2025.09.16【服务器维护】|Linux 文件权限管理:chmod 与 ACL 的区别

最新推荐文章于 2025-11-22 18:11:44 发布
原创 最新推荐文章于 2025-11-22 18:11:44 发布 · 966 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #linux #运维

文章目录

Linux 文件权限管理:chmod 与 ACL 的区别与实战

在日常的 Linux 使用中,我们经常会遇到权限问题。比如共享数据、限制访问、赋予同事只读权限等。这时候常见的工具有两类:chmod(传统 Unix 权限)和 setfacl(访问控制列表,ACL)。本文整理了区别,并提供一些实战命令。

一、chmod 的权限机制

Linux 里的文件权限一开始只有 三类主体

  • owner(属主):文件的拥有者。
  • group(属组):通常是某个用户组。
  • others(其他人):系统里的其他用户。

每类主体可以有三种权限:

  • r (read) → 读权限(文件可读/目录可列出)。
  • w (write) → 写权限(文件可改/目录可增删文件)。
  • x (execute) → 执行权限(文件可执行/目录可进入)。

ls -l 就能看到:

-rwxr-x---

表示:

  • owner 有 rwx
  • group 有 r-x
  • others 无权限

👉 局限:只能控制三类主体,无法对具体用户做细粒度控制。

二、ACL 的权限机制

ACL (Access Control List) 是对 chmod 的扩展,允许对任意用户或组单独授权

例子:

# 给 alice 读/执行权限
setfacl -m u:alice:rx /data/project

# 给 bob 读写权限
setfacl -m u:bob:rw /data/project

# 查看 ACL
getfacl /data/project

ACL 能精细化控制权限,非常适合多人协作场景。

三、chmod 与 ACL 的关系

  • chmod = 基础框架,三类主体(owner/group/others)。
  • ACL = 补充规则,可对个别用户/组单独设定。
  • 最终权限 = chmod + ACL 的综合结果。

⚠️ 注意:如果 chmod 去掉了执行权限,即使 ACL 给了用户 rx,用户也可能还是进不去目录。因此建议 chmod 设置基础安全边界,ACL 做额外授权

四、实战示例

1. 给自己目录设置基本权限

chown -R User:User /home/User
chmod -R 2750 /home/User
  • 目录属主 yangxin 拥有完全权限。
  • 属组有访问权限。
  • others 无权限。

2. 给同事只读访问权限

setfacl -R -m u:alice:rx /home/alice
setfacl -R -m u:bob:rx /home/bob

# 默认 ACL,保证新建文件也继承
setfacl -d -m u:alice:rx /home/alice
setfacl -d -m u:bob:rx /home/bob

效果:

  • 个人用户:完全控制。
  • 同事们:可以 lscp,但不能删除/修改。
  • 其他用户:没有权限。

3. 恢复可执行文件权限的坑

如果不小心用 chmod -R 664 把所有文件权限覆盖,像 conda 这种可执行程序会失效:

-bash: /home/user/miniconda3/bin/conda: Permission denied

修复方法:

find /home/user/miniconda3/bin -type f -exec chmod 755 {} +

五、总结

  • chmod 适合简单场景,三层模型够用。

  • ACL 适合团队协作,可以精细化到具体用户。

  • 最佳实践:

