访问控制列表 (ACL)

Linux 访问控制列表 (ACL) 是一个可选的扩展 POSIX 文件权限模型，允许用户在文件系统上更细粒度地控制文件和目录的权限，与传统的基于用户、组、其他的文件权限模型不同，ACL 允许用户授予单个用户或组的成员特定的权限。这个功能可以为管理员提供更多的灵活性，使得对文件和目录的访问权限可以更好地满足特定的应用需求。

ACL基本概念

默认权限

默认权限（默认 ACL）定义了当创建新文件或目录时应该应用哪些 ACL 规则。默认 ACL 可以是应用于目录的，也可以是应用于文件的。它们可以定义所有新创建的项目的默认权限。

ACL 条目

ACL 条目描述了某个用户或组的权限。每个 ACL 条目由以下信息组成：

• 标识符类型：用于标识用户名或组名的类型，可以是一个用户 ID、组 ID 或者字符串。
• 标识符：用于标识特定用户或组的 ID 或字符串。
• 权限：指定与该条目关联的权限。可以是读取、写入、执行、删除、更改权限等等。

有效权限

在一个文件或目录上应用 ACL 规则后，ACL 条目中的权限将与常规文件权限合并为一组“有效权限”，决定了谁可以对该文件或目录执行什么操作。

使用 ACL

使用 ACL 来控制文件和目录的访问权限需要使用一些特定的命令。下面介绍一些常用的命令：

查看 ACL

要查看一个文件或目录的 ACL，请使用 getfacl 命令。例如，查看目录 /data 的 ACL 可以使用以下命令：

$ getfacl /data

这将打印出 /data 目录的 ACL，包括默认 ACL（如果存在）和针对该目录的任何 ACL 条目。

设置 ACL

要设置一个文件或目录的 ACL，请使用 setfacl 命令。例如，将文件 /data/file.txt 的所有者 user1 授予读取和写入权限，可以使用以下命令：

$ setfacl -m u:user1:rw /data/file.txt

此命令将创建一个新的 ACL 条目，授予用户 user1 读取和写入权限。

要移除 ACL 条目，请使用 -x 选项，例如：

$ setfacl -x u:user1 /data/file.txt

此命令将删除文件 /data/file.txt 上授予用户 user1 的 ACL 条目。

修改默认 ACL

要修改目录的默认 ACL，请使用 -d 选项。例如，将目录 /data 的默认 ACL 设置为允许用户 user1 读取和写入权限，可以使用以下命令：

$ setfacl

$ setfacl -d -m u:user1:rw /data

此命令将创建一个新的默认 ACL 条目，授予用户 user1 读取和写入权限。这意味着在 /data 目录下创建的新文件和目录将自动继承此默认 ACL 条目。

限制权限

使用 ACL 可以更细粒度地控制文件和目录的权限，但也可能会引入一些风险。为了限制 ACL 条目的使用，可以使用 -R 选项限制 ACL 条目的范围。例如，以下命令将只针对目录 /data 下的文件应用 ACL：

$ setfacl -R -m u:user1:rw /data/

此命令将只针对 /data 目录下的文件应用 ACL，而不会应用到 /data 目录本身。

ACL 与传统文件权限的关系

ACL 不会替代传统的基于用户、组、其他的文件权限模型，而是在其基础上进行扩展。当使用 ACL 时，仍然需要注意传统文件权限模型的限制。

例如，如果文件权限模型中指定了对文件或目录的读取权限，而 ACL 中又授予了特定用户或组的成员读取权限，则该用户或组的成员仍然可以访问该文件或目录。但是，如果文件权限模型中没有授予读取权限，则 ACL 中的权限也不会使该用户或组的成员可以访问该文件或目录。

总结

ACL 为管理员提供了更灵活、更细粒度的文件和目录访问控制方式。使用 ACL 可以授予单个用户或组的成员特定的权限，而不是基于用户、组、其他的文件权限模型。ACL 基于一组 ACL 条目，每个 ACL 条目描述了某个用户或组的权限。可以使用 getfacl 和 setfacl 命令查看和设置 ACL。ACL 不会替代传统文件权限模型，仍然需要注意传统文件权限模型的限制