文件访问控制列表-Linux应该怎么学（上）

当前位置:　首页>> 技术小册>> Linux应该怎么学（上）

不知道大家是否发现，前文讲解的一般权限、特殊权限、隐藏权限其实有一个共性——权限是针对某一类用户设置的。如果希望对某个指定的用户进行单独的权限控制，就需要用到文件的访问控制列表（ACL）了。通俗来讲，基于普通文件或目录设置ACL其实就是针对指定的用户或用户组设置文件或目录的操作权限。另外，如果针对某个目录设置了ACL，则目录中的文件会继承其ACL；若针对文件设置了ACL，则文件不再继承其所在目录的ACL。
为了更直观地看到ACL对文件权限控制的强大效果，我们先切换到普通用户，然后尝试进入root管理员的家目录中。在没有针对普通用户对root管理员的家目录设置ACL之前，其执行结果如下所示：

[root@linuxprobe ~]# su - linuxprobe
        Last login: Sat Mar 21 16:31:19 CST 2017 on pts/0
        [linuxprobe@linuxprobe ~]$ cd /root
        -bash: cd: /root: Permission denied
        [linuxprobe@linuxprobe root]$ exit
5.5.1 setfacl命令
setfacl命令用于管理文件的ACL规则，格式为“setfacl [参数]文件名称”。文件的ACL提供的是在所有者、所属组、其他人的读/写/执行权限之外的特殊权限控制，使用setfacl命令可以针对单一用户或用户组、单一文件或目录来进行读/写/执行权限的控制。其中，针对目录文件需要使用-R递归参数；针对普通文件则使用-m参数；如果想要删除某个文件的ACL，则可以使用-b参数。下面来设置用户在/root目录上的权限：

[root@linuxprobe ~]# setfacl -Rm u:linuxprobe:rwx /root
        [root@linuxprobe ~]# su - linuxprobe
        Last login: Sat Mar 21 15:45:03 CST 2017 on pts/1
        [linuxprobe@linuxprobe ~]$ cd /root
        [linuxprobe@linuxprobe root]$ ls
        anaconda-ks.cfg Downloads Pictures Public
        [linuxprobe@linuxprobe root]$ cat anaconda-ks.cfg
        [linuxprobe@linuxprobe root]$ exit
是不是觉得效果很酷呢？但是现在有这样一个小问题——怎么去查看文件上有那些ACL呢？常用的ls命令是看不到ACL表信息的，但是却可以看到文件的权限最后一个点（.）变成了加号（+），这就意味着该文件已经设置了ACL了。现在大家是不是感觉学得越多，越不敢说自己精通Linux系统了吧？就这么一个不起眼的点（.），竟然还表示这么一种重要的权限。

[root@linuxprobe ~]# ls -ld /root
        dr-xrwx---+ 14 root root 4096 May 42017 /root
5.5.2 getfacl命令
getfacl命令用于显示文件上设置的ACL信息，格式为“getfacl文件名称”。Linux系统中的命令就是这么又可爱又好记。想要设置ACL，用的是setfacl命令；要想查看ACL，则用的是getfacl命令。下面使用getfacl命令显示在root管理员家目录上设置的所有ACL信息。

[root@linuxprobe ~]# getfacl /root
        getfacl: Removing leading '/' from absolute path names
        # file: root
        # owner: root
        # group: root
        user::r-x
        user:linuxprobe:rwx
        group::r-x
        mask::rwx
        other::---

该分类下的相关小册推荐：

LInux运维零基础入门到实战

Vim实用技巧必知必会

Linux应该怎么学（下）

Linux应该怎么学（中）

bash脚本编程实战

Shell编程入门与实战

Vim编辑器入门到实战

CentOS入门指南