    • 用 chmod 设定基础权限(owner / group / others)。
    • 用 ACL 对需要的用户/组补充授权。
2020.02.18【数据分析心得】丨如何将基因ID转化为基因名称
02-18 2万+
上一次在这个平台上写文章居然已经是5年前了,毕竟研究生阶段没有主攻数据处理,让自己少了很多IT属性。废话少说,今天记录一下将基因ID转化为基因名称的操作办法。 在拿到公司的基因测序数据后,不同的测序公司给出的数据也是不同的,有时候会遇到一个问题就是测序公司给出的分析报告中,GO富集以及KEGG通路通常直接以基因ID的形式给客户,而导师要求送审文章的附件要显示为基因名称。 尽管在拿到的测序数...
2021.04.09丨使用featurecount进行定量处理
热门推荐
04-09 1万+
摘要 接到一个个性化分析,客户发了一个文档,明确了分析流程以及使用工具。其中定量环节要求使用featurecount工具。平时我都是使用htseq-count进行定量,因此,在这里记录一下新工具的使用步骤和遇到的一些小问题。 软件版本 featureCounts(subread) v2.0.1 使用说明 安装featureCounts 该工具属于Subread软件中的定量工具,另外subread还可以进行比对和寻找SNP位点,在这里就不详述了。我们要做的就是安装Subread
Linux账号管理ACL权限设置
不知道
03-20 1313
Linux的账户和用户组 用户标识符:UIDGID 用户账号 用户组:有效初始用户组groups,newgrp 账号管理 新增删除用户:useradd、相关配置文件、passwd、usermod、userdel 用户功能:id、finger、chfn、chsh 新增删除用户组:groupadd、groupmod、groupdel、gpasswd 账号管理案例 任务一 任务二 Linux详细权限规划:ACL使用 什么是ACL如何支持启动ACL ACL的设置技巧:getfacl、setfacl 案例
详解 Linux 用户文件权限管理
Linux内核研究者
02-22 892
本文详细讲解了Linux用户文件权限管理的核心概念和操作方法。首先介绍了Linux系统中的用户分类,包括超级用户、系统用户和普通用户,并解释了UIDGID机制以及用户组的重要性。接着探讨了用户和用户组的管理命令,如`useradd`、`usermod`、`groupadd`等,用于创建、修改和删除用户及组。文章还深入讲述了文件权限管理的基础知识,涵盖了传统Unix权限模型、特殊权限(SUID、SGID、Sticky Bit)、访问控制列表(ACL)以及能力(Capabilities)。
Linux】系统文件的权限管理
fjwyyy的博客
04-01 1314
使用ls -l 文件 查看文件权限;ls -l 目录 查看目录里文件权限使用ls -ld 目录 查看目录权限。
Linux基础三》用户和文件权限管理
weixin_51943889的博客
02-04 2165
Linux基础三》用户和文件权限管理
小白带你一起学Linux系统之Linux权限管理
KellenKellenHao的博客
05-19 590
可读用r表示(read): 有了可读权限,就可以读取文件的内容查看目录内容可写用w表示(write): 有了可写权限,就可以在文件中写入或删除内容可以在文件夹内创建、删除、改名等操作。可执行用x表示(execute): 有了可执行权限,就可以执行该文件对于目录来讲,x是进入权限表示没有某个权限权限的排列方式Linux下表示二进制表示八进制表示只读r--1004只可写-w-0102只可执行--x0011可读可写rw-1106可读可执行r-x1015。
09篇:Linux权限管理深度解析:从基础到ACL控制(基于OpenEuler 24.03)
专注于系统运维、数据库、DevOps、虚拟化技术、docker、kubernetes、等云原生技术。
06-14 456
本文深入解析Linux权限管理体系,涵盖基础权限、特殊权限(SUID/SGID/SBIT)及ACL控制。首先阐述权限对目录和文件的不同作用机制,重点说明目录权限影响结构操作,文件权限控制内容访问。随后详细讲解chmod命令的文字数字设定法,并通过OpenEuler案例演示权限修改实践。
linux入门3.5(文件系统管理
one_tap_的博客
09-19 975
本文主要介绍了Linux文件系统管理和Apache服务器源码编译安装的过程。在文件系统管理部分,详细说明了Linux设备识别方法(如/dev/sda、/dev/nvme等)、分区概念以及文件系统基本知识,并提供了lsblk和df命令查看块设备和文件系统使用情况。在Apache安装部分,展示了从源码编译安装Apache 2.4.60的过程,包括依赖安装、配置选项(--with-ssl、--enable-rewrite)、编译安装以及配置systemd服务管理的完整步骤,最终验证了服务正常运行。全文包含详细的命
2.DNS 服务器
最新发布
2202_75295990的博客
11-22 643
DNS服务简介 DNS(域名系统)是互联网的核心服务之一,用于将域名转换为IP地址。它是一个分层命名的分布式数据库系统,包含根域、顶级域(如.com)、二级域等层级结构。DNS查询主要有两种方式:递归查询和迭代查询。递归查询以本地名称服务器为中心进行查询,是默认方式;迭代查询则由DNS客户端自行完成所有查询工作。两种方式的主要区别在于查询主体不同。DNS通过这种层次化结构和查询机制,实现了域名到IP地址的高效转换,使得用户无需记忆复杂的数字IP地址即可访问网络资源。
