RockyLinux访问控制配置方法（从零开始掌握Linux文件与目录权限管理）

一、理解 RockyLinux 的基础权限模型

RockyLinux 继承了传统的 Unix 权限模型，每个文件或目录都有三类用户角色：

• 所有者（Owner）：创建该文件的用户
• 所属组（Group）：文件所属的用户组
• 其他用户（Others）：既不是所有者也不在所属组中的用户

每类用户可拥有三种权限：

• r（读）：查看文件内容或列出目录内容
• w（写）：修改文件内容或在目录中创建/删除文件
• x（执行）：运行文件（如脚本）或进入目录

二、查看和修改基础权限

使用 ls -l 命令可以查看文件权限：

$ ls -l example.txt-rw-r--r-- 1 user group 0 Apr 10 10:00 example.txt  

上面输出中，-rw-r--r-- 表示：

• 所有者：读+写（rw-）
• 所属组：只读（r--）
• 其他用户：只读（r--）

使用 chmod 修改权限：

# 给所有者添加执行权限$ chmod u+x script.sh# 设置权限为 755（所有者 rwx，组和其他 rx）$ chmod 755 myfile  

使用 chown 和 chgrp 修改所有者和所属组：

# 修改所有者$ sudo chown newuser myfile# 修改所属组$ sudo chgrp newgroup myfile# 同时修改所有者和组$ sudo chown user:group myfile  

三、使用 ACL 实现更精细的访问控制

当基础权限无法满足需求时（例如想给某个特定用户额外权限），可以使用 ACL（Access Control List）。这是 RockyLinux安全配置中的高级功能。

首先，确认文件系统是否支持 ACL（通常 xfs 和 ext4 默认启用）：

$ mount | grep " / "/dev/sda1 on / type xfs (rw,relatime,attr2,inode64,logbufs=8,logbsize=32k,prjquota)  

如果看到 noacl，则需重新挂载启用 ACL。

安装 ACL 工具（如未安装）：

$ sudo dnf install acl -y  

为文件设置 ACL 权限：

# 给用户 alice 添加读写权限$ setfacl -m u:alice:rw myfile.txt# 给组 developers 添加读权限$ setfacl -m g:developers:r myfile.txt  

查看 ACL 设置：

$ getfacl myfile.txt# file: myfile.txt# owner: user# group: groupuser::rw-user:alice:rw-group::r--group:developers:r--mask::rw-other::r--  

删除某条 ACL 规则：

$ setfacl -x u:alice myfile.txt  

四、最佳实践建议

• 遵循“最小权限原则”：只授予用户完成任务所需的最低权限。
• 定期审计权限设置，尤其是关键系统目录和敏感数据文件。
• 在多用户环境中，优先使用组管理 + ACL，避免频繁修改文件所有者。
• 备份重要数据前，检查其权限是否可能影响恢复过程。

结语

通过本教程，你已经掌握了 RockyLinux访问控制 的核心方法，包括基础权限管理和高级 ACL 配置。这些技能不仅能提升你的 Linux权限管理 能力，还能显著增强系统的安全性。记住，良好的权限设计是构建安全可靠 Linux 环境的第一步！

如果你正在部署企业级服务，建议结合 SELinux 或防火墙策略，实现纵深防御体系。更多关于 文件系统ACL 的高级用法，可参考官方文档或社区资源。