当前位置:首页 > Linux > 正文

Linux权限如何继承?

在Linux中,权限继承主要通过设置目录的setgid位和ACL规则实现,setgid(chmod g+s)使子文件/目录继承父目录的属组,配合默认ACL(setfacl -d)可定制继承权限规则,确保新创建内容自动获得预设权限。

在Linux系统中,权限管理是保障系统安全的核心机制,默认情况下,新创建的文件或目录不会直接继承父目录的权限,而是通过umask值计算初始权限,若需实现动态权限继承,需借助ACL(访问控制列表) 扩展功能,以下从原理到实践详细说明:

基础权限机制

  1. 标准权限模型

    • 三类权限主体:所有者(user)所属组(group)其他用户(other)
    • 权限类型:读(r)写(w)执行(x)
    • 目录权限特殊性:
      • x权限:允许进入目录
      • wx权限:允许在目录内创建/删除文件

  2. umask 的作用

    • 定义初始权限掩码(默认值0022),通过减法控制新文件权限: 
      文件默认权限 = 666 - umask  # 如 666-022=644 (rw-r--r--)
目录默认权限 = 777 - umask  # 如 777-022=755 (rwxr-xr-x)
    • 修改 umask:umask 002(临时生效)或写入 ~/.bashrc(永久生效)。

使用 ACL 实现权限继承

ACL 扩展了标准权限模型,支持为多用户/组设置精细权限,并允许权限继承。

步骤 1:启用 ACL 支持

  1. 检查文件系统是否支持 ACL
    查看分区挂载选项:

    Linux权限如何继承? 第1张

    mount | grep " / "
# 输出含 "acl" 即已启用(如:/dev/sda1 on / type ext4 (rw,relatime,acl))

    若未启用,编辑 /etc/fstab 添加 acl 选项:

    /dev/sda1  /  ext4  defaults,acl  0  1

    重新挂载:mount -o remount /

  2. 安装 ACL 工具 

    sudo apt install acl         # Debian/Ubuntu
sudo yum install acl         # CentOS/RHEL

步骤 2:设置继承权限

  1. 为父目录设置默认 ACL
    使用 setfacl 命令的 -d 参数定义继承规则:

    Linux权限如何继承? 第2张

    mkdir /shared              # 创建目标目录
setfacl -d -m u:alice:rwx /shared  # 继承规则:用户 alice 拥有 rwx
setfacl -d -m g:team:rwx /shared   # 继承规则:组 team 拥有 rwx
    • -d:设置默认 ACL(影响未来新建项)
    • -m:修改 ACL 条目

  2. 验证继承效果 

    touch /shared/test_file    # 新建文件
mkdir /shared/test_dir     # 新建子目录
getfacl /shared/test_file  # 查看继承的 ACL

    输出示例:

    user:alice:rwx            # 生效
group:team:rwx            # 生效
mask::rwx
other::r--

关键场景示例

场景:团队协作目录

  • 需求
    目录 /project 下所有新文件自动赋予组 dev_team 读写权限。
  • 操作 
    sudo chgrp dev_team /project         # 设置目录属组
sudo chmod g+s /project              # 启用 SGID(确保新建文件属组继承为 dev_team)
setfacl -d -m g:dev_team:rw /project # 设置默认 ACL
    • SGID 强制新建文件继承父目录属组
    • 默认 ACL 确保组权限始终为 rw

注意事项

  1. ACL 优先级
    ACL 条目优先于标准权限,使用 getfacl 查看完整权限,ls -l 仅显示 标志(如 drwxrwxr-x+)。

  2. 文件系统兼容性

    Linux权限如何继承? 第3张

    • 支持 ACL 的文件系统:EXT4、XFS、Btrfs
    • 不支持的文件系统:FAT/exFAT(需手动挂载选项)

  3. 备份与恢复
    使用 tar 备份时添加 --acls 参数保留 ACL: 

    tar --acls -cvf backup.tar /data

  4. 权限冲突解决

    • mask 条目限制最大有效权限(可通过 setfacl -m m::rx /dir 调整)。
    • 删除无效条目:setfacl -x u:olduser /dir
  • 基础权限:依赖 umask 计算初始权限,无动态继承能力。
  • 高级继承:通过 ACL 的默认条目实现,需结合 setfacl -d 和 SGID 位。
  • 最佳实践
    1. 关键目录启用 SGID (chmod g+s) 确保属组继承。
    2. 用 ACL 为不同用户/组配置继承规则。
    3. 定期审计权限:getfacl -R /dir > acl_backup.txt

引用说明

  • Linux 手册页:man acl, man setfacl, man umask
  • 文件系统标准:Filesystem Hierarchy Standard (FHS) 3.0
  • 权威指南:《Linux System Administration》 (O’Reilly)
  • 内核文档:https://www.kernel.org/doc/html/latest/filesystems/acl.html
Linux ACLLinux权限权限继承
0

相关文章