分区是否已启用ACL:
mount | grep $(df /path/to/target | tail -1 | awk ‘{print $1}’)
输出中应包含 acl 选项。例如:
/dev/sda1 on /home type ext4 (rw,relatime,acl)
若未启用,可在 /etc/fstab 中为对应分区添加 acl 挂载选项:
UUID=xxxx-xxxx /home ext4 defaults,acl 0 2
然后重新挂载:
sudo mount -o remount /home
使用setfacl设置ACL权限
setfacl 命令用于设置ACL规则。常用选项包括:
- -m:修改ACL规则
- -x:删除指定ACL条目
- -R:递归应用到子目录和文件
- -d:设置默认ACL(仅对目录有效)
为用户alice赋予对/data/project的读写执行权限:
sudo setfacl -m u:alice:rwX /data/project
为组developers添加执行和读取权限:
sudo setfacl -m g:developers:rx /data/project
设置默认ACL,使新创建的文件自动继承权限:
sudo setfacl -d -m u:alice:rwX /data/project
查看和删除ACL权限
使用getfacl命令查看文件或目录的ACL设置:
getfacl /data/project
输出示例:
# file: data/project # owner: root # group: root user::rwx user:alice:rwX group::r-x group:developers:r-x mask::rwx other::r-x
删除某个用户的ACL:
sudo setfacl -x u:alice /data/project
清除所有扩展ACL条目:
sudo setfacl -b /data/project
理解ACL中的mask权限
ACL中的mask决定了用户和组条目的最大有效权限。实际生效权限是条目权限与mask的交集。
修改mask值会影响所有受其约束的条目:
sudo setfacl -m mask::r– /data/project
此时即使设置了u:alice:rwX,实际生效权限也会被限制为只读。
当使用chmod更改文件权限时,会自动更新mask值,因此ACL权限可能随之变化。
基本上就这些。合理使用ACL可以在不改变文件所有者或主组的前提下,灵活授权多个用户和组,适合团队协作或多角色访问场景。注意定期审计ACL设置,避免权限过度累积。