Linux ACL访问控制权限:从基础到高级实践指南

在Linux系统中,权限管理是保障数据安全的核心环节。传统的UGO(User/Group/Others)标准权限模型虽然简单易用,但面对复杂的访问需求(比如给特定用户/组授予权限、实现权限继承)时,往往显得力不从心。例如:

  • 如何让承包商Bob访问项目目录,却不将他加入开发组?
  • 如何让新创建的文件自动继承父目录的权限?
  • 如何给多个组授予不同的权限,而不影响"其他用户"的权限?

这时,ACL(Access Control List,访问控制列表)应运而生。它是标准权限的扩展,允许我们为文件/目录指定多用户、多组的细粒度权限,完美解决了标准权限的局限性。

本文将从基础到高级,全面讲解Linux ACL的原理、工具、最佳实践与常见场景,帮助你掌握这一强大的权限管理工具。

目录#

  1. Linux标准权限模型回顾
  2. 什么是Linux ACL?
  3. ACL核心工具:getfacl与setfacl
  4. ACL条目类型与优先级
  5. ACL高级用法
  6. ACL最佳实践
  7. 常见应用场景与示例
  8. ACL常见问题排查
  9. 参考资料
  10. 结语

一、Linux标准权限模型回顾#

在学习ACL之前,我们需要先回顾标准权限模型——这是理解ACL的基础。

1.1 标准权限的基本概念#

Linux中,每个文件/目录的权限分为三类主体(UGO):

  • User(所有者):文件的创建者或管理员指定的用户。
  • Group(所属组):文件所属的用户组(仅一个)。
  • Others(其他用户):既不是所有者也不属于所属组的用户。

每个主体拥有三种权限(rwx):

  • 读(r):查看文件内容/列出目录内文件(对应数值4)。
  • 写(w):修改文件内容/创建删除目录内文件(对应数值2)。
  • 执行(x):运行可执行文件/进入目录(对应数值1)。

管理标准权限的工具:

  • chmod:修改权限(符号模式:chmod u+r file;八进制模式:chmod 755 file)。
  • chown:修改所有者(chown alice:devs file)。
  • chgrp:修改所属组(chgrp devs file)。

1.2 标准权限的局限性#

标准权限的最大问题是灵活性不足,无法满足复杂场景:

  1. 仅支持一个所有者和一个所属组:无法给多个用户/组单独授权(比如给Bob和Charlie不同的权限)。
  2. "其他用户"权限过于粗放:若给"其他用户"授予r权限,所有非所有者/组用户都能访问,存在安全风险。
  3. 无法实现权限继承:新创建的文件/目录不会自动继承父目录的权限(需手动chmod/chown)。

这些局限性催生了ACL的出现。

二、什么是Linux ACL?#

2.1 ACL的定义与作用#

ACL(Access Control List)是Linux权限模型的扩展,允许为文件/目录指定多用户、多组的细粒度权限。其核心价值是:

  • 突破"一个所有者、一个组"的限制,支持任意数量的用户/组单独授权。
  • 实现权限继承:新创建的文件/目录自动继承父目录的ACL。
  • 保持"最小权限原则":无需修改"其他用户"权限即可实现精准授权。

2.2 ACL的支持情况#

ACL需要文件系统和内核的支持。现代Linux发行版(Ubuntu、CentOS、RHEL等)默认支持以下文件系统:

  • ext4、XFS、Btrfs、ZFS等(最常用的ext4完全支持ACL)。

验证文件系统是否启用ACL:

# 查看挂载选项(含acl则支持)
mount | grep acl
 
# 或检查ext4文件系统的默认挂载选项
tune2fs -l /dev/sda1 | grep "Default mount options"

若未启用,可重新挂载文件系统并添加acl选项:

mount -o remount,acl /mnt/data

三、ACL核心工具:getfacl与setfacl#

ACL的管理依赖两个核心命令:getfacl(查看ACL)和setfacl(修改ACL)。

3.1 查看ACL:getfacl#

getfacl用于显示文件/目录的ACL条目。基本语法:

getfacl [选项] 文件/目录

常用选项:

  • -t:简洁输出(省略注释行)。
  • -e:显示有效权限(结合掩码计算后的实际权限)。

示例:查看/opt/project的ACL:

getfacl /opt/project

输出解释(关键部分):

# file: /opt/project       # 文件名
# owner: alice             # 所有者
# group: devs              # 所属组
user::rwx                  # 所有者权限(alice:rwx)
user:bob:rwx               # 命名用户bob的权限(rwx)
group::rwx                 # 所属组devs的权限(rwx)
group:interns:rx           # 命名组interns的权限(rx)
mask::rwx                  # 掩码(过滤命名用户/组的权限)
other::---                 # 其他用户权限(无)

3.2 修改ACL:setfacl#

setfacl用于添加、修改或删除ACL条目。基本语法:

setfacl [选项] 规则 文件/目录

关键选项:#

  • -m修改ACL(添加/更新条目)。
  • -x删除ACL条目(-x u:bob删除bob的条目)。
  • -b清空所有ACL条目(恢复为标准权限)。
  • -d:设置默认ACL(仅对目录有效,用于权限继承)。
  • -R递归应用ACL(遍历子目录/文件)。

