Linux 命令:getfacl
Linux 命令:getfacl
getfacl 是 Linux 中查看文件/目录扩展访问控制列表(ACL)的专用命令,与 setfacl 配套使用,核心作用是读取并展示文件/目录的完整ACL权限配置,包括用户自定义ACL规则、默认ACL规则、传统u/g/o权限映射等所有权限相关信息,解决了传统ls -l无法查看完整ACL权限的问题,是Linux精细化权限管理中「配置-查看-验证-备份」流程的核心工具。
资料合集:https://pan.quark.cn/s/6fe3007c3e95、https://pan.quark.cn/s/561de99256a5、https://pan.quark.cn/s/985f55b13d94、https://pan.quark.cn/s/d0fb20abd19a
核心背景
Linux传统权限查看命令ls -l仅能识别ACL权限的存在(权限列末尾的+号),但无法展示具体的ACL规则(如哪个用户/组拥有何种自定义权限、目录是否配置默认继承规则)。而ACL权限作为传统u/g/o权限的扩展,包含**用户ACL、组ACL、默认ACL、掩码(mask)**等多个维度的配置,需要专用工具才能完整查看。
getfacl正是为满足这一需求设计,它能精准解析并输出文件/目录的所有ACL相关信息,清晰展示每一条自定义权限规则、默认继承规则,同时映射传统u/g/o权限到ACL体系中,让运维人员直观验证setfacl的配置结果、排查权限分配问题,是ACL权限管理中不可或缺的查看工具。
核心特点
- 完整展示ACL信息:一次性输出用户ACL、组ACL、默认ACL、掩码、传统权限映射等所有ACL相关配置,无信息遗漏;
- 与setfacl无缝兼容:精准识别
setfacl配置的所有规则,包括递归配置、默认规则、数字/字符权限配置; - 格式清晰规范:输出结果按固定格式分类展示,字段明确,易读易解析,支持直接导出为备份文件;
- 支持批量查看:可同时查看多个文件/目录的ACL权限,支持通配符匹配,适配批量权限验证;
- 保留原始配置:输出结果完全保留ACL的原始配置规则,无格式转换,可直接用于ACL权限恢复;
- 轻量高效:语法极简,无复杂参数,快速读取并展示权限信息,适配日常权限排查与验证。
基本语法
getfacl 语法极其简洁,无冗余选项,核心支持单文件/目录、多文件/目录、通配符匹配三种用法,直接执行即可输出完整ACL权限信息,是Linux中少有的「零学习成本」命令:
# 基础用法:查看单个文件/目录的ACL权限 getfacl 文件/目录 # 批量用法:查看多个文件/目录的ACL权限 getfacl 文件1 目录1 文件2 目录2 # 通配符用法:查看匹配规则的所有文件/目录的ACL权限 getfacl 通配符表达式 核心输出格式说明
getfacl的输出结果按传统权限映射、自定义ACL规则、默认ACL规则分类,字段以key: value格式展示,核心字段含义明确,所有配置一目了然,典型输出格式如下:
# file: test.txt # 目标文件/目录名# owner: root # 传统权限-所有者# group: root # 传统权限-所属组 user::rw- # 所有者的ACL权限(对应传统u权限) user:tom:rw- # 自定义用户ACL规则:用户tom拥有rw权限 group::r-- # 所属组的ACL权限(对应传统g权限) group:dev:rwx # 自定义组ACL规则:组dev拥有rwx权限 mask::rwx # ACL掩码:限制自定义用户/组的最大有效权限 other::r-- # 其他用户的ACL权限(对应传统o权限)若目录配置了默认ACL规则,会在输出结果末尾增加default:开头的规则段,供新创建的子文件/目录自动继承:
default:user::rwx # 默认-所有者权限 default:user:tom:rx- # 默认-自定义用户tom的权限 default:group::r-x # 默认-所属组权限 default:group:dev:rwx # 默认-自定义组dev的权限 default:mask::rwx # 默认-ACL掩码 default:other::--- # 默认-其他用户权限常用选项
