答案:Linux通过ACL实现更灵活的权限控制,使用setfacl和getfacl命令管理,需确保文件系统挂载时启用acl选项,可为用户或组设置精细权限,并支持默认ACL继承,权限受mask限制,ls显示+号表示存在ACL。
Linux中的文件权限默认使用ugo(用户、组、其他)模型,但在复杂场景下,这种权限机制不够灵活。通过设置ACL(Access Control List,访问控制列表),可以实现更精细的权限控制。setfacl和getfacl命令是管理ACL的核心工具。
启用文件系统ACL支持
大多数现代Linux文件系统(如ext4、xfs)默认支持ACL,但仍需确认挂载选项是否启用。
检查根分区是否启用ACL:
mount | grep “your_partition”
若输出中包含acl,说明已启用。如果没有,可在/etc/fstab中为对应分区添加acl挂载选项,例如:
UUID=xxxx-xxxx / ext4 defaults,acl 0 1
修改后重新挂载分区:
mount -o remount /
使用setfacl设置ACL权限
setfacl用于设置文件或目录的ACL规则。常用选项包括:
- -m:修改ACL
- -x:删除指定ACL条目
- -b:清除所有ACL条目
- -R:递归设置子目录和文件
- -d:设置默认ACL(仅对目录有效)
给特定用户设置读写权限:
setfacl -m u:username:rw file.txt
给特定组设置执行权限:
setfacl -m g:groupname:x script.sh
为目录设置默认ACL,使新文件自动继承权限:
setfacl -d -m u:devuser:rwx /project
查看和删除ACL
使用getfacl查看文件的ACL设置:
getfacl file.txt
输出会显示所有用户、组和其他权限,以及自定义的ACL条目。
删除某个用户的ACL:
setfacl -x u:username file.txt
清除文件所有ACL:
setfacl -b file.txt
注意:清除ACL后,文件恢复为标准ugo权限。
ACL权限与传统权限的交互
ACL权限受传统权限掩码(mask)限制。mask决定了ACL中用户和组的最大有效权限。
setfacl在设置权限时会自动更新mask。如需手动调整:
setfacl -m m:rwx file.txt
mask权限会影响所有非owner和非other的ACL条目。
当使用ls查看文件时,若ACL存在,权限末尾会显示+号:
-rw-rw-r–+ 1 user group 0 Apr 1 10:00 file.txt
基本上就这些。ACL为多用户协作环境提供了更灵活的权限管理方式,合理使用可避免创建过多用户组或牺牲安全性。关键是理解mask机制和默认ACL的继承行为。不复杂但容易忽略细节。