Linux文件ACL权限的设置方法和使用说明

工具centos7.3，centos6.9

在设置文件或者目录的权限时，有时候需要设置除了所属人，所属组和其他人之外的权限，这时候就用到了ACL（Access Control List）权限。比方说在一个项目的开发过程中，有两个组参与，并且需要除了这两个组的多个人参加，当然其他人不能访问这个目录。这时候只有所属人，所属组和其他人的权限就不能满足需求了，这时候需要用到ACL权限。

在centos7.3之中，在系统安装时挂载的分区和系统安装过后的手工添加的分区，都默认打开了ACL权限。但是在centos之前的系统中，只有在安装系统时挂载的分区才默认打开了ACL权限，手工添加的分区没有ACL权限，需要手动开启。

一.在centos7之前的系统中开启ACL权限。

在centos6.9中开启ACL权限有两种方法。

方法一：在挂载时指定打开ACL权限。使用命令：mount –o acl  /dev/sdb1 /mnt/test 此命令表示挂载/dev/sdb1 分区到/mnt/test目录下。-o acl表示打开ACL功能。

方法二：修改默认的属性信息。使用命令：tune2fs –o acl /dev/sdb1 此命令表示在默认的属性中将分区/dev/sdb1的ACL权限打开。然后再进行挂载，就可以打开ACL权限了。

二.设置ACL的USER。

三.设置ACL的GROUP。

四.取消ACL权限。

五.彻底删除acl属性。

六.添加完acl权限后各个权限之间的优先级。

不仅如此，对ACL权限还有如下规则：

先判断是否是文件的OWNER，如果是，则执行OWNER的权限后结束，如果不是OWNER，则判断是否是ACL的USER，如果是则执行USER权限后结束，如果不是ACL的USER, 则判断是否属于GROUP或ACL GROUP，如果是，权限取所有组的并集。如果不属于任何GROUP，则执行OTHER。
所有人->所有组->其他人

七.mask的作用。

八.给目录设置默认的ACL。

九.备份和恢复ACL

十.ACl权限对权限的管理比较灵活，在工作中经常碰到，希望读者对acl权限有了进一步的认识。以下是对setfacl的一些总结：

mount -o acl /directory 

挂载时打开acl功能。

getfacl file |directory   

 查看文件或者目录的acl权限

setfacl -m u:liubei:--- f1  设置ACL USER
setfacl -m g:shuguo:rwx f1  设置ACL GROUP
setfacl -M acl.txt f1[dir1]
acl.txt 内容来自getfacl f1 > acl.txt，如下
# file: fstab
# owner: root
# group: root
user::rw-
user:zhangfei:rwx
group::r--
mask::rwx
other::r--
setfacl -Rm u:zhangfei:rwx acltest/   递归设置
setfacl -m mask:rwx f1
或 chmod g=rwx f1 一旦设置了ACL权限后，原有的文件GROUP需要使用setfacl -m g::groupname filename或者dirname，使用chmod g即修改ACL MASK
ACL MASK随着新的ACL设置会被重置，重置的标准是让该文件上的所有ACL及文件原GROUP上的权限都有效。
setfacl -x u:liubei f1  单独去除一条ACL权限
setfacl -X aclrm.txt f1[ f2 f3 *]
aclrm.txt 内容如下
u:liubei
g:shuguo

setfacl -m d:u:wang:rx directory

设置目录的默认acl权限。default