在Linux系统中，文件和目录的权限管理是保证系统安全的重要一环。除了传统的用户、组和其他用户的权限设置外，Linux还提供了ACL（访问控制列表）机制，它允许我们对特定的用户或组设置更加细粒度的权限。今天，我们就以一张“Linux Access Control Lists”为蓝本，来学习如何使用 getfacl 和 setfacl 命令来管理ACL，提升我们文件系统的安全性。

什么是ACL？
ACL，全称Access Control Lists，即访问控制列表。它是一种灵活的权限管理机制，允许我们为特定的用户或组设置读、写、执行权限，而不仅仅局限于所有者、所属组和其他用户。ACL弥补了传统权限模型的不足，让我们可以实现更精细的权限控制，比如，允许某个用户对某个文件有读写权限，但对其他用户没有。

查看ACL

首先，我们来看如何查看文件或目录的ACL信息，我们使用 getfacl 命令：

• getfacl file.txt: 显示文件 file.txt 的 ACL 信息。它会显示文件所有者、所属组以及附加的 ACL 规则。
• getfacl -R /directory: 递归显示目录 /directory 及其所有子目录和文件的 ACL 信息。-R 选项表示递归。

通过 getfacl 命令，我们可以清晰地了解文件或目录的权限设置情况。

设置ACL

接下来，我们来看如何使用 setfacl 命令来设置ACL：

• setfacl -m u:john:rwx file.txt：授予用户 john 对文件 file.txt 的读(r)、写(w)和执行(x)权限。-m选项表示修改ACL。u:john指定了用户john。
• setfacl -m g:developers:rx file.txt: 授予组 developers 对文件 file.txt 的读(r)和执行(x)权限。g:developers 指定了组developers。

除了直接设置用户和组的权限外，我们还可以设置默认的ACL，用于新创建的文件和目录：

• setfacl -m d:u:alice:rw /shared: 为目录 /shared 设置默认 ACL，允许用户 alice 对该目录下新创建的文件和目录拥有读(r)写(w)权限。d:u:alice 表示设置用户 alice 的默认 ACL。
• setfacl -m d:g:team:rx /shared: 为目录 /shared 设置默认 ACL，允许组 team 对该目录下新创建的文件和目录拥有读(r)和执行(x)权限。d:g:team 表示设置组 team 的默认 ACL。

默认ACL可以让我们在创建新文件时，自动应用指定的权限，简化了权限管理的流程。

删除ACL

当我们不再需要某个 ACL 规则时，可以使用 setfacl 命令删除它。

• setfacl -x u:john file.txt: 删除用户 john 对文件 file.txt 的 ACL 规则。-x 选项表示删除ACL。
• setfacl -x g:developers file.txt: 删除组 developers 对文件 file.txt 的 ACL 规则。
• setfacl -b file.txt: 删除文件 file.txt 的所有 ACL 规则。-b 选项表示删除所有ACL条目。

通过删除ACL，可以及时清理不再需要的权限设置，避免潜在的安全风险。

检查文件系统是否支持ACL

为了使用ACL，我们需要确认文件系统是否支持ACL， 可以使用以下命令进行检查：

• tune2fs -l /dev/sda1 | grep "Default mount options": 检查分区 /dev/sda1 的默认挂载选项是否启用了ACL支持。如果输出中包含 acl ，则说明该文件系统支持ACL。
• mount | grep acl: 检查当前已挂载的文件系统是否启用了ACL支持。 如果输出中有包含acl选项，则说明挂载的时候启用了ACL支持。

如果文件系统不支持ACL，我们需要重新挂载文件系统，或者使用其他的解决方案。

总结

Linux ACL 提供了一种强大的权限管理机制，可以帮助我们实现更细粒度的权限控制。通过 getfacl 和 setfacl命令，我们可以方便地查看、设置和删除ACL规则。在实际的系统管理中，合理地使用ACL，可以有效地提高系统的安全性。

在日常工作中，你有没有用到ACL呢？又有哪些使用心得？欢迎在评论区分享你的经验和技巧，让我们一起进步！