Linux权限管理：ACL 权限

1、ACL 是什么　　ACL的全称是 Access Control List (访问控制列表) ，一个针对文件/目录的访问控制列表。它在UGO权限管理的基础上为文件系统提供一个额外的、更灵活的权限管理机制。它被设计为UNIX文件权限管理的一个补充。ACL允许你给任何的用户或用户组设置任何文件/目录的访问权限。2、ACL有什么用　　既然是作为UGO权限管理的补充，ACL自然要有UGO办不到或者很难办到的本事，例如：　　　　1：可以针对用户来设置权限　　　　2：可以针对用户组来设置权限　　　　3：子文件/目录继承父目录的权限　　查询ACL功能是否启用(默认都启用)3、启ACL功能　　cat /boot/config-3.10.0-693.el7.x86_64 | grep -i xfs4、设置ACL(centos7下的命令行)

setfacl 2.2.51 -- 设定文件访问控制列表用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...  -m, --modify=acl 更改文件的访问控制列表  -M, --modify-file=file 从文件读取访问控制列表条目更改  -x, --remove=acl 根据文件中访问控制列表移除条目  -X, --remove-file=file 从文件读取访问控制列表条目并删除  -b, --remove-all 删除所有扩展访问控制列表条目  -k, --remove-default 移除默认访问控制列表      --set=acl 设定替换当前的文件访问控制列表      --set-file=file 从文件中读取访问控制列表条目设定      --mask 重新计算有效权限掩码  -n, --no-mask 不重新计算有效权限掩码  -d, --default 应用到默认访问控制列表的操作  -R, --recursive 递归操作子目录  -L, --logical 依照系统逻辑，跟随符号链接  -P, --physical 依照自然逻辑，不跟随符号链接      --restore=file 恢复访问控制列表，和“getfacl -R”作用相反      --test 测试模式，并不真正修改访问控制列表属性  -v, --version           显示版本并退出  -h, --help              显示本帮助信息

5、查询ACL　　getfacl 2.2.51 -- 获取文件访问控制列表

使用方法: getfacl  [-aceEsRLPtpndvh]  文件 ...  -a,  --access           仅显示文件访问控制列表  -d, --default           仅显示默认的访问控制列表  -c, --omit-header     不显示注释表头  -e, --all-effective     显示所有的有效权限  -E, --no-effective      显示无效权限  -s, --skip-base         跳过只有基条目(base entries)的文件  -R, --recursive         递归显示子目录  -L, --logical           逻辑遍历(跟随符号链接)  -P, --physical          物理遍历(不跟随符号链接)  -t, --tabular           使用制表符分隔的输出格式  -n, --numeric           显示数字的用户/组标识  -p, --absolute-names    不去除路径前的 '/' 符号  -v, --version           显示版本并退出  -h, --help              显示本帮助信息

　　　　

6、更改 ACL 权限　　-m 选项其实是在更改文件和目录的 ACL 权限　　当一个用户或组的 ACL 权限不存在时，-m 选项执行的是添加操作　　如果一个用户或组的 ACL 权限已经存在时，-m 选项执行的是更新操作。

　　我们重新创建一个  /protected 目录，通过下面的命令设置 xiaohong 用户对它的访问权限：　　　　setfacl -m u:xiaohong:rwx /protected