什么是ACL

ACL是access control list(访问控制列表)的缩写。主要的目的是提供在传统的owner,group,other的read,write,execute权限之外的更为细的权限控制。这和网络中的acl的作用是一样的，只是配置、对象不一样。

ACL主要针对以下几个方面来做权限控制：

启用文件系统的ACL功能

由于ACL是传统的Unix-like操作系统权限的额外支持项目，因此要使用ACL必须要有文件系统的支持才行。目前大部分的文件系统都支持ACL的功能，如：ext2/ext3/ext4,jfs,xfs等。

可以使用如下的命令去查看文件系统是否启用了ACL功能：

[root@squid ~]# mount

/dev/sda3 on / type ext3 (rw)

proc on /proc type proc (rw)

上面并没有看到acl，那么就要使用下面这个命令来查看了：

[root@squid ~]# dumpe2fs /dev/sda3|grep acl

dumpe2fs 1.39 (29-May-2006)

Default mount options: user_xattr acl

[root@squid ~]#

如果使用dumpe2fs 还是没有看到acl的话，那就说明系统默认没有启用acl，那么就需要在/etc/fstab文件中做如下修改：

LABEL=/ / ext3 defaults,acl 1 1

在defaults的后面加上acl选项，然后执行# mount –a，来重新挂载文件系统。这样就可以生效了。

[root@squid ~]# touch test.acl

[root@squid ~]# ll test.acl

-rw-r--r-- 1 root root 0 01-05 16:43 test.acl

[root@squid ~]# setfacl -m u:xfzhou:rwx test.acl

[root@squid ~]# ll test.acl

-rw-rwxr--+ 1 root root 0 01-05 16:43 test.acl

//可以看出，设置了acl后，文件的基本权限后面多了个”+”

[root@squid ~]#

[root@squid ~]# getfacl test.acl

# file: test.acl //说明信息，文件名称；

# owner: root //文件的属主；

# group: root //文件的属组

user::rw- //如果用户列表是空的，那么就代表的是文件属主的权限；

user:xfzhou:rwx //指定xfzhou用户的权限；

group::r-- //同user::rw-

mask::rwx //此文件默认的有效权限；

other::r-- //其他人拥有的权限；

[root@squid ~]#

Owner group other

即：先检文件的属主是否与访问者的用户名或UID一致；如果不一致，则再检查文件的属组是否与访问者所属的组(包括附加组)一致，最后如果前面的两个都没有匹配，那么系统就会按照该文件的other位上的权限，来决定该用户是否有相关的操作；

Owner facl:owner group facl:group other