CentOS访问控制详解（从零开始掌握Linux权限与ACL安全配置）

一、理解CentOS基础权限模型

CentOS默认采用传统的Unix权限模型，每个文件或目录都有三类用户角色：

• 所有者（Owner）：创建文件的用户
• 所属组（Group）：文件所属的用户组
• 其他用户（Others）：既不是所有者也不在所属组的用户

每类用户拥有三种基本权限：

• r（读）：查看文件内容或列出目录
• w（写）：修改文件内容或在目录中增删文件
• x（执行）：运行文件或进入目录

二、查看和修改基础权限

使用 ls -l 命令可以查看文件权限：

-rw-r--r-- 1 user staff 1024 Jun 10 10:00 example.txt  

上面输出中，-rw-r--r-- 表示：

• 第一个 - 表示这是一个普通文件（如果是 d 则是目录）
• rw-：所有者有读写权限
• r--：所属组只有读权限
• r--：其他用户只有读权限

使用 chmod 修改权限（数字模式）：

# 给所有者添加执行权限，组和其他人保持不变chmod 744 example.txt# 或使用符号模式chmod u+x example.txt  

三、使用ACL实现精细访问控制

传统权限模型只能为三类用户设置权限，当需要给特定用户或组单独授权时，就需要用到文件系统ACL（Access Control List）。这是CentOS安全配置中的高级技巧。

首先，确认你的文件系统已启用ACL支持（ext4/xfs默认支持）：

mount | grep acl# 如果输出包含 "acl"，说明已启用  

如果没有启用，可临时挂载启用（以 /home 为例）：

sudo mount -o remount,acl /home  

永久启用需编辑 /etc/fstab，在对应分区选项中加入 acl。

设置ACL权限

假设你想让用户 alice 对 /data/project 目录拥有读写权限，而她既不是所有者也不在所属组：

# 设置用户 alice 的权限setfacl -m u:alice:rw /data/project# 设置组 developers 的权限setfacl -m g:developers:rwx /data/project  

查看ACL设置

getfacl /data/project  

输出示例：

# file: project# owner: root# group: staffuser::rwxuser:alice:rw-group::r-xgroup:developers:rwxmask::rwxother::r-x  

四、最佳实践与安全建议

• 定期审计关键目录的权限设置
• 避免随意使用 chmod 777，这会带来严重安全隐患
• 对敏感数据使用ACL限制特定用户访问
• 结合 SELinux 提供更强大的强制访问控制（进阶话题）

通过本教程，你已经掌握了 CentOS访问控制 的核心方法，包括基础权限管理和高级ACL配置。这些技能不仅能提升你的 Linux权限管理 能力，也是构建安全可靠服务器环境的基础。

记住，良好的 CentOS安全配置 是持续的过程，而不仅仅是初始设置。善用 文件系统ACL，让你的权限策略更加灵活精准！