linux ACL提供细粒度文件权限管理,支持为单个文件或目录设置多用户和组权限。需确认文件系统挂载时启用acl选项,可通过mount | grep ” / “检查,若无则在/etc/fstab中添加acl并重新挂载。使用setfacl -m设置ACL,如u:alice:rw赋予用户权限,g:dev:rx赋予组权限,d:前缀设置默认ACL以实现继承。通过getfacl查看ACL配置,setfacl -x删除特定条目,-b清除全部ACL。目录上设置默认ACL可使新文件自动继承权限,适用于共享环境,但应避免过度授权并定期检查配置。
Linux中的访问控制列表(ACL)提供比传统unix权限更精细的文件权限管理方式。通过ACL,可以为单个文件或目录设置多个用户和组的访问权限,而不受主权限的限制。
启用文件系统的ACL支持
大多数现代Linux文件系统(如ext4、xfs)默认支持ACL,但仍需确认挂载时启用了acl选项。
检查根分区是否启用ACL:
mount | grep ” / “
输出中应包含 acl 选项。如果没有,可在/etc/fstab中为对应分区添加acl挂载选项:
UUID=xxxx-xxxx / ext4 defaults,acl 0 1
然后重新挂载:
sudo mount -o remount /
使用setfacl设置ACL权限
setfacl 命令用于设置文件或目录的ACL。
常见用法:
- 给用户alice赋予文件read和write权限:
setfacl -m u:alice:rw filename - 给组dev赋予目录的执行和读取权限:
setfacl -m g:dev:rx dirname - 设置默认ACL(对新创建的文件生效):
setfacl -m d:u:bob:rwx dirname - 同时设置多个ACL项:
setfacl -m “u:alice:rwx,g:staff:rx” file
查看和删除ACL
使用getfacl命令查看文件的ACL:
getfacl filename
输出会显示所有拥有者、组和其他用户的权限,以及额外的user和group条目。
删除某个用户的ACL:
setfacl -x u:alice filename
清除文件所有ACL设置:
setfacl -b filename
目录ACL与继承
在目录上设置ACL时,可配合默认ACL实现权限继承。
例如,让dev组在/project目录及其未来文件中都有读写权限:
setfacl -m g:dev:rw /project
setfacl -d -m g:dev:rw /project
这样,之后在该目录中创建的新文件会自动继承这些ACL规则。
基本上就这些。只要文件系统支持,ACL是管理复杂共享环境权限的有效工具。操作时注意不要过度授权,定期用getfacl检查配置是否符合预期。