一、简介:为什么除了 chmod 还要学 ACL?
传统权限 3×3 模型(user/group/other)够用吗?
同一目录下,多部门共享→ 需要第 4 组、第 5 组不同权限。
文件服务器 → 某些用户只读,某些用户可写,但不能改属组。
Docker 卷映射 → 容器内 UID 与宿主机不一致,chmod 777 太粗暴。
ACL(Access Control List)=给文件/目录再打“补丁权限”,不改动原属主/属组,支持单用户、单组独立授权,可继承。
掌握getfacl/setfacl=让 Linux 权限真正“随心所欲”。
二、核心概念:5 个名词先搞懂
| 名词 | 一句话 | 示例 |
|---|---|---|
| ACL 条目 | 一条权限规则 = 类型 + 名称 + 权限 | user:alice:rw- |
| Access ACL | 文件的 ACL(仅作用自身) | -rw-r--r--+见+号 |
| Default ACL | 目录的默认 ACL,新文件自动继承 | default:user:bob:r-- |
| mask | 上限掩码,决定最大有效权限(除 owner/other) | mask::rwx |
| ACL 类型 | u用户、g组、m掩码、o其他 | setfacl -m u:alice:rw file |
口诀:看到
+号 = 文件带 ACL;getfacl一目了然。
三、环境准备:3 分钟搭好“ACL 实验室”
1. 系统要求
内核 ≥ 2.6(CentOS 6+/Ubuntu 12+ 均满足)
文件系统支持:ext4、xfs、btrfs、tmpfs ✅;fat32、exfat ❌
挂载选项:默认已启 ACL,如未启手动加
mount -o remount,acl /
2. 检查与启用(可复制)
# 查看分区是否支持 ACL tune2fs -l /dev/sda1 | grep -i acl # ext4 看到 Default mount options: acl mount | grep acl # 无输出也正常,现代发行版默认开启 # 若未启用,临时开启 sudo mount -o remount,acl / # 永久开启:编辑 /etc/fstab 在对应行加 ,acl 然后 remount3. 实验账号(一次性创建)
sudo groupadd sales && sudo groupadd tech sudo useradd -G sales alice && sudo useradd -G tech bob echo "123456" | sudo passwd --stdin alice # CentOS echo -e "123456\n123456" | sudo passwd alice # Ubuntu四、命令与示例:由浅入深 6 大关卡
所有命令可直接复制,在
~/acl-lab目录执行。
mkdir -p ~/acl-lab && cd ~/acl-lab4.1 基本语法:setfacl / getfacl 速查
| 功能 | 命令模板 | 示例 |
|---|---|---|
| 添加/修改 | setfacl -m <条目> <路径> | setfacc -m u:alice:rw file |
| 删除单条 | setfacl -x <条目> <路径> | setfacl -x u:alice file |
| 清空所有 | setfacl -b <路径> | setfacl -b file |
| 查看 | getfacl <路径> | getfacl file |
4.2 文件级 ACL:给单用户开小灶
# 1. 创建测试文件 echo "Salary 2025" > salary.txt chmod 640 salary.txt # 传统权限:owner=rw, group=r, other=0 # 2. 让 alice(非属主)也能读 setfacl -m u:alice:r-- salary.txt # 3. 验证 getfacl salary.txt # 输出: # user::rw- # user:alice:r-- ← 新增条目 # group::r-- # mask::r-- # other::---场景:财务文件,不能让 alice 改属组,又要给她只读。
4.3 目录级 ACL + 默认继承:多部门共享
# 1. 创建共享目录 sudo mkdir -p /srv/shared sudo chown root:sales /srv/shared sudo chmod 770 /srv/shared # 2. 技术组 tech 需要读写 sudo setfacl -m g:tech:rwx /srv/shared # 3. 设置默认 ACL,**以后新建文件自动继承** sudo setfacl -d -m g:tech:rwx /srv/shared sudo setfacl -d -m u:alice:rw- /srv/shared # 4. 验证 touch /srv/shared/newfile.txt getfacl /srv/shared/newfile.txt # 看到 default: 条目已复制为 Access ACL结果:
无论谁在哪创建文件,
tech组始终rwx,alice始终rw-。
4.4 mask 演示:别被“上限”坑了
setfacl -m u:alice:rwx file chmod 640 file # 传统思维:group 从 rw- → r-- getfacl file # 输出: # user:alice:rwx # 有效 rwx # mask::r-- # ← 被 chmod 同步缩小! # 实际 alice 只有 r-- (mask 拦截)结论:
chmod会自动同步 mask;想保留完整 ACL,用setfacl -n禁止 mask 重算。
4.5 备份与还原 ACL:批量迁移必备
# 1. 导出 getfacl -R /srv/shared > shared.acl # 2. 复制到目标机 rsync -av /srv/shared remote:/srv/ rsync shared.acl remote:/tmp/ # 3. 远端还原 ssh remote 'cd /srv && setfacl --restore=/tmp/shared.acl'场景:
文件服务器整机迁移,权限零丢失。
4.6 一键脚本:自动给网站目录加“运维只读”
#!/bin/bash # script: web_acl.sh WWW=/var/www/html OPS user=ops1 # 运维账号只读 setfacl -R -m u:${OPS user}:r-X $WWW # 默认继承 setfacl -R -d -m u:${OPS user}:r-X $WWW echo "OPS 只读 ACL 完成"保存后chmod +x web_acl.sh && sudo ./web_acl.sh,运维审计再也不怕误改。
五、常见问题与解答(FAQ)
| 问题 | 现象 | 解决 | |
|---|---|---|---|
setfacl: Operation not supported | 文件系统在 FAT32 | 换 ext4/xfs,或 `mount | grep acl` 确认 |
chmod 000 file后 alice 还能读? | 能,ACL 不受 other 影响 | 如要禁用,用setfacl -b file再 chmod | |
cp file newfileACL 消失? | 默认 cp 不保留 | 用cp --preserve=acl file newfile | |
mv会丢 ACL 吗? | 同分区内保留;跨分区丢失 | 跨分区用tar --acls或rsync -A | |
| 查看大量目录眼花? | 一行太长 | `getfacl -cp /dir | grep -v "^#"` 去注释 |
六、实践建议与最佳实践
约定大于配置
共享目录统一放/srv/部门名,默认 ACL 模板化,新人 1 分钟上手。权限最小化
先给r-X(目录执行位),确需写再单独加w。定期审计
getfacl -R /srv > acl_$(date +%F).backup,Git 保存,差异一目了然。与 chmod 混用顺序
先 chmod 设基础,再 setfacl 打补丁,避免 mask 误杀。容器场景
Docker 卷加 ACL 需宿主机同样支持,挂载时加:Z不会清 ACL(SELinux 标签另论)。nfs 导出
服务端/etc/exports加no_acl会强制禁用,记得删除以保留 ACL。
七、总结:一张脑图带走全部要点
Linux ACL ├─ 命令:setfacl / getfacl / -m / -x / -b / -d ├─ 对象:文件 Access ACL + 目录 Default ACL ├─ 条目:u:用户 g:组 m:mask o:other ├─ 场景:多部门共享、运维审计、容器卷 └─ 最佳:模板化 + 审计 + tar --acls 迁移掌握 ACL,你就拥有了:
比 chmod 更细的权限粒度,不改属主/属组也能灵活授权
多用户、多部门共享时的“免争吵”方案
备份迁移、容器、NFS 全场景零权限丢失的底气
立刻打开终端,输入setfacl -m u:$USER:rw .,给你的第一个文件打上 ACL 补丁——真正的“权限自由”从这里开始!
