Linux常用命令之--ACL(getfacl，setfacl)

ACL可以为某个文件单独设置该文件具体的某用户或组的权限，不走三类权限位

默认 ACL 权限的作用是：如果给父目录设定了默认 ACL 权限，那么父目录中所有新建的子文件都会继承父目录的 ACL 权限。但是要加 -R

※ACL权限更高，会先查看ACL再看传统的权限。如果没有ACL才会走三类权限位

※如果一个用户在ACL的user中一个权限，他所在的ACL的group中是另外一个权限，会按照user权限来

• getfacl <文件名>

获取文件的访问控制信息

• setfacl设置文件的acl

-m修改文件的acl

-x取消用户或组对文件的权限

语法：

• setfacl –m u:用户名:权限 <文件名> 设置某用户名的访问权限

• setfacl –m g:组名:权限 <文件名> 设置某个组的访问权限

例1： 想要实现这个↓需求

user1:rwx，user2:rw-，user3:r-x，user4:r--，user5:--x，user6:-w-，

传统权限无法满足上述要求，这时就可以用↓命令进行权限添加

建一个名字为1的文件，查看文件1的权限↓

设置权限

修改后看文件1的权限↓

例2：

有组A(groupA)和组B(groupB)两个组，文件1所属于A组，如果通过三类权限位设置文件权限，其他用户没有任何权限，而B组为其他用户，因此无法对文件1进行任何 *** 作。这时可以通过ACL给组B设置权限：

setfacl -m g:groupB:r 1 B组里的所有成员就有读权限了

• setfacl –x u:用户名 <文件名>//取消某用户的访问权限

• setfacl –x g:组名 <文件名>//取消某个组的访问权限

❉↑这时是将这个user或group的ACL整个删除，如果只是想删除某一个权限，还是需要setfacl -m来进行重新设置

例3：

setfacl -m d:u:qin:rwx /caiwubu

d：default，即将caiwubu这个文件夹的权限对qin开放rwx权限，getfacl /caiwubu的时候会发现有一条default:user:qin:rwx。即在/caiwubu文件夹里 新建 的文件夹以及文件对qin的权限都为rwx，但是之前已经存在的文件及文件夹的权限在修改ACL权限之前是什么现在还是什么

setfacl -x u:qin /caiwubu/zhangben 取消qin这个用户对该文件的acl权限

取消qin这个用户对该文件的acl权限

❀如果这个文件给两个及两个以上的用户设定了ACL，取消其中一个用户的权限可以用这个命令。但是如果这个文件只给一个用户设定了ACL且想删除ACL，或者想把该文件里所有的ACL权限都删除的话，需要用↓的命令

setfacl -b /caiwubu/zhangben

关于权限列的.和+：

ls -lZ ：

① drwxrwxrwt. root root system_u:object_r:tmp_t:s0 tmp

② dr-xr-xr-x root root system_u:object_r:boot_t:s0 boot

③ drwxrwxr-x+ root root unconfined_u:object_r:admin_home_t:s0 DCGH-DIR

Linux权限列的点不是无意义字符

・在开启SELinux的情况下创建的目录和文件有这个点，权限列有这个点说明该目录或文件设置了SELinux相关的权限①

・在禁用SELinux权限之后，在之前开启SELinux权限时创建的文件或目录保持原来的权限不便，权限列的点依然显示，而新创建的目录或文件在权限列无这个点显示②

・权限列中最后一个位置如果是加号，说明这个目录或文件已经设置了ACL权限相关的内容。如果加号存在，则已经有点的目录或文件中的点的显示会被覆盖，但原来的SELinux属性保持不变

https://haicoder.net/linux/linux-getfacl.html

Linux 中的 getfacl 命令用于查看文件的 ACL 信息。

对于每一个文件和目录，getfacl 命令显示

文件的名称、

用户所有者、

组群所有者和访问控制列表(ACL)。

Linux获取acl(getfacl)

功能：用于获取文件的 ACL 信息。

语法：getfacl [option] file`

参数

| 参数 | 描述 |

| options | getfacl 命令使用的参数。 |

| files | 需要获取 ACL 的文件或目录。 |

getfacl命令常用参数

| 选项 | 含义 |

| -a | 显示文件的 ACL。 |

| -d | 显示默认的 ACL。 |

| -c | 不显示注释标题。 |

| -e | 显示所有的有效权限。 |

| -E | 显示没有的有效权限。 |

| -s | 跳过文件，只具有基本条目。 |

| -R | 递归到子目录。 |

| -t | 使用表格输出格式。 |

| -n | 显示用户的 UID 和组群的 GID。 |

Linux getfacl命令常用实例

实例

| 实例 | 描述 |

| getfacl file | 查看文件 file 的 ACL 权限。 |

获取文件的ACL

语法

getfacl file

案例

我们使用 [touch]命令，创建一个 haicoder.txt 文件，具体命令如下：

touch haicoder.txt

现在，我们使用 getfacl 命令，查看文件 haicoder.txt 的 ACL，具体命令如下：

getfacl haicoder.txt

我们将看了到haicoder.txt 文件的 ACL 策略。

Linux getfacl命令总结

Linux 中的 getfacl 命令用于查看文件的 ACL 信息。对于每一个文件和目录，getfacl 命令显示文件的名称、用户所有者、组群所有者和访问控制列表(ACL)。

---