【操作系统】Linux 文件系统访问控制列表（FACL）

本文为云贝教育 刘老师 原创，请尊重知识产权，转发请注明出处，不接受任何抄袭、演绎和未经注明出处的转载。

简介

在Linux中，传统的文件权限模型基于用户、组和其他人的读、写和执行权限。然而，这种模型有时显得过于简单，无法满足复杂的权限需求。为了解决这个问题，Linux引入了文件系统访问控制列表（Filesystem Access Control Lists, FACL），它提供了更细粒度的权限控制。

本文将详细介绍FACL的工作原理、配置方法以及一些常见的使用技巧。

工作原理

FACL允许管理员为单个文件或目录设置多个用户或组的访问权限，而不仅仅局限于所有者、所属组和其他人这三类基本权限。每个文件或目录可以关联一个访问控制列表，该列表包含了对特定用户或组的额外权限设置。

使用工具：getfacl 和 setfacl

getfacl：用于查看文件或目录的当前FACL设置。

setfacl：用于修改文件或目录的FACL设置。

基本命令示例

查看FACL设置：

使用 getfacl 命令来查看某个文件或目录的FACL设置。

getfacl /path/to/file_or_directory

设置FACL：

使用 setfacl 命令来添加或修改FACL规则。例如，给用户 john 赋予对文件 /tmp/example.txt 的读写权限。

setfacl -m u:john:rw /tmp/example.txt

给组 developers 赋予对目录 /project/code 的读取权限。

setfacl -m g:developers:r /project/code

移除FACL规则：

使用 setfacl -x 选项可以删除指定的FACL规则。例如，从文件中删除用户 john 的所有权限。

setfacl -x u:john /tmp/example.txt

清除所有FACL规则：

使用 setfacl -b 选项可以清除文件或目录上的所有FACL规则。

setfacl -b /path/to/file_or_directory

默认FACL：

默认FACL应用于新创建的子文件或目录。对于目录，可以通过设置默认FACL来确保新创建的文件或子目录自动继承某些权限。

setfacl -d -m g:developers:rwx /project/code

示例场景

假设你有一个项目目录 /project/code，你想让开发团队中的成员都能够访问这个目录，并且能够读取其中的所有文件，但只有部分成员能够进行修改操作。你可以这样做：

给整个开发团队读取权限：

setfacl -R -m g:developers:r /project/code

-R 表示递归地应用到所有子目录和文件。

给特定成员写入权限：

假设成员 alice 和 bob 需要写入权限。

setfacl -m u:alice:rw /project/codesetfacl -m u:bob:rw /project/code

设置默认FACL，以确保新文件和目录自动继承这些权限：

setfacl -d -m g:developers:r /project/codesetfacl -d -m u:alice:rw /project/code
setfacl -d -m u:bob:rw /project/code

查看与验证

你可以使用 getfacl 来检查所做的更改是否生效。

getfacl /project/code

输出可能看起来像这样：

# file: project/code# owner: root# group: developersuser::rwx
group::r-x
other::---default:user::rwxdefault:group::r-xdefault:user:alice:rw-default:user:bob:rw-default:mask::rwxdefault:other::---

注意事项

兼容性：并非所有的文件系统都支持FACL。确保你的文件系统（如ext3, ext4, Btrfs等）已经启用了ACL支持。

备份：在大规模修改ACL之前，建议先备份重要数据。

权限优先级：FACL规则并不会覆盖基础权限。如果基础权限不允许某项操作，则即使FACL规则允许，该操作仍然会被拒绝。

结论

通过合理地配置和使用FACL，可以在不改变文件所有权的前提下实现更灵活的权限管理，这对于多用户环境下的资源共享和协作尤为重要。理解其工作原理和配置选项对于有效的系统管理和安全策略制定至关重要。希望这篇文章能帮助你更好地掌握FACL的使用，并将其应用到日常工作中去。记得定期审查权限设置，确保它们符合实际的安全需求。

想了解更多相关的学习资料(技术文章和视频)，可以微信公众号或B站搜索《云贝教育》，免费获取。

需要课程资料的同学可以私聊课程顾问：19906733890（微信同号）