文章目录
Linux setfacl 命令详解
在 Linux 系统中,文件权限控制通常通过传统的所有者(Owner)、所属组(Group)、其他用户(Others)模式进行管理。然而,这种传统模式有时难以满足复杂的权限需求,例如需要为多个特定用户设置不同的权限。这时,setfacl 命令和 ACL(访问控制列表)便成为了解决方案。
一、ACL 和 setfacl 简介
ACL(Access Control List) 是一种细粒度的权限管理机制,允许为文件或目录指定多个用户或组的访问权限,从而突破传统权限模型的限制。
setfacl 命令 是用于设置文件和目录 ACL 的工具。
二、基本语法
setfacl [选项] 权限 文件或目录
常用选项:
-m:修改或添加 ACL 条目。-x:移除指定的 ACL 条目。-b:移除所有 ACL 条目(恢复为默认权限)。-k:移除默认 ACL 条目。-R:递归设置 ACL(对子目录和文件生效)。-d:设置默认 ACL,仅对目录有效。
三、常用操作
1. 查看 ACL
使用 getfacl 命令查看文件或目录的 ACL:
getfacl 文件或目录
示例:
getfacl example.txt
输出:
# file: example.txt
# owner: user1
# group: group1
user::rw-
group::r--
other::r--
2. 为用户设置权限
为特定用户(如 user2)添加读写权限:
setfacl -m u:user2:rw example.txt
解释:
u:user2:rw表示为用户user2设置读写权限。
3. 为组设置权限
为特定组(如 group2)添加读权限:
setfacl -m g:group2:r example.txt
4. 删除 ACL 条目
移除用户 user2 的 ACL:
setfacl -x u:user2 example.txt
5. 设置默认 ACL
默认 ACL 适用于目录,所有新创建的文件或子目录将继承该 ACL:
setfacl -d -m u:user2:rw example_dir
6. 递归设置 ACL
对目录及其所有子文件和子目录设置 ACL:
setfacl -R -m u:user2:rw example_dir
四、示例操作
假设有一个目录 project,需要实现以下权限:
- 用户
user1拥有所有权限。 - 用户
user2只能读取和写入文件。 - 组
developers只能读取文件。
1. 创建示例目录和文件
mkdir project
touch project/file1 project/file2
2. 设置 ACL
setfacl -m u:user1:rwx project/file1
setfacl -m u:user2:rw project/file1
setfacl -m g:developers:r project/file1
3. 验证 ACL
getfacl project/file1
输出:
# file: project/file1
# owner: root
# group: root
user::rw-
user:user1:rwx
user:user2:rw-
group::r--
group:developers:r--
mask::rwx
other::---
五、注意事项
-
ACL 支持的文件系统:
- ACL 需要文件系统支持,例如 ext3、ext4、xfs 等。
- 确保挂载分区时使用了
acl参数,可以通过以下命令确认:mount | grep acl
-
权限覆盖顺序:
- ACL 优先级高于传统的文件权限。
- 如果用户在 ACL 中有特定权限,则传统权限不会生效。
-
清理 ACL:
- 使用
setfacl -b可以清除所有 ACL,恢复为传统权限模型。
- 使用
六、总结
setfacl 是管理文件和目录权限的强大工具,适用于多用户、多权限需求的场景。通过灵活使用 ACL,可以大大简化权限管理,同时满足复杂的访问控制需求。