getfacl 主打「轻量、简洁、高效」,仅提供少量实用选项,围绕输出格式、信息过滤、备份导出设计,日常使用掌握4个核心选项即可覆盖99%的权限查看、备份场景,无冗余功能,易记易用:
| 选项 | 核心作用 | 实用场景 |
|---|---|---|
-a | 仅显示访问ACL规则(默认行为,可省略) | 常规权限查看,无需显示默认ACL规则时使用 |
-d | 仅显示默认ACL规则 | 单独验证目录的默认继承规则配置,排查新文件权限继承问题 |
-p | 忽略输出结果中的注释行(#开头的行) | 导出ACL权限为备份文件时使用,减少冗余信息,便于恢复 |
-R | 递归查看目录及其下所有子文件/子目录的ACL权限 | 批量验证目录的递归ACL配置结果,排查子文件权限不匹配问题 |
-t | 以简洁格式输出ACL信息,合并重复字段 | 快速查看核心权限规则,减少输出冗余,适配终端快速排查 |
关键默认行为
getfacl默认执行-a选项,即仅显示访问ACL规则,若需查看默认ACL规则,需显式指定-d;- 输出结果默认包含注释行(#file、#owner、#group),便于识别目标对象,导出备份时可通过
-p忽略; - 对目录执行时,若配置了默认ACL规则,会同时显示访问ACL和默认ACL(需无
-a限制)。
经典实操示例
getfacl 的使用场景集中在ACL权限查看、配置验证、规则排查、权限备份四大核心场景,所有示例均与setfacl联动,贴合真实的精细化权限管理场景,可直接复用。
前置准备
- 用
setfacl配置测试ACL权限,为后续查看做准备; - 用
ls -l确认目标对象是否存在ACL权限(权限列末尾+号);
# 配置测试ACL:给tom配rw,给dev配rwx,为目录配置默认ACLtouch test.txt &&mkdir test_dir setfacl u:tom:rw g:dev:rwx test.txt setfacl -R -d u:tom:rx g:dev:rwx test_dir # 确认ACL存在ls -l test.txt test_dir # 输出示例:-rw-rw-r--+ 1 root root 0 月 日 时:分 test.txt场景1:基础用法——查看单个文件/目录的完整ACL权限
直接执行getfacl,查看目标对象的所有ACL权限信息,包括传统权限映射、自定义ACL规则,是最常用的基础操作:
# 查看文件test.txt的ACL权限 getfacl test.txt # 查看目录test_dir的ACL权限(含访问ACL+默认ACL) getfacl test_dir 输出说明:会清晰展示所有者、所属组、自定义用户/组规则、掩码、其他用户权限,目录还会展示default:开头的默认规则。
场景2:精准查看——仅显示默认ACL规则
通过-d选项,单独查看目录的默认ACL规则,无需显示访问ACL规则,适配排查新文件权限继承问题的场景:
# 仅查看test_dir的默认ACL规则,忽略访问ACL规则 getfacl -d test_dir 输出说明:仅显示default:开头的规则段,清晰验证目录的默认继承配置是否正确。
场景3:简洁查看——忽略注释行+简洁格式
通过-p(忽略注释行)+-t(简洁格式)组合,输出无冗余、高浓缩的ACL权限信息,适配终端快速排查、脚本解析的场景:
# 简洁查看test.txt的ACL权限,无注释行、合并重复字段 getfacl -p -t test.txt 输出说明:仅保留核心权限规则,无#开头的注释行,字段格式更简洁,便于快速抓取关键信息。
场景4:批量查看——递归查看目录所有子文件的ACL权限
通过-R选项,递归查看目录及其下所有子文件/子目录的ACL权限,适配验证setfacl -R递归配置的结果,排查子文件权限不匹配问题:
# 在test_dir内创建子文件/子目录,用于递归查看touch test_dir/sub.txt &&mkdir test_dir/sub_dir # 递归查看test_dir及其下所有子对象的ACL权限 getfacl -R test_dir 输出说明:会依次输出目录本身、子文件、子目录的ACL权限,清晰验证递归配置的权限是否全部生效。
场景5:批量匹配——查看通配符匹配的所有对象的ACL权限