规则格式:#

ACL规则由条目类型:主体:权限组成,常见类型:

  • u::用户(u:bob:rwx给bob授予rwx)。
  • g::组(g:interns:rx给interns组授予rx)。
  • m::掩码(m::rwx设置掩码为rwx)。
  • o::其他用户(o::---设置其他用户无权限)。

示例:#

  1. 给bob授予/opt/projectrwx权限:

    setfacl -m u:bob:rwx /opt/project

  2. 给interns组授予rx权限:

    setfacl -m g:interns:rx /opt/project

  3. 删除bob的ACL条目:

    setfacl -x u:bob /opt/project

四、ACL条目类型与优先级#

ACL的权限计算遵循优先级顺序,且受**掩码(Mask)**的过滤。

4.1 基本ACL条目#

ACL条目分为五类,优先级从高到低:

  1. 所有者(user::):所有者的权限不受掩码限制。
  2. 命名用户(user:bob:):指定用户的权限(非所有者)。
  3. 所属组(group::):文件所属组的权限。
  4. 命名组(group:interns:):指定组的权限。
  5. 其他用户(other::):所有未匹配上述条目的用户。

4.2 掩码(Mask)的作用#

**掩码(Mask)**是ACL中最容易混淆的概念,其核心作用是:

过滤命名用户(非所有者)和命名组的权限,确保这些用户/组的权限不超过掩码的限制。

掩码的条目格式为m::权限(如m::rwx)。注意:

  • 掩码不影响所有者和其他用户的权限
  • 当添加/修改命名用户/组条目时,掩码会自动更新为所有命名条目权限的并集(避免权限泄露)。

示例:若bob的权限是rwx,interns组是rx,掩码会自动设为rwx(并集)。若手动将掩码改为rx,则bob的有效权限会变为rx

4.3 有效权限计算#

有效权限是用户实际拥有的权限,计算逻辑:

  • 所有者:直接使用user::的权限(不受掩码限制)。
  • 命名用户:user:xxx:的权限 AND 掩码权限。
  • 命名组:group:xxx:的权限 AND 掩码权限。
  • 其他用户:直接使用other::的权限。

示例:

  • bob的ACL条目是rwx,掩码是rx → 有效权限是rx
  • interns组的ACL条目是rx,掩码是rx → 有效权限是rx

五、ACL高级用法#

5.1 默认ACL与权限继承#

默认ACL(Default ACL)是目录特有的ACL条目,用于让新创建的文件/目录自动继承权限

设置默认ACL的语法:

setfacl -d -m 规则 目录

示例:给/opt/project设置默认ACL,让新文件继承bob的rwx权限:

setfacl -d -m u:bob:rwx /opt/project

验证默认ACL:

getfacl /opt/project

输出中会出现default:前缀的条目:

default:user::rwx          # 新文件所有者权限
default:user:bob:rwx       # 新文件继承bob的权限
default:group::rwx         # 新文件所属组权限
default:mask::rwx          # 新文件掩码
default:other::---         # 新文件其他用户权限

继承规则

  • 新文件:继承目录的默认ACL作为自身的访问ACL(无默认ACL)。
  • 新目录:继承目录的默认ACL作为自身的访问ACL,并复制默认ACL作为自身的默认ACL(递归继承)。

5.2 递归应用ACL#

若要给现有文件/目录批量应用ACL,需使用-R选项(递归)。

示例:给/opt/project及其子目录的所有文件添加bob的rwx权限:

setfacl -R -m u:bob:rwx /opt/project

结合默认ACL实现全目录覆盖(现有文件+新文件):

# 给现有文件应用ACL
setfacl -R -m u:bob:rwx /opt/project
# 给目录设置默认ACL(新文件继承)
setfacl -R -d -m u:bob:rwx /opt/project

5.3 ACL的备份与恢复#

ACL是文件元数据的一部分,若通过cp/mv复制文件,需保留ACL:

  • cp -acp --preserve=acl:保留ACL。
  • mv:同一文件系统内移动会保留ACL,跨文件系统则丢失。

批量备份/恢复ACL的方法:

  1. 备份:用getfacl将ACL导出到文件: 
    getfacl -R /opt/project > project-acl-backup.txt
  2. 恢复:用setfacl --restore导入备份: 
    setfacl --restore=project-acl-backup.txt

六、ACL最佳实践#

  1. 仅在必要时使用ACL:标准权限能解决的问题,优先用标准权限(ACL增加复杂度)。
  2. 文档化ACL:记录每个ACL的用途(如"给bob授予项目目录权限,因为他是承包商")。
  3. 正确使用掩码:避免掩码过松(如rwx)或过严(如r),定期用getfacl -e检查有效权限。
  4. 测试访问权限:用su - 用户 -c "操作"验证权限(如su - bob -c "touch /opt/project/test.txt")。
  5. 定期审计ACL:删除不再需要的条目(如员工离职后,删除其ACL条目)。
  6. 结合标准权限:用标准权限设置基础防线(如chmod 770限制其他用户访问),再用ACL做细粒度调整。

