本文介绍了 Linux 访问控制列表 (ACL)，它比标准的 Linux 权限提供了更大的灵活性。

译自 A Guide to Linux Access Control Lists，作者 Damon M Garn。

我们这些在 Linux 和 Microsoft Windows 之间快速切换的人，会发现一些根本性的差异。其中之一就是权限。标准的 Linux 权限非常简单：指定一个用户、一个组，然后是所有其他人（称为“其他人”），并根据需要授予读、写和执行权限。Windows 权限要复杂得多，包括嵌套、更多访问级别以及共享权限的混合。但是，在许多方面，Windows 权限在规模上也更灵活、更实用。

本文介绍了 Linux 访问控制列表 (ACL)，它提供了比标准 Linux 权限更灵活的功能。我将讨论如何查看和配置多个个人用户和多个组的 ACL。很有可能，您选择的 Linux 发行版 已经启用了 ACL（ACL 实际上是文件系统的功能）。

简要回顾标准 Linux 权限

您可以使用 chmod 命令配置标准 Linux 权限。该命令设置三种访问级别的任意组合：读、写和执行。您可以将这些访问级别分配给三个身份：

• 用户（所有者）：拥有该文件的单个用户帐户（默认情况下，这是文件创建者）。
• 组：/etc/group 文件中显示的一个用户组。
• 其他：任何不是用户或分配组成员的人。

图 1：ls -l 命令显示标准权限、所有权和组关联。

这种方法在用户和组很少的独立系统上已经足够了。但是，这种方法在共享系统、启用了文件共享功能的系统或具有大量 SSH 远程访问的设备上会变得更加繁琐。

这就是文件系统 ACL 功能派上用场的地方。它允许您为多个用户和/或组配置不同的访问级别。

ACL 如何提供帮助？

ACL 允许您指定多个用户帐户并为它们提供不同的访问级别。这也意味着您不必将其中一个用户的拥有权授予该文件。它对组提供了相同的灵活性。

ACL 仍然识别读、写和执行这三个标准访问级别，因此您不必重新学习您已经了解的关于 Linux 权限的所有内容。实$际上，ACL 与标准权限协同工作，因此您仍然可以使用基本的用户 (u)、组 (g) 和其他 (o) 身份。您是在补充常规权限，而不是替换它们。

验证您的发行版是否支持 ACL

当今的现代 Linux 发行版通常开箱即用地支持 ACL。请记住，ACL 是 文件系统 的功能，因此从那里开始。标准文件系统是 ext4、XFS 和 Btrfs。这些都支持 ACL。

您可能不需要检查您的 Linux 发行版是否支持 ACL，但如果您想确认，可以使用以下命令：

tune2fs -l /dev/sda1 | grep -i "Default mount options"

预计在输出中看到 acl。

图 2：tune2fs 命令会显示文件系统设置，包括是否启用了 ACL。

请注意，如果在资源上配置了 ACL，则 ls -l 输出将显示一个 + 字符。在以下示例中，ACL 应用于 file1.txt。

图 3：请注意 file1.txt 的权限字符串末尾有一个 + 字符，表示已应用 ACL。

使用 setfacl 命令

ACL 配置命令是 setfacl。它依赖于标准的 Linux 命令语法：

command -options argument

参数将是您要应用访问控制的文件或目录。

setfacl 命令有许多选项。以下列表包含一些最常见的选项：

• m : 修改指定的 ACL。
• x : 从 ACL 中删除条目。
• b : 从 ACL 中删除所有条目。
• d : 为给定目录配置默认 ACL。
• R : 将 ACL 递归应用于所有目录内容。

但是，setfacl 还依赖于其他参数来定义新的访问控制是应用于用户还是组。

u:<username>
g:<groupname>

结合起来，这些设置允许管理员实施更强大、更实用的权限配置。

以下命令示例简要介绍了如何使用 setfacl。更具体的示例将在下一节中介绍。

要为用户 django 配置 ACL，授予其对 sample.txt 资源的读 (r) 权限，请键入：

setfacl -m u:django:r sample.txt

类似的组工程示例如下：

setfacl -m g:engineering:r sample.txt

配置完 ACL 设置后，您需要检查它们是否正确。这就是 getfacl 命令发挥作用的地方。

使用getfacl命令

管理 ACL 的另一个相关命令是 getfacl，它显示当前的 ACL 设置。

基本语法是 getfacl 和您要查看的文件或目录名称：

getfacl /dev-projects

但是，与大多数 Linux 命令一样，getfacl 支持许多有用的选项来修改其输出。这些包括：

• -c：仅显示 ACL 条目，并丢弃额外的标题信息。
• -R：递归显示目录内容。
• -t：以更易读的表格格式显示输出。

在审核或配置访问控制时，使用 getfacl 来查看 ACL 设置。

图 4：getfacl 命令显示标准 ACL 和 ACL 设置。

ACL 使用案例

下面您将找到 ACL 的两个使用案例，包括一个场景和相关的命令。考虑类似的情况可能在您的环境中发生。

场景 1

我将从一个简单的例子开始：一个销售团队需要对 /sales 目录具有 rwx 权限，而一个营销团队应该只有 r-x 权限。其他人不需要访问。（请记住，这些组需要执行权限才能进入目录。）

首先，将标准 rwx 权限授予销售团队：

chown -R :sales /sales

chmod -R 770 /sales

接下来，为营销团队设置 ACL：

setfacl -m g:marketing:r-x /sales

使用 getfacl /sales 确认您的设置。

请记住，ACL 与标准权限一起工作，因此不要忘记使用 ls -l 命令来考虑这两个系统。但是，getfacl 命令除了 ACL 条目外，还会显示标准权限。

场景 2

想象一下另一种情况，您需要向不同的用户和组授予不同级别的访问权限。假设您有一个 /dev-projects 目录，具有以下要求：

• 所有者：root 具有完全访问权限（rwx）。
• 组：developers 具有完全访问权限（rwx）。
• 额外用户：alex（代码审查者）具有只读访问权限（r-x）。
• 额外用户：silas（项目经理）具有只读访问权限（r-x）。
• 额外组：contract-dev-team 具有只读访问权限（r-x）。

标准权限无法满足这种要求，但 ACL 可以轻松地处理它。

首先设置标准权限：

chown -R root:developers /dev-projects

chmod -R 770 /dev-projects

接下来，为额外的用户和组配置 ACL 条目：

setfacl -R u:alex:r-x /dev-projects

setfacl -R u:silas:r-x /dev/projects

setfacl -R g:contract-dev-team:r-x /dev/projects

使用 getfacl 和 ls -l 检查结果以显示设置。

总结

访问控制列表 (ACL) 扩展了 Linux 权限的功能，允许不同的用户和组具有不同的访问级别。虽然这确实使故障排除更加复杂，但额外的灵活性是值得的。

ACL 功能是文件系统的一部分。当今的现代文件系统支持 ACL，并且可能已经启用了它。请务必创建一个有效利用 ACL 的目录基础结构，通过根据访问要求组织资源。一般来说，销售团队的所有内容都应该存在于一个父目录中，而营销团队所需的所有内容都应该存在于另一个目录中。

ACL 在大型部署中变得尤为重要，例如支持许多用户和资源（具有不同的访问要求）的主要文件服务器。今天检查您的大型部署，看看 ACL 是否可以更有效地控制资源访问。在排查看似神秘的访问问题时，不要忘记考虑 ACL。