支持通配符*/?,批量查看匹配规则的所有文件/目录的ACL权限,适配批量验证同类型文件的权限配置:
# 查看当前目录下所有txt文件的ACL权限 getfacl *.txt # 查看当前目录下所有以test开头的对象的ACL权限 getfacl test* 场景6:配置验证——核对setfacl的配置结果
这是getfacl最核心的日常用法:通过getfacl查看ACL权限,核对与setfacl的配置是否一致,验证权限是否成功生效,排查配置错误:
# 原配置:给tom配rw,给dev配rwx setfacl u:tom:rw g:dev:rwx test.txt # 验证配置结果:核对是否存在user:tom:rw-、group:dev:rwx规则 getfacl test.txt 排查要点:若规则未显示,说明setfacl配置失败,需检查文件系统是否支持ACL、命令语法是否正确。
场景7:权限备份——导出ACL权限为文本文件
getfacl的输出结果可直接通过重定向>导出为文本文件,作为ACL权限的备份文件,适配服务器迁移、权限恢复、配置备份的场景,这是Linux运维的标准操作:
# 导出test_dir的ACL权限为备份文件(-p忽略注释行,减少冗余) getfacl -p -R test_dir > acl_backup.txt # 查看备份文件内容cat acl_backup.txt 备份文件特性:保留完整的ACL规则,格式与setfacl --restore的恢复格式完全兼容,可直接用于权限恢复。
场景8:对比排查——对比两个文件的ACL权限差异
通过getfacl分别查看两个文件的ACL权限,配合diff命令对比差异,排查权限分配不一致的问题:
# 查看两个文件的ACL权限并导出为临时文件 getfacl -p test1.txt > acl1.txt getfacl -p test2.txt > acl2.txt # 对比两个临时文件的差异,排查权限不一致问题diff acl1.txt acl2.txt 输出说明:会清晰标注出两个文件的ACL规则差异点,快速定位权限配置问题。
高频组合用法
getfacl 常与setfacl(配置ACL)、ls -l(识别ACL存在)、diff(对比权限差异)、chmod/chown(传统权限管理)搭配,形成Linux精细化权限管理的完整流程,覆盖「配置-查看-验证-备份-恢复-排查」所有环节,是多用户服务器、开发/测试环境的标准操作组合。
组合1:ACL权限「配置-查看-验证」闭环
这是最基础、最常用的组合,完成ACL权限配置后的必做操作,确保权限按预期生效:
# 步骤1:用setfacl配置ACL权限(递归+默认规则) setfacl -R -d u:tom:rx g:dev:rwx /data/code # 步骤2:用ls -l确认ACL权限存在(权限列+号)ls -l /data/code # 步骤3:用getfacl验证配置结果,核对所有规则 getfacl -R /data/code # 步骤4:测试权限(用tom用户访问,验证是否生效)su - tom -c "ls /data/code && touch /data/code/test.txt"组合2:ACL权限「备份-恢复」完整流程
通过getfacl导出备份、setfacl --restore导入恢复,实现ACL权限的完整备份与恢复,适配服务器迁移、权限丢失场景:
# 步骤1:备份目标目录的ACL权限(-R递归,-p忽略注释行) getfacl -R -p /data/code > /backup/acl_code_backup.txt # 步骤2:模拟权限丢失(清空ACL权限) setfacl -R -b /data/code # 步骤3:从备份文件恢复ACL权限(--restore指定备份文件) setfacl --restore=/backup/acl_code_backup.txt # 步骤4:验证恢复结果 getfacl -R /data/code 组合3:传统权限+ACL权限综合核对
配合ls -l查看传统u/g/o权限,用getfacl查看ACL精细化权限,综合核对文件/目录的所有权限配置,避免权限冲突:
