一、ACLs对文件的访问权限进行精细化控制

ACL可以对特定用户和组进行权限设置；

getfacl查看文件的ACL

setfacl修改用户对文件的访问权限：
[root@linuxidc tmp]# setfacl -m u:RedHat:r-x a1
[root@linuxidc tmp]# getfacl a1
# file: a1
# owner: root
# group: root
user::-wx
user:redhat:r-x
group::-w-
mask::rwx
other::--x

取消用户的访问权限：

[root@linuxidc tmp]# setfacl -x u:redhat a1

setfacl如果不指明用户，则默认为对用户设权限，不针对任何用户：

设置mask值，可以屏蔽所有已经设置ACL的用户的权限，只需要重新给用户设置ACL，mask权限即可取消：
[tom@linuxidc tmp]$ setfacl -m m::r a1
setfacl: a1: Operation not permitted
[root@linuxidc tmp]# setfacl -m m::r a1
[root@linuxidc tmp]# getfacl a1
# file: a1
# owner: root
# group: root
user::-wx
group::-w-#effective:---
mask::r--
other::--x

[root@linuxidc tmp]# getfacl passwd 
# file: passwd
# owner: root
# group: root
user::rwx
user:tom:rwx#effective:r-x
group::r--
mask::r-x
other::r-x
[root@linuxidc tmp]# setfacl -m u:tom:rwx passwd 
[root@linuxidc tmp]# getfacl 
Usage: getfacl [-aceEsRLPtpndvh] file ...
Try `getfacl --help' for more information.
[root@linuxidc tmp]# getfacl passwd 
# file: passwd
# owner: root
# group: root
user::rwx
user:tom:rwx
group::r--
mask::rwx
other::r-x

给组设置ACL:

[root@linuxidc tmp]# setfacl -m g:redhat:rwx passwd 
[root@linuxidc tmp]# getfacl passwd 
# file: passwd
# owner: root
# group: root
user::rw-
group::r--
group:redhat:rwx
mask::rwx
other::r--

给other设置ACL：

[root@linuxidc tmp]# setfacl -m o::r-x passwd 
[root@linuxidc tmp]# getfacl passwd 
# file: passwd
# owner: root
# group: root
user::rw-
group::r--
group:redhat:rwx
mask::rwx
other::r-x

让用户在目录中新创建的文件都有默认的权限：
[root@linuxidc tmp]# setfacl -m d:u:redhat:rwx xx/
[root@linuxidc tmp]# cd xx
[root@linuxidc xx]# touch cc
[root@linuxidc xx]# getfacl cc
# file: cc
# owner: root
# group: root
user::rw-
user:redhat:rwx#effective:rw-
group::r-x#effective:r--
mask::rw-
other::r--