Linux 时间一致性环境NTP/Chrony服务器部署配置
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
10-22 5980
背景 生产环境中,一个业务系统往往涉及几十台甚至上百台主机或云主机构成,有些管理系统对整个环境时间一致性由强要求,即使没有,保证环境中时间的一致性,有利于业务交互时时间匹配,保证事务的一致性,甚至环境中的监控系统,也需要监测时间一致性,保证数据上报正常。 ntp架构 下图来源网络,在前端管理节点上部署ntp服务器,且采取主备模式,局域网的ntp服务器先于外网ntp同步完成,局域网内再同本地ntp服务器同步时间。实际环境中,可借助类似架构,两个管理节点可以用HAproxy+keepalive做Heartbea
详细Linux基础知识
2301_81704123的博客
03-03 1104
SSH 远程连接解析,Vim 基础操作,用户管理.....
linux文件权限设置磁盘配额设置
qq_64972872的博客
06-07 3501
1.文件、目录常用权限管理 2.修改文件、目录的默认权限 3.修改文件、目录的隐藏权限 4.使用ACL进行Linux高级权限管理 5.Linux系统下磁盘限额的方法
oscp备考,oscp系列——hacklab-vulnix靶场:smtp用户名枚举,finger协议,ssh爆破,nfs挂载,ssh公钥写入,nsf提权
2202_75361164的博客
02-05 1086
oscp备考,oscp系列——hacklab-vulnix靶场:smtp用户名枚举,finger协议,ssh爆破,nfs挂载,ssh公钥写入,nsf提权难度简单偏上对于低权限shell获取涉及:smtp用户名枚举,finger协议,ssh爆破,nfs挂载,ssh公钥写入对于提权:nsf提权。
华为海思Hi3516配置OpenSSH,实现mindcmd一键推理
xulanshuai01的博客
06-03 1112
本文介绍在Hi3516开发板配置SSH服务的完整流程,以支持华为mindcmd工具进行板端模型精度分析。通过Docker环境交叉编译zlib、OpenSSL和OpenSSH三大组件,详细说明编译参数设置和板端部署步骤。重点解决权限问题、依赖库缺失等常见报错,最终实现mindcmd的一键推理功能。文章包含环境搭建、依赖编译、板端部署、配置文件设置等完整指导,并针对"No model forward ouput"和"memory_data.csv does not exist"等典型错误提供解决方案,为开发者在
2020.11.20丨使用GATK CombineGVCFs命令批量合并vcf文件
11-20 1万+
GATK是一款强大的数据处理软件,最近在优化GWAS流程时遇到一个麻烦事,就是要将各样品的VCF文件进行合并,本来GATK里面有一个可以合并VCF数据的命令 CombineGVCFs,可以将所有样品的VCF合并成一个文件。但是这个命令需要一个一个输入文件名。 熟悉GWAS的小伙伴应该清楚,GWAS项目动辄上百个样品,让人一个一个输入还是很繁琐的。因此我写了个shell脚本,能够快速输入样品名称,并执行CombineGVCFs命令。 脚本 Ref_genome="genome.fna"
2020.08.14【RNA-Seq流程】丨将HTseq生成的基因COUNT值转换为FPKM值
08-14 1万+
通过HTseq生成的基因表达量是以count值计算的,而业内普遍做法是将count值转换为FPKM值提供给客户,因此,需要一个转换表达量的脚本。
2021-09-09linux】丨shell使用for循环遍历文件/数组
09-09 9098
目录摘要for循环遍历文件使用方法方法一方法二总结 摘要 在日常生信分析过程中,分析员或多或少会使用for循环批量处理样品或者分组。这里我简单整理一下自己常用的两种遍历方法。 for循环遍历文件使用方法 方法一 对于在同一个文件内的所有样品,使用 ls 可以遍历该文件夹内的所有文件名。 for i in ls ./; do echo ${i} done 可能有时候还有一些脚本文件在里面, 我们可以使用 正则表达式 *来表示文件内的样品名 for i in *_R1.fastq.gz; do i={i%_R
2021.07.30丨snakemake常见问题汇总(上)
07-30 6399
目录摘要问题汇总1. MissingInputException: Missing input files for rule XXX:2. SyntaxError in line 28 of /path/to/snakefile: invalid syntax3. SyntaxError in line 25 of /path/to/snakefile: Expected name or colon after rule or checkpoint keyword.4. RuleException in l
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

穆易青

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值