# 步骤1:查看传统u/g/o权限ls -l /data/file.txt # 步骤2:查看ACL精细化权限 getfacl /data/file.txt # 步骤3:综合核对:确认ACL权限不与传统权限冲突,掩码配置合理组合4:批量排查目录下的ACL权限异常
通过find命令递归查找目录下所有配置了ACL权限的文件,配合getfacl批量查看,排查权限异常问题:
# 递归查找/data目录下所有带ACL权限的文件(ls -l | grep +)find /data -type f -exec sh -c 'ls -l {} | grep -q "+" && getfacl -p {}'\;输出说明:仅显示/data目录下配置了ACL权限的文件的核心权限规则,快速定位权限异常的文件。
与ls -l的核心区别
getfacl 与ls -l均为Linux权限查看工具,但二者的功能定位、查看范围、适用场景完全不同,ls -l是传统权限的「快速识别工具」,getfacl是ACL权限的「完整解析工具」,二者互补,缺一不可,核心区别如下:
| 命令 | 功能定位 | 查看范围 | 核心能力 | 识别ACL标识 | 适用场景 |
|---|---|---|---|---|---|
| ls -l | 传统权限查看工具 | 仅能查看传统u/g/o权限(所有者、所属组、其他用户) | 快速识别文件类型、传统权限、所有者、大小等基础信息 | 权限列末尾+号,表示存在ACL权限 | 快速查看基础权限、识别ACL权限是否存在 |
| getfacl | ACL权限专用查看工具 | 完整查看传统权限映射+所有ACL规则(用户ACL、组ACL、默认ACL、掩码) | 解析并展示所有ACL配置,支持递归、批量、导出备份 | 无额外标识,直接展示ACL规则详情 | 验证ACL配置结果、排查权限问题、备份ACL权限 |
权限查看原则
- 快速识别:用
ls -l快速查看传统权限,并判断是否存在ACL权限(+号); - 详细解析:若存在ACL权限,用
getfacl查看完整的ACL规则,做进一步的配置验证与问题排查; - 综合核对:结合
ls -l和getfacl,综合判断文件/目录的所有权限配置,避免权限冲突。
关键注意事项
- 仅能查看已配置的ACL权限:若目标对象无ACL权限,getfacl会仅展示传统权限的ACL映射规则(user::、group::、other::),无自定义规则;
- 目录默认ACL规则仅对目录生效:
-d选项仅对配置了默认ACL的目录有效,对文件或无默认ACL的目录执行会提示「无默认ACL」; - 输出结果的权限位含义:ACL权限的输出位为三位(如rw-、rwx),第三位为执行权限,与传统权限的rwx定义完全一致;
- 掩码(mask)的作用:mask字段限制自定义用户/组的最大有效权限,若自定义规则的权限超出mask,会以mask为准;
- 无权限查看的情况:若当前用户无访问目标文件/目录的权限,getfacl会提示「权限拒绝」,需切换为root或拥有权限的用户;
- 备份文件的规范性:导出ACL备份时,建议添加
-p(忽略注释行)和-R(递归)选项,让备份文件格式更规范,便于后续恢复; - 与setfacl的版本兼容:getfacl的输出格式与setfacl的恢复格式完全兼容,不同Linux发行版间无格式差异,可跨服务器备份恢复。
总结
getfacl 是 Linux 中ACL权限管理的专用查看工具,与setfacl并称ACL权限管理的「黄金搭档」,核心价值是完整解析并展示文件/目录的所有ACL权限配置,解决了传统ls -l无法查看ACL详情的问题,是精细化权限管理中「配置验证、问题排查、权限备份」的核心工具,核心要点可总结为:
- 核心功能:查看传统权限的ACL映射、自定义用户/组ACL规则、目录默认ACL规则,支持递归、批量、导出备份,与setfacl无缝兼容;
- 最常用法:直接执行
getfacl 目标查看完整ACL、-d仅看默认ACL、-R递归查看、-p忽略注释行用于备份; - 输出格式:按固定分类展示,字段明确,包含访问ACL、默认ACL(目录)、掩码等所有信息,可直接导出为备份文件;
- 工具互补:与
ls -l(快速识别)、setfacl(配置)、diff(对比)搭配,形成完整的权限管理流程; - 实用原则:配置ACL后必用getfacl验证、重要权限必用getfacl备份、权限异常必用getfacl排查。
