3.2 设置权限ACL（access control list）

假设：/data所有者与所属组均为root，在不改变所有者的前提下，要求用户tom对该目录有完全访问权限（rwx）。只能考虑：
方法一：给/data的其他人增加rwx权限
方法二：将tom加入到root组中，并为root组分配rwx权限

ACL文件权限管理：对不同用户设置不同的基本权限（rwx），可设置对象数量不同
ACL是UGO的补充，优先级别比UGO高。

3.2.1 setfacl

setfacl命令可以用来细分linux下的文件权限，可以对每一个文件或目录设置更精确的文件权限，setfacl可以更精确的控制权限的分配。比如：让某一个用户对某一个文件具有某种权限。
​
ACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制，对于需要特殊权限的使用状况有一定帮助。
如，某一个文件，不让单一的某个用户访问。

setfacl命令的基本语法如下：

setfacl [选项] [目录|文件]

参数说明：

• -m：设置后续acl参数

• -x：删除后续acl参数

• -b：删除全部的acl参数

• -k：删除默认的acl参数

• -R：递归设置acl，包括子目录

• -d：设置默认acl

例：

为用户sam设置文件file1的读写权限，为li设置无权限

useradd sam
useradd li
setfacl -m  u:sam:rw    /tmp/file1
setfacl -m  u:li:-  /tmp/file1
#        对象：对象名：权限

为组group2设置文件file1的读写执行权限

setfacl -m  g:group2:rwx    /tmp/file1

将其他人对文件file1的权限设置为可读写

setfacl -m  o::rw   /tmp/file1

删除sam对文件file1的权限

setfacl -x  u:sam   /tmp/file1

删除文件file1所有扩展访问权限

setfacl -b  /tmp/file1

3.2.2 getfacl

使用getfacl命令可以查看文件的ACL信息。对于每一个文件和目录，getfacl命令显示文件的名称、用户所有者、组群所有者和访问控制列表（ACL）。

getfacl命令的基本语法如下：

getfacl [选项] [目录|文件]

参数说明：

• -a： --access，仅显示文件访问控制列表。

• -d：--default，仅显示默认的访问控制列表。

• -c： --omit-header，不显示注释表头。

• -e：--all-effective，打印所有有效权限注释，即使与 ACL 条目定义的权限相同。

• -E：--no-effective，显示无效权限。

• -s：--skip-base，跳过仅包含基本 ACL 条目（owner、group 和 others）的文件。

• -R：--recursive，递归显示子目录。

例：

查看文件file1的ACL信息

[root@centos-1 ~]# getfacl /tmp/file1 
getfacl: Removing leading '/' from absolute path names
# file: tmp/file1
# owner: 1008
# group: root
user::rw-
group::r--
other::r--