Linux setfacl 命令詳解

在 Linux 系統(tǒng)中，文件權限控制通常通過傳統(tǒng)的所有者（Owner）、所屬組（Group）、其他用戶（Others）模式進行管理。然而，這種傳統(tǒng)模式有時難以滿足復雜的權限需求，例如需要為多個特定用戶設置不同的權限。這時，setfacl 命令和 ACL（訪問控制列表）便成為了解決方案。

---

一、ACL 和 setfacl 簡介

ACL（Access Control List） 是一種細粒度的權限管理機制，允許為文件或目錄指定多個用戶或組的訪問權限，從而突破傳統(tǒng)權限模型的限制。

setfacl 命令 是用于設置文件和目錄 ACL 的工具。

---

二、基本語法

setfacl [選項] 權限 文件或目錄

常用選項：

• -m：修改或添加 ACL 條目。
• -x：移除指定的 ACL 條目。
• -b：移除所有 ACL 條目（恢復為默認權限）。
• -k：移除默認 ACL 條目。
• -R：遞歸設置 ACL（對子目錄和文件生效）。
• -d：設置默認 ACL，僅對目錄有效。

---

三、常用操作

1. 查看 ACL

使用 getfacl 命令查看文件或目錄的 ACL：

getfacl 文件或目錄

示例：

getfacl example.txt

輸出：

# file: example.txt
# owner: user1
# group: group1
user::rw-
group::r--
other::r--

2. 為用戶設置權限

為特定用戶（如 user2）添加讀寫權限：

setfacl -m u:user2:rw example.txt

解釋：

• u:user2:rw 表示為用戶 user2 設置讀寫權限。

3. 為組設置權限

為特定組（如 group2）添加讀權限：

setfacl -m g:group2:r example.txt

4. 刪除 ACL 條目

移除用戶 user2 的 ACL：

setfacl -x u:user2 example.txt

5. 設置默認 ACL

默認 ACL 適用于目錄，所有新創(chuàng)建的文件或子目錄將繼承該 ACL：

setfacl -d -m u:user2:rw example_dir

6. 遞歸設置 ACL

對目錄及其所有子文件和子目錄設置 ACL：

setfacl -R -m u:user2:rw example_dir

---

四、示例操作

假設有一個目錄 project，需要實現(xiàn)以下權限：

1. 用戶 user1 擁有所有權限。
2. 用戶 user2 只能讀取和寫入文件。
3. 組 developers 只能讀取文件。

1. 創(chuàng)建示例目錄和文件

mkdir project
touch project/file1 project/file2

2. 設置 ACL

setfacl -m u:user1:rwx project/file1
setfacl -m u:user2:rw project/file1
setfacl -m g:developers:r project/file1

3. 驗證 ACL

getfacl project/file1

輸出：

# file: project/file1
# owner: root
# group: root
user::rw-
user:user1:rwx
user:user2:rw-
group::r--
group:developers:r--
mask::rwx
other::---

---

五、注意事項

1. ACL 支持的文件系統(tǒng)：

   • ACL 需要文件系統(tǒng)支持，例如 ext3、ext4、xfs 等。
   • 確保掛載分區(qū)時使用了 acl 參數(shù)，可以通過以下命令確認：

     mount | grep acl
     

2. 權限覆蓋順序：

   • ACL 優(yōu)先級高于傳統(tǒng)的文件權限。
   • 如果用戶在 ACL 中有特定權限，則傳統(tǒng)權限不會生效。

3. 清理 ACL：

   • 使用 setfacl -b 可以清除所有 ACL，恢復為傳統(tǒng)權限模型。

---

六、總結

setfacl 是管理文件和目錄權限的強大工具，適用于多用戶、多權限需求的場景。通過靈活使用 ACL，可以大大簡化權限管理，同時滿足復雜的訪問控制需求。