Linux权限控制实践：使用setfacl实现细粒度文件访问控制

在Linux系统中，传统的ACL（访问控制列表）机制为文件和目录提供了比标准Unix权限模型更细粒度的访问控制能力。本文将通过具体案例演示如何使用setfacl命令实现精细化的文件访问控制。

基础概念

setfacl是Linux中用于设置文件和目录访问控制列表的工具，它允许为特定用户或组设置独立的权限，而不影响文件的所有者和所属组。这对于多用户环境下的安全控制至关重要。

实际案例：开发团队文件访问控制

假设我们有一个开发项目目录/opt/project，需要实现以下访问控制需求：

1. 项目所有者root拥有完全控制权限
2. 开发人员user1和user2可以读写文件
3. 测试人员group1只能读取文件
4. 其他用户无任何权限

配置步骤

# 创建测试目录并设置基础权限
mkdir -p /opt/project
chown root:root /opt/project
chmod 750 /opt/project

# 为特定用户设置读写权限
setfacl -m u:user1:rwx /opt/project
setfacl -m u:user2:rwx /opt/project

# 为组设置只读权限
setfacl -m g:group1:rx /opt/project

# 验证ACL设置
getfacl /opt/project

高级用法示例

对于文件的细粒度控制，可以针对单个文件进行配置：

# 为特定文件设置用户权限
setfacl -m u:user1:rw /opt/project/config.conf

# 设置默认ACL（继承）
setfacl -d -m g:group1:rx /opt/project

安全建议

1. 定期审查ACL设置，避免权限过度分配
2. 使用--preserve-root选项防止意外修改根目录
3. 结合其他安全机制如SELinux或AppArmor形成纵深防御

通过setfacl实现的细粒度访问控制，能够有效满足复杂环境下的权限管理需求，为Linux系统安全提供重要保障。