Linux权限管理：ACL 权限

1、ACL 是什么
　　ACL的全称是 Access Control List (访问控制列表) ，一个针对文件/目录的访问控制列表。它在UGO权限管理的基础上为文件系统提供一个额外的、更灵活的权限管理机制。它被设计为UNIX文件权限管理的一个补充。ACL允许你给任何的用户或用户组设置任何文件/目录的访问权限。
2、ACL有什么用
　　既然是作为UGO权限管理的补充，ACL自然要有UGO办不到或者很难办到的本事，例如：
　　　　1：可以针对用户来设置权限
　　　　2：可以针对用户组来设置权限
　　　　3：子文件/目录继承父目录的权限
　　查询ACL功能是否启用（默认都启用）
3、启ACL功能
　　cat /boot/config-3.10.0-693.el7.x86_64 | grep -i xfs
4、设置ACL（centos7下的命令行）

setfacl 2.2.51 -- 设定文件访问控制列表
用法: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
  -m, --modify=acl 更改文件的访问控制列表
  -M, --modify-file=file 从文件读取访问控制列表条目更改
  -x, --remove=acl 根据文件中访问控制列表移除条目
  -X, --remove-file=file 从文件读取访问控制列表条目并删除
  -b, --remove-all 删除所有扩展访问控制列表条目
  -k, --remove-default 移除默认访问控制列表
      --set=acl 设定替换当前的文件访问控制列表
      --set-file=file 从文件中读取访问控制列表条目设定
      --mask 重新计算有效权限掩码
  -n, --no-mask 不重新计算有效权限掩码
  -d, --default 应用到默认访问控制列表的操作
  -R, --recursive 递归操作子目录
  -L, --logical 依照系统逻辑，跟随符号链接
  -P, --physical 依照自然逻辑，不跟随符号链接
      --restore=file 恢复访问控制列表，和“getfacl -R”作用相反
      --test 测试模式，并不真正修改访问控制列表属性
  -v, --version           显示版本并退出
  -h, --help              显示本帮助信息

5、查询ACL
　　getfacl 2.2.51 -- 获取文件访问控制列表

使用方法: getfacl  [-aceEsRLPtpndvh]  文件 ...
  -a,  --access           仅显示文件访问控制列表
  -d, --default           仅显示默认的访问控制列表
  -c, --omit-header     不显示注释表头
  -e, --all-effective     显示所有的有效权限
  -E, --no-effective      显示无效权限
  -s, --skip-base         跳过只有基条目(base entries)的文件
  -R, --recursive         递归显示子目录
  -L, --logical           逻辑遍历(跟随符号链接)
  -P, --physical          物理遍历(不跟随符号链接)
  -t, --tabular           使用制表符分隔的输出格式
  -n, --numeric           显示数字的用户/组标识
  -p, --absolute-names    不去除路径前的 '/' 符号
  -v, --version           显示版本并退出
  -h, --help              显示本帮助信息

　　　　

6、更改 ACL 权限
　　-m 选项其实是在更改文件和目录的 ACL 权限
　　当一个用户或组的 ACL 权限不存在时，-m 选项执行的是添加操作
　　如果一个用户或组的 ACL 权限已经存在时，-m 选项执行的是更新操作。

　　我们重新创建一个  /protected 目录，通过下面的命令设置 xiaohong 用户对它的访问权限：
　　　　setfacl -m u:xiaohong:rwx /protected