如何设置ACL权限 精细控制

要设置linux系统中的acl权限，首先确认文件系统挂载时启用了acl选项，可通过mount | grep $(df . | tail -1 | awk ‘{print $1}’)检查，若无acl则在/etc/fstab中添加acl挂载参数并重新挂载；其次使用getfacl查看当前acl，setfacl -m u:用户:权限 文件 设置用户级别acl，setfacl -m g:组:权限 目录 设置组级别acl，setfacl -x u:用户 文件 删除指定用户acl条目，setfacl -b 文件 删除所有扩展acl；对于目录可设置默认acl使新文件自动继承，命令为setfacl -d -m u:用户:权限 目录 或 setfacl -d -m g:组:权限 目录；注意权限掩码mask会限制实际有效权限，必要时可用setfacl -m m::权限 文件 手动调整mask；建议仅在多用户协作等复杂场景下使用acl，结合传统权限管理，并在备份时使用rsync -aax或cp –preserve=mode,ownership,acl以保留acl设置，最终实现对文件和目录的精细化访问控制，完整结束。

设置ACL（Access Control List，访问控制列表）权限可以实现对文件或目录更精细的访问控制，超越传统linux权限模型中用户、组和其他的基本限制。特别是在多用户协作或复杂权限需求的场景下，ACL非常实用。以下是基于Linux系统设置ACL权限的详细方法。

一、确认系统支持ACL

大多数现代Linux文件系统（如ext4、xfs、btrfs）默认支持ACL，但需要确保挂载时启用了ACL选项。

检查挂载选项：

mount | grep $(df . | tail -1 | awk '{print $1}')

输出中应包含

acl

。如果没有，可以在

/etc/fstab

中为对应分区添加

acl

挂载选项，例如：

/dev/sda1 /home ext4 defaults,acl 0 2

修改后重新挂载：

mount -o remount,acl /home

二、基本ACL命令使用

Linux中管理ACL的主要命令是

setfacl

和

getfacl

。

1. 查看当前ACL权限

getfacl filename

例如：

getfacl report.txt

输出示例：

# file: report.txt # owner: alice # group: team user::rw- user:bob:r-- group::r-- mask::r-- other::r--

2. 设置用户级别的ACL权限

给特定用户添加读写权限：

setfacl -m u:bob:rw report.txt

• -m

  ：修改ACL

• u:bob:rw

  ：用户bob拥有读写权限

3. 设置组级别的ACL权限

给特定组添加权限：

setfacl -m g:developers:rx /project/

• g:developers:rx

  ：组developers对目录有读和执行权限

4. 删除某个ACL条目

setfacl -x u:bob report.txt

删除用户bob的ACL权限。

5. 删除所有扩展ACL

setfacl -b report.txt

此命令会清除所有扩展ACL，只保留基本的用户、组、其他权限。

三、目录默认ACL（用于新文件自动继承）

在协作目录中，常需要新创建的文件自动继承权限。可以设置 default ACL。

例如，设置目录

/shared/

的默认ACL：

setfacl -d -m u:alice:rwx /shared/ setfacl -d -m g:team:rwx /shared/

• -d

  表示设置默认ACL，仅对目录有效

• 新创建的文件和子目录将自动继承这些ACL规则

查看默认ACL：

getfacl /shared/

你会看到

default:

开头的条目。

四、权限掩码（Mask）与有效权限

当你设置ACL后，系统会自动计算一个 mask，它限制了用户和组的最大访问权限。

例如：

setfacl -m u:charlie:rwx file.txt

但mask可能是

r-x

，那么charlie的实际有效权限是

r-x

，即使设置了

rwx

。

手动设置mask：

setfacl -m m::rwx file.txt

这会提升mask权限，使其他ACL条目能真正生效。

五、实用建议与注意事项

• 避免过度使用ACL：ACL虽然灵活，但会增加权限管理复杂度，建议只在必要时使用。

• 定期审计权限：使用

  getfacl

  批量检查关键目录：

  getfacl /project/*

• 结合传统权限使用：ACL是对传统权限的补充，不是替代。确保基本的用户/组设置合理。

• 备份前注意ACL：使用

  rsync

  或

  cp

  时，需加参数保留ACL：

  rsync -aAX source/ dest/

  或

  cp --preserve=mode,ownership,acl source.txt dest.txt

基本上就这些。ACL让你能精确控制“谁能在什么文件上做什么”，特别适合团队开发、共享目录等场景。关键是理解

setfacl

和

getfacl

的用法，并合理使用默认ACL和权限掩码。不复杂，但容易忽略细节。