1. ACL訪(fǎng)問(wèn)控制列表的功能

早期Linux系統(tǒng)的權(quán)限控制主要依賴(lài)于UGO (user, group, others) 模型，然而這種權(quán)限控制由于靈活度不高具有一定的局限性，由于存在業(yè)務(wù)需求，為了實(shí)現(xiàn)更加靈活和精確的權(quán)限控制，后續(xù)開(kāi)源組織推出了ACL(Access Control List)權(quán)限控制模塊作為傳統(tǒng)UGO模型的補(bǔ)充。

ACL的功能是給文件設(shè)置特權(quán)用戶(hù)，即允許特定用戶(hù)訪(fǎng)問(wèn)。

例如，f1文件權(quán)限644，屬主root，屬組root，則用戶(hù)zhang無(wú)權(quán)寫(xiě)入，可給zhang設(shè)定特權(quán)，僅允許zhang寫(xiě)入。若使用o+w的操作，則不僅是用戶(hù)zhang，其他用戶(hù)也具備了寫(xiě)入權(quán)限。為了滿(mǎn)足這樣的業(yè)務(wù)需求，我們可以使用ACL提供的相關(guān)命令來(lái)實(shí)現(xiàn)。

2. ACL訪(fǎng)問(wèn)控制列表的常用命令

設(shè)置ACL命令的常用方式如下。

①getfacl f1：查看文件f1的ACL信息。

②setfacl -m u:zhang:rw f1：針對(duì)文件f1，f1文件的所屬者和所屬組均為root，普通用戶(hù)zhang沒(méi)有w權(quán)限，可以用setfacl給單獨(dú)普通用戶(hù)zhang添加文件f1的rw權(quán)限，讓用戶(hù)zhang也能像用戶(hù)root一樣讀寫(xiě)f1文件，這個(gè)過(guò)程稱(chēng)為設(shè)置用戶(hù)zhang的ACL。setfacl命令的-m選項(xiàng)表示設(shè)置狀態(tài)為“修改”，u:zhang:rw表示設(shè)置用戶(hù)zhang的ACL為rw，如下面操作所示，用戶(hù)zhang對(duì)f1有rw權(quán)限，可嘗試切換到zhang用戶(hù)并編輯f1文件加以驗(yàn)證。

④setfacl -x u:zhang f1：撤銷(xiāo)單個(gè)ACL。

⑤setfacl -b f1：撤銷(xiāo)文件的所有ACL。

3. CentOS7文件屬性設(shè)置

屬性，即文件所具有的某些特性，可使用lsattr命令查看，舉例如下。

lsattr -aR /root：查看/root下的文件及目錄權(quán)限。-a用于顯示指定目錄下的文件及目錄的屬性，-R用于遞歸顯示，即查看/root下的所有文件包括子目錄文件的文件屬性。

文件的常用屬性如下表所示。

可以用chattr命令，使用+、-號(hào)來(lái)給文件增加或刪除屬性，如下操作所示。

可知在給f1增加i屬性前，f1可寫(xiě)入，給f1增加了i屬性后，f1處于只讀狀態(tài)，可使用lsattr命令查看，但不可再寫(xiě)入，之后去除i屬性，f1又可寫(xiě)入。