深入理解 Linux 文件权限：从 ACL 到扩展属性，解剖底层技术细节与命令应用

Linux 以其强大而精密的文件权限和属性管理机制著称，这一体系不仅是系统安全的关键基石，还为灵活性和扩展性提供了坚实支撑。从传统的九位权限模型到访问控制列表（ACL）、扩展文件属性（Extended Attributes）以及文件属性，Linux 在内核与文件系统层面的协同设计，构建了一个层次分明且功能丰富的权限管理框架。本文将深入剖析这些机制的底层实现原理，详细阐述相关查看与设置命令的使用方法，帮助读者全面理解其技术本质与操作细节。

一、传统文件权限的原理与命令应用

1.1 底层原理

Linux 的传统文件权限遵循 POSIX 标准，通过九位权限位（rwxrwxrwx）定义访问控制：

读（r）：允许读取文件内容或列出目录条目。
写（w）：允许修改文件内容或增删目录中的条目。
执行（x）：允许运行可执行文件或进入目录。

这些权限信息存储在文件系统的 inode（索引节点）中。每个文件或目录关联一个唯一的 inode，其中的 mode 字段（16 位）承载权限数据，低 12 位具体划分为：

9 位常规权限：按属主（owner）、属组（group）、其他人（others）分组，每组三位（rwx）。
3 位特殊权限：包括 SUID（Set User ID）、SGID（Set Group ID）和 Sticky 位，用于扩展权限行为。

权限与用户身份（UID）和组身份（GID）绑定，分别存储在 inode 的 i_uid 和 i_gid 字段中。内核通过虚拟文件系统（VFS）层执行权限检查，流程如下：

获取调用进程的 有效 UID 和 GID，可能因 SUID 或 SGID 被调整。
从目标文件的 inode 中提取 mode 字段。
依次比对属主、属组和其他人的权限位，判断是否满足操作要求。
若权限不足，返回 EACCES（权限拒绝）错误。

特殊权限的实现依赖内核对进程上下文的动态调整：

SUID：执行时，进程的权限以文件属主的 UID 运行，而非调用者的 UID。
SGID：对目录应用时，新建文件继承目录的 GID；对文件应用时，以属组权限执行。
Sticky：限制非属主用户删除目录中的文件，即使有写权限。

1.2 查看与设置命令

查看权限：ls -l
显示文件的权限、属主和属组信息：
```
ls -l script.sh
-rwxr-xr-x 1 alice users 1024 Mar 1 14:30 script.sh
```
- -rwxr-xr-x：属主 rwx（7），属组 r-x（5），其他 r-x（5），八进制为 0755。
- alice 和 users 分别对应 UID 和 GID 的符号表示。

查看详细信息：stat
提供 inode 的完整元数据：

stat script.sh
# 输出（部分）：
Access: (0755/-rwxr-xr-x)  Uid: (1000/alice)   Gid: (100/users)

设置权限：chmod

符号模式：针对特定用户组调整权限：

chmod u+x script.sh        # 属主添加执行权限
chmod g-w,o-r script.sh    # 组移除写权限，其他移除读权限

八进制模式：一次性设定所有权限：

chmod 644 report.txt       # 属主读写（6），组和其他只读（4）
ls -l report.txt
-rw-r--r-- 1 alice users 0 Mar 1 14:30 report.txt

设置特殊权限：chmod

SUID：

chmod u+s script.sh
ls -l script.sh
-rwsr-xr-x 1 alice users 1024 Mar 1 14:30 script.sh

SGID：

chmod g+s /shared
ls -ld /shared
drwxr-sr-x 2 alice users 4096 Mar 1 14:30 /shared

Sticky：

chmod +t /tmp
ls -ld /tmp
drwxrwxrwt 10 root root 4096 Mar 1 14:30 /tmp

设置属主与组：chown 和 chgrp

修改属主：
```
chown bob script.sh
```
修改属组：
```
chgrp dev script.sh
```

同时修改：

chown bob:dev script.sh
ls -l script.sh
-rwxr-xr-x 1 bob dev 1024 Mar 1 14:30 script.sh

