Linux权限如何继承？

在Linux系统中，权限管理是保障系统安全的核心机制，默认情况下，新创建的文件或目录不会直接继承父目录的权限，而是通过umask值计算初始权限，若需实现动态权限继承，需借助ACL（访问控制列表） 扩展功能,以下从原理到实践详细说明：

基础权限机制

1. 标准权限模型

   • 三类权限主体：所有者(user)、所属组(group)、其他用户(other)。
   • 权限类型：读(r)、写(w)、执行(x)。
   • 目录权限特殊性：
     • x权限：允许进入目录
     • wx权限：允许在目录内创建/删除文件

2. umask 的作用

   • 定义初始权限掩码（默认值0022），通过减法控制新文件权限：

     文件默认权限 = 666 - umask  # 如 666-022=644 (rw-r--r--)
     目录默认权限 = 777 - umask  # 如 777-022=755 (rwxr-xr-x)

   • 修改 umask：umask 002（临时生效）或写入 ~/.bashrc（永久生效）。

使用 ACL 实现权限继承

ACL 扩展了标准权限模型，支持为多用户/组设置精细权限,并允许权限继承。

步骤 1：启用 ACL 支持

1. 检查文件系统是否支持 ACL
   查看分区挂载选项：

   mount | grep " / "
   # 输出含 "acl" 即已启用（如：/dev/sda1 on / type ext4 (rw,relatime,acl)）

   若未启用，编辑 /etc/fstab 添加 acl 选项：

   /dev/sda1  /  ext4  defaults,acl  0  1

   重新挂载：mount -o remount /

   

2. 安装 ACL 工具

   sudo apt install acl         # Debian/Ubuntu
   sudo yum install acl         # CentOS/RHEL

步骤 2：设置继承权限

1. 为父目录设置默认 ACL
   使用 setfacl 命令的 -d 参数定义继承规则：

   mkdir /shared              # 创建目标目录
   setfacl -d -m u:alice:rwx /shared  # 继承规则：用户 alice 拥有 rwx
   setfacl -d -m g:team:rwx /shared   # 继承规则：组 team 拥有 rwx

   • -d：设置默认 ACL（影响未来新建项）
   • -m：修改 ACL 条目

2. 验证继承效果

   touch /shared/test_file    # 新建文件
   mkdir /shared/test_dir     # 新建子目录
   getfacl /shared/test_file  # 查看继承的 ACL

   输出示例：

   user:alice:rwx            # 生效
   group:team:rwx            # 生效
   mask::rwx
   other::r--

关键场景示例

场景：团队协作目录

• 需求
  目录 /project 下所有新文件自动赋予组 dev_team 读写权限。
• 操作

  sudo chgrp dev_team /project         # 设置目录属组
  sudo chmod g+s /project              # 启用 SGID（确保新建文件属组继承为 dev_team）
  setfacl -d -m g:dev_team:rw /project # 设置默认 ACL

  • SGID 强制新建文件继承父目录属组
  • 默认 ACL 确保组权限始终为 rw

注意事项

1. ACL 优先级
   ACL 条目优先于标准权限，使用 getfacl 查看完整权限，ls -l 仅显示 标志（如 drwxrwxr-x+）。

2. 文件系统兼容性

   

   • 支持 ACL 的文件系统：EXT4、XFS、Btrfs
   • 不支持的文件系统：FAT/exFAT（需手动挂载选项）

3. 备份与恢复
   使用 tar 备份时添加 --acls 参数保留 ACL：

   tar --acls -cvf backup.tar /data

4. 权限冲突解决

   • mask 条目限制最大有效权限（可通过 setfacl -m m::rx /dir 调整）。
   • 删除无效条目：setfacl -x u:olduser /dir。

• 基础权限：依赖 umask 计算初始权限，无动态继承能力。
• 高级继承：通过 ACL 的默认条目实现，需结合 setfacl -d 和 SGID 位。
• 最佳实践：
  1. 关键目录启用 SGID (chmod g+s) 确保属组继承。
  2. 用 ACL 为不同用户/组配置继承规则。
  3. 定期审计权限：getfacl -R /dir > acl_backup.txt。

引用说明：

• Linux 手册页：man acl, man setfacl, man umask
• 文件系统标准：Filesystem Hierarchy Standard (FHS) 3.0
• 权威指南：《Linux System Administration》 (O’Reilly)
• 内核文档：https://www.kernel.org/doc/html/latest/filesystems/acl.html