什么是ACL

ACL是access control list(访问控制列表)的缩写。主要的目的是提供在传统的owner,group,other的read,write,execute权限之外的更为细的权限控制。这和网络中的acl的作用是一样的，只是配置、对象不一样。

ACL主要针对以下几个方面来做权限控制：

1. 使用者(user)：可以针对使用者来配置权限，注意这个user并不一定指的是文件的属主；
2. 群组(group)：针对群组为对象来设置权限；
3. 默认属性(mask)：还可以针对在该目录下创建新文件/目录时，规范新数据的默认权限；

启用文件系统的ACL功能

由于ACL是传统的Unix-like操作系统权限的额外支持项目，因此要使用ACL必须要有文件系统的支持才行。目前大部分的文件系统都支持ACL的功能，如：ext2/ext3/ext4,jfs,xfs等。

可以使用如下的命令去查看文件系统是否启用了ACL功能：

[root@squid ~]# mount

/dev/sda3 on / type ext3 (rw)

proc on /proc type proc (rw)

上面并没有看到acl，那么就要使用下面这个命令来查看了：

[root@squid ~]# dumpe2fs /dev/sda3|grep acl

dumpe2fs 1.39 (29-May-2006)

Default mount options: user_xattr acl

[root@squid ~]#

如果使用dumpe2fs 还是没有看到acl的话，那就说明系统默认没有启用acl，那么就需要在/etc/fstab文件中做如下修改：

LABEL=/ / ext3 defaults,acl 1 1

在defaults的后面加上acl选项，然后执行# mount –a，来重新挂载文件系统。这样就可以生效了。

相关命令

setfacl：为指定文件设置ACL

getfacl：取得指定文件的ACL

setfacl命令用法：

-m：给指定的文件配置指定的acl；

-x：把指定文件的指定的acl删除；

-b：删除所有的acl配置项，这里只是删除文件的acl配置项，但是文件的基本权限还是在的；

-k：删除文件的默认的acl配置；

-R：递归配置指定目录的acl；

-d：配置指定文件的默认的acl

setfacl命令格式：

# setfacl -m u:[username]:[rwx] filename //为某用户设置某个文件的ACL

# setfacl -m g:[groupname]:[rwx] filename //为某用户 组设置某个文件的ACL

相应的取消facl:

# setfacl –x u:username filename

# setfacl –x g:groupname filename

设置文件的有效权限：

# setfacl –m m:[rwx] filename

如果某个文件设置了有效的权限，那么用户所拥有的权限都不会超出有效权限的范围的。也就是说，这个有效权限是一个保护机制，可以防止ACL配置错误而引起的权限问题；

案例

[root@squid ~]# touch test.acl

[root@squid ~]# ll test.acl

-rw-r--r-- 1 root root 0 01-05 16:43 test.acl

[root@squid ~]# setfacl -m u:xfzhou:rwx test.acl

[root@squid ~]# ll test.acl

-rw-rwxr--+ 1 root root 0 01-05 16:43 test.acl

//可以看出，设置了acl后，文件的基本权限后面多了个”+”

[root@squid ~]#

[root@squid ~]# getfacl test.acl

# file: test.acl //说明信息，文件名称；

# owner: root //文件的属主；

# group: root //文件的属组

user::rw- //如果用户 列表是空的，那么就代表的是文件属主的权限；

user:xfzhou:rwx //指定xfzhou用户的权限；

group::r-- //同user::rw-

mask::rwx //此文件默认的有效权限；

other::r-- //其他人拥有的权限；

[root@squid ~]#

Linux系统文件的权限查检次序

• 当没有给文件设置facl的时候，顺序为：

Owner group other

即：先检文件的属主是否与访问者的用户名或UID一致；如果不一致，则再检查文件的属组是否与访问者所属的组(包括附加组)一致，最后如果前面的两个都没有匹配，那么系统就会按照该文件的other位上的权限，来决定该用户是否有相关的操作；

• 如果给文件设置了facl的话，那么权限检查的顺序就为：

Owner facl:owner group facl:group other