CentOS setfacl命令详解（手把手教你设置ACL权限）

什么是ACL？

ACL 是对传统 Unix 文件权限模型的扩展，它允许为多个用户或组分别设置不同的权限，而不受“属主-属组-其他”三类限制。这在多用户协作环境中非常实用。

前提条件：确认文件系统支持ACL

在使用 setfacl 之前，请确保你的文件系统已挂载并启用了ACL支持。大多数现代CentOS系统默认已启用，但你可以通过以下命令检查：

mount | grep " / "

如果输出中包含 acl，说明已启用。如果没有，你可以在 /etc/fstab 中为根分区添加 acl 挂载选项，并重新挂载。

基本语法

使用 setfacl 的基本格式如下：

setfacl -m u:用户名:权限 文件或目录setfacl -m g:组名:权限 文件或目录

其中：

• -m 表示修改（modify）ACL规则
• u 表示用户（user），g 表示组（group）
• 权限可以是 r（读）、w（写）、x（执行）的任意组合，如 rw、rx 等

实战示例

1. 为特定用户设置读写权限

假设你有一个文件 /data/report.txt，你想让用户 alice 能读写这个文件，但又不想把她加入文件所属的组。

setfacl -m u:alice:rw /data/report.txt

2. 查看当前ACL设置

使用 getfacl 命令查看文件的ACL权限：

getfacl /data/report.txt

输出可能如下：

# file: report.txt# owner: root# group: staffuser::rw-user:alice:rw-group::r--mask::rw-other::r--

可以看到，除了默认权限外，还多了一行 user:alice:rw-，说明ACL已生效。

3. 设置目录的默认ACL（继承权限）

如果你希望在某个目录下新建的文件自动继承特定用户的权限，可以设置默认ACL：

setfacl -d -m u:alice:rw /data/project/

这里的 -d 参数表示设置默认ACL。此后，在 /data/project/ 目录中创建的新文件将自动拥有 alice 的 rw 权限（实际权限受 umask 和 mask 限制）。

4. 删除ACL规则

要删除某用户的ACL规则，使用 -x 参数：

setfacl -x u:alice /data/report.txt

要删除所有ACL规则（恢复为传统权限），使用：

setfacl -b /data/report.txt

常见问题与注意事项

• ACL权限优先级高于传统权限，但受 mask 限制（mask 是有效权限的最大值）
• 使用 ls -l 查看文件时，如果文件有ACL，权限字段后会多出一个 + 号，例如：-rw-rw-r--+
• 备份和恢复ACL：可使用 getfacl -R /path > acl.bak 备份，再用 setfacl --restore=acl.bak 恢复

总结

通过 setfacl 命令，你可以灵活地为不同用户和组分配精细的文件权限，这是传统权限模型无法实现的。掌握 CentOS setfacl、ACL权限设置、Linux文件权限 和 setfacl命令教程 中的核心技巧，将极大提升你在多用户环境下的系统管理能力。

现在，你已经可以自信地在CentOS系统中使用ACL来管理复杂权限需求了！