Centos getfacl命令详解（手把手教你查看和理解Linux ACL权限）

什么是ACL？

传统Linux权限只能为文件所有者、所属组和其他用户分别设置读（r）、写（w）、执行（x）权限。但当需要给某个非所有者、非组成员的用户单独授权时，传统权限就无能为力了。

ACL解决了这个问题——它允许你为任意用户或组设置独立的权限，而不影响原有权限结构。这在多用户协作、共享目录等场景中非常实用。

getfacl命令的作用

getfacl 是“get file access control list”的缩写，用于显示文件或目录的ACL权限信息。它是 setfacl（设置ACL）的“查看”搭档。

基本语法

getfacl [选项] 文件或目录

实战：查看ACL权限

假设我们有一个名为 /shared/project 的目录，想查看它的ACL设置：

getfacl /shared/project

输出可能如下：

# file: shared/project# owner: root# group: developersuser::rwxuser:alice:r-xgroup::r-xmask::rwxgroup:sales:r--other::---

输出字段解释：

• file: 表示目标文件或目录路径。
• owner / group: 文件的所有者和所属组。
• user::rwx: 所有者的权限（等同于传统权限中的 user）。
• user:alice:r-x: 为用户 alice 单独设置的权限（只读+执行）。
• group::r-x: 所属组的默认权限。
• group:sales:r--: 为 sales 组设置的只读权限。
• mask::rwx: ACL掩码，限制所有命名用户/组的最大有效权限（实际生效权限 = 设置权限 & mask）。
• other::---: 其他用户的权限（即非所有者、非组成员、未在ACL中指定的用户）。

常见用法示例

1. 查看单个文件的ACL

getfacl report.txt

2. 递归查看目录及其子文件/子目录的ACL

getfacl -R /shared/docs

注意：-R 表示递归，适用于整个目录树。

3. 以精简格式输出（适合脚本处理）

getfacl -c /shared/project

-c 选项会省略注释行（如 # file:, # owner: 等），只保留权限条目。

注意事项

• 文件系统必须支持ACL（如 ext4、xfs）。大多数现代Centos系统默认启用。
• 如果文件没有设置额外ACL，getfacl 仍会显示基础权限（等同于 ls -l 的结果）。
• 修改ACL需使用 setfacl 命令，本文仅聚焦于 Centos getfacl命令 的查看功能。

总结

掌握 getfacl命令 是进行 Linux文件权限管理 的重要一步。通过它，你可以清晰地看到谁对文件或目录拥有何种权限，尤其在排查权限问题或审计安全策略时非常有用。本文作为一份面向初学者的 Centos ACL教程，希望帮助你轻松上手ACL权限查看。

记住：权限管理是系统安全的基石，合理使用ACL能让你的Centos服务器更安全、更灵活！