Linux系统ACL权限查看指南：全面掌握访问控制列表管理技巧

一、什么是ACL？

访问控制列表（Access Control List）是Linux系统中对传统Unix权限系统的扩展。与标准的用户/组/其他三类权限相比，ACL允许：

• 为多个用户设置特定权限
• 为多个组设置特定权限
• 更精确地控制权限继承

二、检查系统是否支持ACL

在开始使用ACL之前，需要确认系统内核和文件系统是否支持ACL：

# 检查内核ACL支持
grep -i acl /boot/config-$(uname -r)

# 检查文件系统挂载选项
mount | grep acl

如果输出显示ACL支持为"Y"或挂载选项包含"acl"，则系统已启用ACL功能。

三、查看文件/目录ACL设置

1. 使用getfacl命令

getfacl是查看ACL设置的主要工具：

getfacl 文件名/目录名

典型输出示例：

# file: test.txt
# owner: user1
# group: group1
user::rw-
user:user2:r--
group::r--
mask::r--
other::---

2. 解读getfacl输出

• user:: 文件所有者的权限
• user:username: 指定用户的特殊权限
• group:: 文件所属组的权限
• mask:: 最大有效权限
• other:: 其他用户的权限

3. 递归查看目录ACL

使用-R选项可以递归查看目录及其内容的ACL：

getfacl -R /path/to/directory > acl_backup.txt

四、ACL查看的实用技巧

1. 结合ls命令查看

带有ACL设置的文件/目录，ls -l输出会在权限位显示"+"标记：

-rw-rw-r--+ 1 user1 group1 0 Jan 1 10:00 test.txt

2. 查看默认ACL

目录可以设置默认ACL，这将影响目录内新建的文件：

getfacl -d /path/to/directory

3. 比较ACL差异

使用diff工具比较两个ACL设置：

diff <(getfacl file1) <(getfacl file2)

五、常见问题解答

1. 为什么看不到ACL设置？

可能原因包括：

• 文件系统未启用ACL支持
• 文件/目录没有设置ACL
• 使用的工具版本不支持ACL

2. 如何备份和恢复ACL设置？

备份：

getfacl -R /path > acl_backup.txt

恢复：

setfacl --restore=acl_backup.txt

六、ACL管理最佳实践

• 定期审核ACL设置，避免权限过度分配
• 优先使用组权限而非单独用户权限
• 为关键目录设置默认ACL以保持一致性
• 配合SELinux等其他安全机制使用