在Linux系统中，我们通常使用基本的 用户（user）、组（group）和其他（others） 权限模型来控制文件的访问。然而，当我们需要更精细的权限控制时，例如允许特定用户访问某个文件，而又不影响其他用户或组的权限时，基本的权限模型就显得捉襟见肘了。这时，访问控制列表（Access Control Lists，ACLs） 就派上了用场。今天，我们就来深入探讨如何在Linux中使用ACLs来管理文件权限。

ACLs是什么？

ACLs 是一种更灵活的权限管理机制，它允许我们为特定的用户或组设置独立的权限，而不需要改变文件的所有者或组。通过使用 ACLs，我们可以实现对文件访问的更精细控制，满足更复杂的安全需求。

如何查看ACLs

在Linux中，我们使用 getfacl 命令来查看文件的ACLs。

1. 查看单个文件的ACLs：

• getfacl file.txt
• 这条命令会显示 file.txt 文件的所有 ACLs 条目，包括默认的 owner、group 和其他用户的权限，以及所有额外的 ACLs。

2. 递归查看目录及其内容的ACLs：

• getfacl -R /directory
• 使用 -R 选项，我们可以递归地显示 /directory目录及其所有子目录和文件的 ACLs。 这对于快速了解整个目录树的权限设置非常有用。

如何设置ACLs

使用 setfacl 命令可以设置或修改文件的ACLs。 setfacl 的核心在于 -m 选项，它代表 "modify"。

1. 给特定用户授权：

• setfacl -m u:john:rwx file.txt
• 这条命令赋予用户 john 对 file.txt 文件 读（r）、写（w）和执行（x） 的权限。u 表示 user，rwx 表示读写执行权限。

2. 给特定用户组授权：

• setfacl -m g:developers:rx file.txt
• 这条命令赋予 developers 用户组对 file.txt 文件 读（r）和执行（x） 的权限。g 表示 group。

3. 设置默认ACLs:

• 默认 ACLs 用于设置目录中新建文件的默认权限。 如果没有设置默认 ACLs， 新建文件会继承父目录的权限。
• setfacl -m d:u:alice:rw /shared
• 这条命令为 /shared 目录设置了默认ACL，用户 alice 在该目录下创建的新文件将会拥有读写权限。d 代表 default。
• setfacl -m d:g:team:rx /shared
• 这条命令为 /shared 目录设置了默认ACL，team用户组在该目录下创建的新文件将会拥有读和执行权限。
• 需要注意的是，默认 ACLs 只对新建文件有效。 已经存在的文件不会受到默认 ACLs 的影响。

如何移除ACLs

移除ACLs使用 setfacl 命令配合 -x 或 -b 选项。

1. 移除特定用户的ACLs：

• setfacl -x u:john file.txt
• 这条命令会移除 file.txt 文件中用户 john 的所有 ACLs。

2. 移除特定组的ACLs：

• setfacl -x g:developers file.txt
• 这条命令会移除 file.txt 文件中 developers 组的所有 ACLs。

3. 移除所有ACLs：

• setfacl -b file.txt
• 这条命令会移除 file.txt 文件中的所有 ACLs，只保留文件的基本所有者和组的权限。

如何检查ACLs支持

在Linux中，不是所有文件系统都默认支持ACLs。 为了使用 ACLs，你的文件系统必须启用 ACLs 支持。 我们使用以下两种方法检查：

1. 使用 tune2fs 命令：

• tune2fs -l /dev/sda1 | grep "Default mount options"
• tune2fs -l /dev/sda1 命令显示 /dev/sda1 分区的文件系统详细信息，通过 grep "Default mount options" 过滤，我们可以查看文件系统默认的挂载选项。如果输出中包含 acl，则表示该文件系统支持ACLs。

2. 使用 mount 命令：

• mount | grep acl
• mount 命令显示当前已挂载的文件系统及其挂载选项。 通过 grep acl 过滤，我们可以查看哪些文件系统在挂载时启用了 ACLs 支持。

实践案例

假设我们有一个项目目录 /project，其中包含敏感数据。 我们想允许用户 alice 读取和修改 /project/data.txt 文件，但是不希望其他用户或者组访问。 同时，我们希望 developers 组对 /project/code.py 文件有读和执行的权限，但是没有写权限。

我们可以使用以下命令来实现这个需求：

# 授权 alice 读取和修改 /project/data.txt
setfacl -m u:alice:rw /project/data.txt

# 授权 developers 组读取和执行 /project/code.py
setfacl -m g:developers:rx /project/code.py

这样，我们就可以实现对项目目录中的不同文件进行精细的权限控制，而不会影响到其他用户的访问。

总结

ACLs 是 Linux 系统中非常强大且灵活的权限管理工具。通过 getfacl 和 setfacl 命令，我们可以对文件和目录进行更精细化的权限控制，满足各种复杂的安全需求。 需要注意的是，在实际使用中，要结合具体情况来选择 ACLs 或基本权限控制方式。合理地利用 ACLs 可以显著提高系统的安全性。希望这篇文章能够帮助大家更好地理解和使用 ACLs。

你是否在实际工作中运用过ACLs呢？ 如果有的话，欢迎在评论区分享你的经验和心得。