需依次检查文件系统默认挂载选项是否含acl、当前挂载参数是否含acl,二者缺一不可;不支持时可临时remount -o acl或永久修改fstab添加acl选项。
怎么确认系统和文件系统支持ACL
大多数现代 Linux 发行版默认启用 ACL,但不是所有挂载点都自动开启——尤其是你手动挂载的分区或旧磁盘。不检查就直接 setfacl,很可能报错“Operation not supported”或者静默失败(权限没生效)。
- 先看文件系统是否在格式化时启用了 ACL:
sudo dumpe2fs -h /dev/sda1 | grep "Default mount options",输出里要有acl - 再看当前挂载是否实际启用了:
mount | grep "$(df . | tail -1 | awk '{print $1}')",确认选项含acl(比如rw,relatime,acl) - 如果不支持,临时启用:
sudo mount -o remount,acl /;永久生效需改/etc/fstab,在对应行的挂载选项里加acl,例如:UUID=xxx / ext4 defaults,acl 0 1
setfacl 命令怎么用才不踩坑
setfacl 看似简单,但参数顺序、用户/组写法、权限位含义一错,权限就白设。最常见的是:设了权限却进不去目录、写不了文件,或者权限被 mask 截断。
- 给用户加读写执行权限:
setfacl -m u:username:rwx /path;注意u:后面是用户名,不是 UID 数字 - 给组设权限:
setfacl -m g:groupname:rx /path;组名必须真实存在(getent group groupname可验证) - 设完后一定要看
getfacl /path,别只信ls -l——后者只显示基础三段权限 + 末尾一个+,实际权限以getfacl输出为准 - 特别注意
mask行:它才是用户最终能拿到的最大权限。比如你设了u:alice:rw-,但mask::r--,那 alice 实际只有读权限。可手动收紧:setfacl -m m:r-- /path
目录继承权限(默认 ACL)为什么经常失效
想让新创建的文件自动继承某用户的读写权限?得用 -d(default)参数,但很多人漏掉它,结果只对现有文件生效,新文件还是老样子。
- 正确设置默认 ACL:
setfacl -m d:u:username:rwx /dir;d:必须紧挨着u:或g:,不能写成-d u:...(那是错的) - 默认 ACL 只影响新创建的子项,不影响已有内容;已有内容要用
-R单独处理:setfacl -R -m u:username:rx /dir - 目录本身也要有执行权限(
x),否则用户连不进去,更别说继承了 —— 检查ls -ld /dir,确保 owner/group/others 至少有一组带x - 如果子目录里还有子目录,且你想递归应用默认 ACL,得逐层设,
-d不自动向下传播
删 ACL 权限时容易误操作的地方
ACL 权限不像普通权限那样“覆盖即清”,删错可能留尾巴,或误删整棵树的权限。
- 只删某个用户:
setfacl -x u:username /path;别用-b,它会清空所有扩展 ACL(包括其他用户、组的设置) - 删默认 ACL(即
d:u:...那些):setfacl -k /path;-k和-b完全不同,别混用 - 递归删除要加
-R,但慎用:setfacl -R -b /path会把整个目录树所有扩展 ACL 全干掉,包括你可能忘了的生产配置 - 删之前建议先备份:
getfacl -R /path > acl-backup.txt;恢复用:setfacl --restore=acl-backup.txt
ACL 的核心复杂点不在命令本身,而在于它和传统 UGO 权限、mask、默认继承三者之间的交互动态。一次设置后不验证 getfacl 输出,几乎等于没设。