1.3 局限性

传统权限模型的静态设计和粒度不足限制了其在复杂场景下的应用。例如，无法为特定用户单独授权，需依赖组管理，多人协作需频繁调整组，这些局限性增加了操作复杂性和误操作风险。

二、访问控制列表（ACL）的原理与命令应用

2.1 底层原理

访问控制列表（ACL）是对传统权限的扩展，旨在实现更精细的权限控制。其核心数据存储在文件系统的 扩展属性 中，分为两种类型：

访问 ACL：存储于 system.posix_acl_access，定义文件的当前访问权限。
默认 ACL：存储于 system.posix_acl_default，仅适用于目录，控制新建文件或子目录的初始权限。

ACL 的数据结构由多个 ACE（Access Control Entry，访问控制条目） 组成，每个 ACE 包含：

类型：如 ACL_USER（特定用户）、ACL_GROUP（特定组）、ACL_MASK（掩码）。
标识符：关联的 UID 或 GID。
权限：rwx 的位组合。

ACL 的底层实现依赖文件系统的元数据扩展能力。内核通过 VFS 层处理 ACL 的权限检查，具体流程如下：

调用文件系统的 get_acl() 函数，从扩展属性中读取 ACL 数据。
若检测到扩展 ACL，则覆盖传统权限的检查逻辑。
遍历所有 ACE，匹配调用进程的 UID 或 GID，确定适用权限。
掩码（Mask）机制：通过 ACL_MASK 定义扩展条目（除属主和基本组外）的权限上限，确保权限不会超出预期范围。
继承逻辑：当创建新文件时，内核检查父目录的 system.posix_acl_default，并将其复制到新文件的 system.posix_acl_access 中。

ACL 的实现需要文件系统支持（如 ext4、xfs、btrfs），并通过挂载选项 acl 启用，例如在 /etc/fstab 中添加 acl 参数。

2.2 查看与设置命令

查看 ACL：getfacl
用于查看文件的 ACL 配置，返回详细的权限条目：
```
getfacl /projects
# 输出：
# file: projects
# owner: alice
# group: users
user::rwx
user:bob:rwx
user:carol:r--
group::r-x
mask::rwx
other::r-x
```
- 常用选项：
  - -R：递归显示子目录和文件的 ACL。
  - -p：显示绝对路径，避免相对路径歧义。
  - -c：省略注释行（如 # file:），简化输出。

设置 ACL：setfacl

修改权限（-m）：
```
setfacl -m u:bob:rwx,u:carol:r /projects
```
为用户 bob 设置读写执行权限，为 carol 设置只读权限。
设置默认 ACL（-d）：
```
setfacl -d -m u:bob:rwx /projects
```
确保 /projects 下的新建文件自动继承 bob 的 rwx 权限。

调整掩码：

setfacl -m mask:r-- /projects
getfacl /projects
# user:bob:rwx    #effective:r--

掩码将 bob 的实际权限限制为只读。

移除 ACL：

setfacl -x u:carol /projects  # 删除 carol 的 ACL 条目
setfacl -b /projects          # 清除所有 ACL，恢复传统权限

三、扩展属性（Extended Attributes）的原理与命令应用

3.1 底层原理

扩展属性（Extended Attributes，简称 EA）是文件系统提供的元数据扩展机制，以键值对的形式存储附加信息，不影响文件的主要内容。EA 被划分为多个命名空间：

user.：用户自定义属性，普通用户可操作（需启用 user_xattr）。
system.：系统专用属性，如 ACL 数据（system.posix_acl_access）。
security.：安全相关属性，如 SELinux 的上下文。
trusted.：仅 root 可访问的高权限属性。

扩展属性的存储方式因文件系统不同而异：

ext4：小型属性直接嵌入 inode 的额外空间（若启用 inline_xattr），大型属性存储在单独的数据块中，通过 inode 的 i_file_acl 字段引用。
xfs：采用 B+ 树结构管理，支持高效检索和大容量存储。
btrfs：将扩展属性集成到文件系统的键值树中，与其他元数据统一管理。

