灵活运用Linux中的文件/目录访问控制机制

　　为了设置文件的ACL权限，需要使用setfacl命令来详细设置文件的访问权限，其基本用法如下：

　　setfacl–[参数][文件/目录]，其常用的参数及作用如下所示：

　　-m：建立一个ACL规则

　　-x：删除一个ACL规则

　　-b：删除全部的ACL规则

　　-set：覆盖ACL规则

　　下面来详细介绍如何使用setfacl来设置文件/目录的ACL权限。

　　（1）添加/修改ACL规则

　　需要使用-m选项来进行操作。

　　举个例子，使用该命令为用户gavin和组test设置acl_test文件的读写权限，并使用getfacl查看设置结果：

　　$setfacl-mu:gavin:rw,g:test:racl_test

　　$getfaclacl_test

　　#file:acl_test

　　#owner:gavin

　　#group:gavin

　　user::rw-

　　user:gavin:rw-

　　group::rw-

　　group:test:r--

　　mask::rw-

　　other::r—

　　在上面的命令示例中，可以清楚地看到加粗部分user:gavin、group:test、mask这3个ACLEntry的出现，表明对文件进行了 ACL权限设置，否则，不会出现该标识。为了进一步验证，我们使用ls-l来查看该文件的权限位中是否多了“+”这个标识位，如下所示：

　　$ls-lacl_test

　　-rw-rw-r--+1gavingavin012-2011:49acl_test

　　其中，user:gavin、group:test为我们设置的访问权限，而mask::rw为自动添加的内容。

　　（2）删除ACL规则

　　使用-x选项可以方便地删除指定用户对指定文件/目录的访问权限。

　　以下示例删除用户gavin对文件acl_test的访问权限：

　　$setfacl-xu:gavinacl_test

　　$getfaclacl_test

　　#file:acl_test

　　#owner:gavin

　　#group:gavin

　　user::rw-

　　group::rw-

　　group:test:r--

　　mask::rw-

　　other::r--

　　$ls-lacl_test

　　-rw-rw-r--+1gavingavin012-2011:49acl_test

　　通过上述2段ACL权限显示的对比可以清楚地看到：用户gavin对于文件acl_test的访问权限已经完全删除了，表现为 user:gavin:rw-已经不存在了。这里提醒注意的是：我们不能够通过setfacl命令来指定删除用户/组对文件/目录的某一个特定权限（如 r、w或者x）。同时，也可以看到，使用ls-l命令显示文件的9个权限位还是没有改变，因为改变的只是ACL权限，而不是最基本的user、group 和others权限。

　　（3）删除文件/目录的所有ACL规则

　　使用-b选项可以删除文件/目录的ACL权限。如下命令将删除文件acl_test的所有ACL权限。可以看到，使用getfacl命令来查看是，mask项已经消失，即该文件已经没有了所有的ACL权限：

　　$setfacl-bacl_test

　　$getfaclacl_test

　　#file:acl_test

　　#owner:gavin

　　#group:gavin

　　user::rw-

　　group::rw-

　　other::r—

　　（4）覆盖文件的原有ACL规则

需要使用--set选项。此处需要强调一下-m选项和--set选项的区别：-m选项只是修改已有的配置或是新增加一些；而--set选项和-m不 同，它会把原有的ACL项全都删除，并用新的替代。另外，--set选项的参数中一定要包含UGO的设置，不能象-m一样只是添加ACL就可以了。

　　以下示例该选项的使用方法：

　　$setfacl--setu::rw,g::rw,o::r,u:gavin:rwx,g:test:rxacl_test

　　$getfaclacl_test

　　#file:acl_test

　　#owner:gavin

　　#group:gavin

　　user::rw-

　　user:gavin:rwx

　　group::rw-

　　group:test:r-x

　　mask::rwx

　　other::r--

　　$ls-lacl_test

　　-rw-rwxr--+1gavingavin012-2011:49acl_test

　　这里需要提醒注意的是：上述acl_test文件的权限标识位中的group的rwx权限，并不是表明acl_test文件所属用户的用户组对其有x 权限，实际上只具有rw权限，而是因为在group:test:r-x中指定了test这个组具有x权限，所以ACL机制在这个标识位上进行了体现，在实 际的应用中要特别注意，切记不要弄混淆了。

　　（5）其他选项

　　除了上述介绍的4类用法外，setfacl还可以使用如下一些选项，如下表，供大家在实际使用中参考：