七、常见应用场景与示例#

7.1 场景1:团队共享项目目录#

需求

  • 目录:/opt/project
  • 所有者:alice(开发组长,需rwx
  • 所属组:devs(开发团队,需rwx
  • 承包商bob:需rwx权限(不加入devs组)
  • 实习生组interns:仅rx权限(只读)
  • 新文件自动继承权限

实现步骤

  1. 创建目录并设置标准权限:

    mkdir /opt/project
chown alice:devs /opt/project
chmod 770 /opt/project  # 基础权限:所有者/组rwx,其他无

  2. 添加ACL条目:

    # 给bob授予rwx
setfacl -m u:bob:rwx /opt/project
# 给interns组授予rx
setfacl -m g:interns:rx /opt/project

  3. 设置默认ACL(继承):

    setfacl -d -m u::rwx /opt/project       # 新文件所有者权限
setfacl -d -m g::rwx /opt/project       # 新文件所属组权限
setfacl -d -m u:bob:rwx /opt/project    # 新文件继承bob的权限
setfacl -d -m g:interns:rx /opt/project # 新文件继承interns的权限
setfacl -d -m o::0 /opt/project         # 新文件其他用户无权限

  4. 验证:

    getfacl /opt/project

7.2 场景2:HR机密文件目录#

需求

  • 目录:/var/hr/confidential
  • 所有者:charlie(HR经理,需rwx
  • 所属组:hr(HR团队,需rw权限)
  • 经理dave:仅r权限(只读)
  • 其他用户:无权限
  • 新文件自动继承权限

实现步骤

  1. 创建目录并设置标准权限:

    mkdir -p /var/hr/confidential
chown charlie:hr /var/hr/confidential
chmod 770 /var/hr/confidential  # 基础权限:所有者/组rwx,其他无

  2. 添加ACL条目:

    # 给dave授予r权限
setfacl -m u:dave:r /var/hr/confidential

  3. 设置默认ACL:

    setfacl -d -m u::rwx /var/hr/confidential       # 新文件所有者权限
setfacl -d -m g::rw /var/hr/confidential        # 新文件所属组权限(rw:允许编辑)
setfacl -d -m u:dave:r /var/hr/confidential     # 新文件继承dave的权限
setfacl -d -m o::0 /var/hr/confidential         # 新文件其他用户无权限

7.3 场景3:Web服务器文档根目录#

需求

  • 目录:/var/www/html
  • 所有者:root(需rwx
  • 所属组:www-data(Web服务器,需rx权限)
  • 开发组devs:需rw权限(更新网站文件)
  • 新文件自动继承权限

实现步骤

  1. 设置标准权限:

    chown root:www-data /var/www/html
chmod 750 /var/www/html  # 基础权限:root rwx,www-data rx,其他无

  2. 添加ACL条目:

    # 给devs组授予rw权限
setfacl -m g:devs:rw /var/www/html

  3. 设置默认ACL:

    setfacl -d -m u::rwx /var/www/html       # 新文件所有者权限
setfacl -d -m g::rx /var/www/html        # 新文件继承www-data的rx权限
setfacl -d -m g:devs:rw /var/www/html    # 新文件继承devs的rw权限
setfacl -d -m o::0 /var/www/html         # 新文件其他用户无权限

八、ACL常见问题排查#

问题1:命名用户无法写入文件,但ACL显示rwx#

原因:掩码限制了权限(如掩码是rx,有效权限变为rx)。
解决:更新掩码为rwx

setfacl -m m::rwx 文件

问题2:新文件未继承ACL?#

原因

  1. 父目录未设置默认ACL(getfacl 目录default:条目)。
  2. 默认ACL设置错误(如规则写错)。
    解决:重新设置默认ACL并递归应用:
setfacl -R -d -m 规则 目录  # 递归设置所有子目录的默认ACL
setfacl -R -m 规则 目录     # 应用到现有文件

问题3:权限 denied 但ACL正确?#

原因

  1. 父目录无x权限(无法进入目录)。
  2. 用户所属组错误(id 用户检查组 membership)。
  3. SELinux限制(临时关闭验证:setenforce 0)。
    解决
  • 给父目录添加x权限:chmod +x 父目录
  • 确保用户在正确的组中:usermod -aG 组 用户

九、参考资料#

  1. getfaclsetfacl手册:man getfaclman setfacl
  2. POSIX ACL标准:IEEE Std 1003.1e
  3. Linux Documentation Project:ACL HOWTO
  4. Red Hat文档:Configuring ACLs
  5. Ubuntu Wiki:Access Control Lists

结语#

Linux ACL是解决复杂权限问题的利器,但也需要谨慎使用——过度依赖ACL会增加系统的复杂度和维护成本。在实际应用中,应优先使用标准权限,仅在标准权限无法满足需求时才引入ACL。

通过本文的学习,你应该掌握了ACL的核心概念、工具使用、最佳实践和常见场景。建议结合示例多做练习,加深理解。

最后,记住:权限管理的核心是"最小权限原则"——只给用户/组必要的权限,避免过度授权。

Happy Linuxing! 🐧

2026-01