大家好，我是你们的服务器老中医阿明，专治各种"这个文件为什么删不掉"的疑难杂症。今天要聊的ACL（Access Control List），堪称Linux权限界的"瑞士军刀"。它就像给传统权限模型打了玻尿酸——让死板的rwx瞬间变得灵活饱满！(๑•̀ㅂ•́)و✧

一、为什么需要ACL？传统权限的"鸡肋时刻"

想象你开了一家奶茶店（`/data/milk_tea`目录），传统权限就像只有三把钥匙：

- 老板钥匙（owner）：能进仓库调配方

- 员工组钥匙（group）：只能拿原料

- 路人钥匙（others）：连门都摸不到

突然来了个临时工小妹，按传统方式你要么：

1. 把她加入员工组 → 其他员工也能看她私人文档了（危险！）

2. 单独开个新组 → 组多到像奶茶配料表（混乱！）

这时候ACL就像个智能门禁系统："小妹可以进仓库，但只能拿珍珠和椰果，且每周三下午除外！"

二、ACL实战演示：给权限装上"微调旋钮"

▶️ 先看看你的系统有没有"ACL外挂"

```bash

检查文件系统是否支持ACL

mount | grep acl

如果没有就安装（以Ubuntu为例）

sudo apt install acl -y

```

▶️ 经典场景：让外包同事只能读日志

查看原始权限（像体检报告）

ls -l /var/log/nginx/error.log

-rw-r-- 1 root adm 1024 May 20 10:00 error.log

给bob添加读取权限（精准投喂）

setfacl -m u:bob:r-- /var/log/nginx/error.log

查看ACL详情（带+号说明有附加权限）

ls -l /var/log/

-rw-r--+ 1 root adm ...

▶️ ACL的"后悔药"功能：

突然不想让bob看了？一条命令撤回！

setfacl -x u:bob /var/log/nginx/error.log

想批量清除所有附加权限？上核弹！

setfacl -b filename

三、ACL进阶技巧：比奶茶配方还灵活的组合技

🎯 案例1：研发团队协作

允许dev组读写，但禁止删除文件（防手滑）

setfacl -m g:dev:rw-x /project/code/

setfacl -m d:g:dev:rw-x /project/code/

继承规则

mask相当于"最高电压"，限制所有附加权限

chmod g=rwx /project/code && setfacl -m m::rx /project/code

🎯 案例2：时间敏感型权限

虽然ACL本身不支持时间条件，但可以配合cron玩骚操作：

每天18点收回外包人员权限

0 18 * * * setfacl -x u:outsource /critical/data/

四、ACL常见翻车现场与抢救指南

❌ 翻车1：备份时ACL丢失

用`tar`备份时要加`--acls`参数：

tar --acls -czvf backup.tar.gz /data

❌ 翻车2：NFS共享后权限混乱

挂载时需显式启用ACL：

mount -o acl server:/share /mnt

❌ 翻车3：太多ACE导致性能下降

像这样查看ACL占用空间：

getfacl -R / | wc -l

超过1000条就该考虑重构了！

五、冷知识：ACL在容器时代的妙用

在Docker里为数据卷添加精细控制：

让容器只能写特定目录

setfacl -Rm u:1000:rwX ./container_volume

K8s的Pod Security Policy底层也是靠它实现的哦！

一下：

ACL就像给Linux穿上了格子衬衫——既保留了传统的稳重（基础rwx），又增加了极客的精致（精细控制）。记住它的三大绝招：

1. `setfacl`是手术刀

2. `getfacl`是X光机

3. `mask`是保险丝

下次再遇到"这个用户需要特殊权限但..."的情况，记得大喊一声："放着让我来加条ACL！"(ﾉ◕ヮ◕)ﾉ*:･ﾟ✧

（注：本文测试环境为CentOS7/Ubuntu20.04，不同发行版命令可能略有差异）

TAG:linux服务器acl是什么,linux atd服务,linux acl配置命令,linux的acl权限,acl linux