内核通过系统调用（如 setxattr()、getxattr()、removexattr()）操作扩展属性，VFS 层负责将请求转发到具体的文件系统实现。这些属性的访问受限于文件的所有权和挂载选项（如 user_xattr）。

3.2 查看与设置命令

查看属性：getfattr
用于提取文件的扩展属性：
```
getfattr -d report.pdf
# 输出：
# file: report.pdf
user.description="Project report"
```
- 常用选项：
  - -n <name>：指定查看某个属性，例如 getfattr -n user.description report.pdf。
  - -R：递归查看目录下的所有文件属性。
  - -e hex：以十六进制格式输出原始数据，便于调试。
设置属性：setfattr
- 添加或修改属性：
```
setfattr -n user.description -v "Project report" report.pdf
```
  设置键 user.description 的值为 “Project report”。
- 移除属性：
```
setfattr -x user.description report.pdf
```
  删除指定的扩展属性。

四、文件属性的原理与命令应用

4.1 底层原理

文件属性存储在 inode 的 flags 字段（32 位），为文件操作提供额外的限制或优化。常见的属性包括：

EXT4_IMMUTABLE_FL（i）：表示文件不可改变（immutable），禁止修改内容、删除、重命名或创建硬链接。
EXT4_APPEND_FL（a）：表示文件仅允许追加写入，禁止覆盖现有内容。
EXT4_EXTENTS_FL（e）：表示文件数据使用 extents（连续范围）存储，而非传统的块链表，提升大文件的读写效率。

这些属性的实现依赖内核在文件操作时的检查逻辑：

i 属性：内核拦截 write、unlink、rename、link 等系统调用，返回 EPERM（操作不被允许）。只有 root 或具有 CAP_LINUX_IMMUTABLE 能力的用户可以设置或移除此属性。
a 属性：内核强制文件以追加模式（O_APPEND）打开，阻止覆盖写入操作，常用于日志文件保护。
e 属性：由文件系统（如 ext4）自动管理，标记文件是否使用 extents 存储数据。它与权限无关，仅优化存储结构，无法通过用户命令手动设置或移除。

文件属性的存储和检查完全依赖 inode 的 flags 字段，具体位定义在内核源码（如 fs/ext4/ext4.h）中。这些属性与传统权限和 ACL 独立运行，形成额外的保护层。

4.2 查看与设置命令

查看属性：lsattr
显示文件的属性标志：
```
lsattr /etc/resolv.conf
----i----------- /etc/resolv.conf
```
- 输出解析：i 表示 immutable，- 表示未设置其他属性。
- 常用选项：
  - -R：递归查看目录及其内容的属性。
  - -a：包括隐藏文件（如 . 开头的文件）。
  - -d：仅显示目录自身的属性，而非其内容。

设置属性：chattr

添加属性：

sudo chattr +i /etc/resolv.conf   # 设置不可变属性
sudo chattr +a /var/log/messages  # 设置仅追加属性

检查效果：

echo "test" > /etc/resolv.conf   # 失败：Operation not permitted
echo "test" >> /var/log/messages # 成功，仅追加

移除属性：

sudo chattr -i /etc/resolv.conf   # 移除不可变属性
sudo chattr -a /var/log/messages  # 移除仅追加属性

注意：e 属性无法通过 chattr 设置或移除，它由 ext4 文件系统在创建大文件时自动应用。

五、总结

Linux 文件权限体系通过多层次的设计实现了从基础到高级的管理能力：

传统权限：基于 inode 的 mode 字段，提供静态的权限控制，通过 ls -l 查看，chmod 和 chown 设置。
ACL：利用扩展属性实现动态权限分配，getfacl 查看，setfacl 配置。
扩展属性：为元数据扩展提供基础，getfattr 查看，setfattr 操作。
文件属性：通过 inode 的 flags 字段增加操作限制，lsattr 查看，chattr 设置。

这些机制在内核 VFS 和文件系统的协同下，结合 inode、扩展属性等底层数据结构，形成了 Linux 文件管理的核心框架。