Linux ACL权限设置详解：setfacl和getfacl全面指南

目录#

ACL基础概念
- 什么是ACL
- 为什么需要ACL
- ACL与传统权限的关系
环境准备
- 检查文件系统ACL支持
- 安装ACL工具
- 启用ACL挂载选项
getfacl详解
- 基本语法
- 解读输出内容
- 常用参数
setfacl详解
- 基本语法结构
- 设置用户/组ACL
- 默认ACL
- 递归设置
- 掩码机制
实用场景示例
- 多用户协作目录
- 服务账户访问控制
- 继承权限配置
ACL管理技巧
- 修改/删除ACL条目
- ACL备份与恢复
- 查看有效权限
最佳实践
- 权限设计原则
- 性能考量
- 安全注意事项
常见问题排查
- 权限不生效原因
- 兼容性问题
- 空间限制处理
总结
参考资料

1. ACL基础概念#

什么是ACL#

访问控制列表（ACL）允许为单个文件/目录设置超出传统UNIX权限模型的精细权限。ACL的主要特性包括：

为多个用户/组单独设置权限
权限继承机制
向后兼容传统权限位

为什么需要ACL#

典型应用场景：

Web服务器需要允许开发者、内容编辑者和备份账户同时访问目录
共享文件夹需区分管理员、编辑和只读用户
需要子目录继承父目录权限

ACL与传统权限关系#

ls -l输出中的+标记表示文件启用了ACL
传统权限位对应ACL中的OWNER/GROUP/OTHER条目
修改传统权限会自动更新对应ACL条目

# 传统权限显示ACL存在
-rw-rw-r--+ 1 user group 0 Jan 1 10:00 file.txt

2. 环境准备#

检查文件系统ACL支持#

# 查看文件系统ACL特性
tune2fs -l /dev/sda1 | grep "Default mount options"
# 应包含"acl"标志

安装ACL工具（通常已预装）#

# Debian/Ubuntu
sudo apt install acl
 
# RHEL/CentOS
sudo yum install acl

启用ACL挂载选项#

在/etc/fstab中添加acl标志：

# 原始条目
UUID=xxx /data ext4 defaults 0 0
 
# 修改后
UUID=xxx /data ext4 defaults,acl 0 0

重新挂载分区：sudo mount -o remount /data

3. getfacl详解#

基本语法#

getfacl [options] <file/dir>

解读输出内容#

# 文件：file.txt
# 所有者：user
# 所属组：team
user::rw-			# 所有者权限
user:john:rwx		# 指定用户权限
group::r--			# 所属组权限
group:dev:r-x		# 指定组权限
mask::rwx			# 有效权限掩码
other::r--			# 其他用户权限

常用参数#

参数	作用
`-a`	显示基础ACL条目
`-d`	显示默认ACL
`-c`	不显示注释头
`-e`	显示有效权限
`-R`	递归查看目录

4. setfacl详解#

基本语法结构#

setfacl [options] <rule> <target>

设置用户/组ACL#

# 用户权限
setfacl -m u:john:rwx /project/docs
 
# 组权限
setfacl -m g:dev:rx /project/code
 
# 同时设置多个条目
setfacl -m u:john:rwx,g:qa:r-x /project

默认ACL（目录继承）#

# 设置目录默认ACL
setfacl -d -m g:dev:rwx /shared
 
# 查看默认ACL
getfacl -d /shared

递归设置#

# 递归设置现有文件（不改变目录本身）
setfacl -R -m g:dev:r-x /project
 
# 同时设置默认ACL（影响新文件）
setfacl -dR -m g:dev:rwx /project

掩码机制#

ACL掩码限制最大有效权限：

# 设置掩码为r--
setfacl -m m::r-- file.txt
 
# 掩码会强制所有指定用户/组权限不超过r--

5. 实用场景示例#

多用户协作目录#

# 创建共享目录
sudo mkdir /collab
sudo chown manager:team /collab
 
# 设置权限
setfacl -m g:team:rwx /collab
setfacl -m u:client:r-x /collab
setfacl -m d:g:team:rwx /collab  # 默认权限继承

服务账户访问控制#

# 允许www-data用户读取配置文件
setfacl -m u:www-data:r /etc/app/config.ini
 
# 允许备份用户读取整个目录
setfacl -R -m u:backup:rX /var/data

继承权限配置#

# 研发部门目录结构
/project/
  |- src/     # 源代码
  |- docs/    # 文档
 
# 设置父目录默认权限
setfacl -d -m g:dev:rwx /project
 
# 设置文档目录特殊权限
setfacl -m g:writer:r-x /project/docs

6. ACL管理技巧#

修改/删除ACL条目#

# 修改现有条目
setfacl -m u:john:r-- file.txt
 
# 删除指定条目
setfacl -x u:john file.txt
 
# 删除所有扩展ACL
setfacl -b file.txt

ACL备份与恢复#

# 备份目录所有ACL
getfacl -R /project > acl_backup.txt
 
# 恢复ACL设置
setfacl --restore=acl_backup.txt

查看有效权限#

getfacl -e file.txt
# 输出示例：
# user:john:rwx		#effective:r--  (mask限制)

7. 最佳实践#

权限设计原则#

最小权限原则：只赋予必要权限
继承优于重复：优先使用默认ACL
定期审计：getfacl -R / > acl_audit_$(date +%F).txt
文档化ACL规则：维护权限设计文档

性能考量#

避免在含百万文件的目录递归设置ACL
单个文件ACL条目建议不超过20个（文件系统依赖）
使用X目录执行权限替代x避免文件被意外执行

安全注意事项#

权限掩码设置后务必验证生效权限
删除用户/组后清除相关ACL条目
敏感文件避免使用默认ACL继承
定期检查/etc/fstab确保文件系统启用ACL支持

8. 常见问题排查#

权限不生效原因#

文件系统未启用ACL（检查mount | grep acl）
上级目录无执行权限（目录访问需x权限）
权限掩码限制实际权限（检查getfacl -e输出）
ACL条目排序冲突（系统按顺序匹配第一条生效）

兼容性问题#

Windows Samba共享：使用map acl inherit = yes选项
Tar备份：使用--acls选项保留权限
Rsync同步：添加-A或--acls参数

空间限制处理#

ACL条目消耗inode空间：

# 查看当前ACL占用
getfacl -R / | wc -l
 
# 清理无用ACL
find / -type d -exec setfacl -b {} + 2>/dev/null

9. 总结#

Linux ACL提供了灵活精细的文件系统权限控制能力，有效弥补了传统UNIX权限模型的局限性。掌握setfacl和getfacl的使用方法，结合合理的设计原则，可以在维护系统安全的同时满足复杂的权限管理需求。关键要点包括：

优先使用默认ACL实现权限继承
通过getfacl -e验证有效权限
定期备份/审计ACL配置
遵循最小权限原则分配访问权

随着容器化和云计算的发展，ACL在复杂环境下的权限隔离将发挥越来越重要的作用。

参考资料#

Linux Man Pages: man acl, man setfacl, man getfacl
POSIX 1003.1e标准规范（草案）
Red Hat ACL指南: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/storage_administration_guide/ch-acls
Ubuntu Wiki ACL教程: https://help.ubuntu.com/community/FilePermissionsACLs
XFS文件系统ACL特性: https://xfs.org/index.php/ACLs