当前位置：首页 > news >正文

【Linux 基础知识系列：第二百零九篇】Linux 文件系统 ACL 权限配置

news 2026/6/28 15:24:24

一、简介：为什么除了 chmod 还要学 ACL？

传统权限 3×3 模型（user/group/other）够用吗？
- 同一目录下，多部门共享→ 需要第 4 组、第 5 组不同权限。
- 文件服务器 → 某些用户只读，某些用户可写，但不能改属组。
- Docker 卷映射 → 容器内 UID 与宿主机不一致，chmod 777 太粗暴。

ACL（Access Control List）=给文件/目录再打“补丁权限”，不改动原属主/属组，支持单用户、单组独立授权，可继承。
掌握getfacl/setfacl=让 Linux 权限真正“随心所欲”。

二、核心概念：5 个名词先搞懂

名词	一句话	示例
ACL 条目	一条权限规则 = 类型 + 名称 + 权限	`user:alice:rw-`
Access ACL	文件的 ACL（仅作用自身）	`-rw-r--r--+`见`+`号
Default ACL	目录的默认 ACL，新文件自动继承	`default:user:bob:r--`
mask	上限掩码，决定最大有效权限（除 owner/other）	`mask::rwx`
ACL 类型	`u`用户、`g`组、`m`掩码、`o`其他	`setfacl -m u:alice:rw file`

口诀：看到+号 = 文件带 ACL；getfacl一目了然。

三、环境准备：3 分钟搭好“ACL 实验室”

1. 系统要求

内核 ≥ 2.6（CentOS 6+/Ubuntu 12+ 均满足）
文件系统支持：ext4、xfs、btrfs、tmpfs ✅；fat32、exfat ❌
挂载选项：默认已启 ACL，如未启手动加mount -o remount,acl /

2. 检查与启用（可复制）

# 查看分区是否支持 ACL tune2fs -l /dev/sda1 | grep -i acl # ext4 看到 Default mount options: acl mount | grep acl # 无输出也正常，现代发行版默认开启 # 若未启用，临时开启 sudo mount -o remount,acl / # 永久开启：编辑 /etc/fstab 在对应行加 ,acl 然后 remount

3. 实验账号（一次性创建）

sudo groupadd sales && sudo groupadd tech sudo useradd -G sales alice && sudo useradd -G tech bob echo "123456" | sudo passwd --stdin alice # CentOS echo -e "123456\n123456" | sudo passwd alice # Ubuntu

四、命令与示例：由浅入深 6 大关卡

所有命令可直接复制，在~/acl-lab目录执行。

mkdir -p ~/acl-lab && cd ~/acl-lab

4.1 基本语法：setfacl / getfacl 速查

功能	命令模板	示例
添加/修改	`setfacl -m <条目> <路径>`	`setfacc -m u:alice:rw file`
删除单条	`setfacl -x <条目> <路径>`	`setfacl -x u:alice file`
清空所有	`setfacl -b <路径>`	`setfacl -b file`
查看	`getfacl <路径>`	`getfacl file`

4.2 文件级 ACL：给单用户开小灶

# 1. 创建测试文件 echo "Salary 2025" > salary.txt chmod 640 salary.txt # 传统权限：owner=rw, group=r, other=0 # 2. 让 alice（非属主）也能读 setfacl -m u:alice:r-- salary.txt # 3. 验证 getfacl salary.txt # 输出： # user::rw- # user:alice:r-- ← 新增条目 # group::r-- # mask::r-- # other::---

场景：财务文件，不能让 alice 改属组，又要给她只读。

4.3 目录级 ACL + 默认继承：多部门共享

# 1. 创建共享目录 sudo mkdir -p /srv/shared sudo chown root:sales /srv/shared sudo chmod 770 /srv/shared # 2. 技术组 tech 需要读写 sudo setfacl -m g:tech:rwx /srv/shared # 3. 设置默认 ACL，**以后新建文件自动继承** sudo setfacl -d -m g:tech:rwx /srv/shared sudo setfacl -d -m u:alice:rw- /srv/shared # 4. 验证 touch /srv/shared/newfile.txt getfacl /srv/shared/newfile.txt # 看到 default: 条目已复制为 Access ACL

结果：

无论谁在哪创建文件，tech组始终rwx，alice始终rw-。

4.4 mask 演示：别被“上限”坑了

setfacl -m u:alice:rwx file chmod 640 file # 传统思维：group 从 rw- → r-- getfacl file # 输出： # user:alice:rwx # 有效 rwx # mask::r-- # ← 被 chmod 同步缩小！ # 实际 alice 只有 r-- （mask 拦截）

结论：

chmod会自动同步 mask；想保留完整 ACL，用setfacl -n禁止 mask 重算。

4.5 备份与还原 ACL：批量迁移必备

# 1. 导出 getfacl -R /srv/shared > shared.acl # 2. 复制到目标机 rsync -av /srv/shared remote:/srv/ rsync shared.acl remote:/tmp/ # 3. 远端还原 ssh remote 'cd /srv && setfacl --restore=/tmp/shared.acl'

场景：

文件服务器整机迁移，权限零丢失。

4.6 一键脚本：自动给网站目录加“运维只读”

#!/bin/bash # script: web_acl.sh WWW=/var/www/html OPS user=ops1 # 运维账号只读 setfacl -R -m u:${OPS user}:r-X $WWW # 默认继承 setfacl -R -d -m u:${OPS user}:r-X $WWW echo "OPS 只读 ACL 完成"

保存后chmod +x web_acl.sh && sudo ./web_acl.sh，运维审计再也不怕误改。

五、常见问题与解答（FAQ）

问题	现象	解决
`setfacl: Operation not supported`	文件系统在 FAT32	换 ext4/xfs，或 `mount	grep acl` 确认
`chmod 000 file`后 alice 还能读？	能，ACL 不受 other 影响	如要禁用，用`setfacl -b file`再 chmod
`cp file newfile`ACL 消失？	默认 cp 不保留	用`cp --preserve=acl file newfile`
`mv`会丢 ACL 吗？	同分区内保留；跨分区丢失	跨分区用`tar --acls`或`rsync -A`
查看大量目录眼花？	一行太长	`getfacl -cp /dir	grep -v "^#"` 去注释

六、实践建议与最佳实践

约定大于配置
共享目录统一放/srv/部门名，默认 ACL 模板化，新人 1 分钟上手。
权限最小化
先给r-X（目录执行位），确需写再单独加w。
定期审计
getfacl -R /srv > acl_$(date +%F).backup，Git 保存，差异一目了然。
与 chmod 混用顺序
先 chmod 设基础，再 setfacl 打补丁，避免 mask 误杀。
容器场景
Docker 卷加 ACL 需宿主机同样支持，挂载时加:Z不会清 ACL（SELinux 标签另论）。
nfs 导出
服务端/etc/exports加no_acl会强制禁用，记得删除以保留 ACL。

七、总结：一张脑图带走全部要点

Linux ACL ├─ 命令：setfacl / getfacl / -m / -x / -b / -d ├─ 对象：文件 Access ACL + 目录 Default ACL ├─ 条目：u:用户 g:组 m:mask o:other ├─ 场景：多部门共享、运维审计、容器卷 └─ 最佳：模板化 + 审计 + tar --acls 迁移

掌握 ACL，你就拥有了：