RockyLinux setfacl命令详解（手把手教你设置ACL权限）

前提条件：确认系统支持 ACL

在 RockyLinux 中，大多数现代文件系统（如 XFS 和 ext4）默认启用 ACL 支持。你可以通过以下命令检查某个挂载点是否启用了 ACL：

mount | grep " / "  

如果输出中包含 acl（例如 /dev/sda1 on / type xfs (rw,relatime,attr2,inode64,logbufs=8,logbsize=32k,prjquota,acl)），说明 ACL 已启用。

基本语法：setfacl 命令格式

setfacl 命令的基本语法如下：

setfacl [选项] 规则 文件或目录  

常用选项包括：

• -m：修改或添加 ACL 条目
• -x：删除指定的 ACL 条目
• -b：移除所有 ACL 条目（保留基本权限）
• -R：递归操作（用于目录）
• -d：设置默认 ACL（仅对目录有效，影响新创建的文件）

实战示例：为特定用户设置权限

假设你有一个项目目录 /project/team，你想让普通用户 alice 拥有读写权限，但又不想把她加入该目录的所属组。可以这样做：

# 创建测试目录（如果不存在）mkdir -p /project/team# 为用户 alice 添加读、写、执行权限setfacl -m u:alice:rwx /project/team# 查看当前 ACL 设置getfacl /project/team  

执行 getfacl 后，你会看到类似以下输出：

# file: project/team# owner: root# group: rootuser::rwxuser:alice:rwxgroup::r-xmask::rwxother::r-x  

这表示用户 alice 现在拥有对该目录的完整访问权限。

设置默认 ACL（适用于新文件）

如果你希望在 /project/team 目录中新建的文件自动继承某些 ACL 权限，可以设置默认 ACL：

# 为用户 alice 设置默认 ACLsetfacl -m d:u:alice:rwx /project/team# 验证默认 ACLgetfacl /project/team  

现在，任何在该目录下新建的文件或子目录都会自动赋予 alice 对应的权限（受 mask 限制）。

删除 ACL 条目

如果不再需要某条 ACL 规则，可以使用 -x 删除：

# 删除用户 alice 的 ACL 条目setfacl -x u:alice /project/team# 删除默认 ACL 中关于 alice 的规则setfacl -x d:u:alice /project/team  

若要完全清除所有 ACL 权限（恢复到传统权限模型），使用：

setfacl -b /project/team  

常见问题与注意事项

• ACL 权限受 mask 限制。即使你给用户设置了 rwx，如果 mask 是 r--，实际权限也会被限制为只读。
• 使用 ls -l 查看文件时，如果文件有 ACL，权限字段末尾会显示一个加号（+），例如：drwxr-xr-x+。
• ACL 不会覆盖基本权限，而是作为补充。确保基本权限不会意外阻止 ACL 生效。

总结

通过 setfacl 命令，RockyLinux 用户可以实现更精细、灵活的 ACL权限设置，有效解决多用户环境下的权限分配难题。掌握这项技能，不仅能提升你的 Linux文件权限管理 能力，还能为系统安全和协作效率打下坚实基础。

无论你是系统管理员还是开发人员，理解并熟练运用 RockyLinux setfacl命令 和 RockyLinux高级权限控制 机制，都将让你在 Linux 世界中游刃有余。

—— 本文完 ——