文档归属的局限性

   - 任何人只属于三种角色：属主  属组 其他人

   - 无法实现更精细的控制

 acl访问策略

  - 能够对个别用户个别组设置独立的权限

  - 大多数挂载ext3/4,xfs文件系统默认已支持

Usage: setfacl [-bkndRLP] { -m|-M|-x|-X ... } file ...
       setfacl [选项] u:用户名:权限 文件
       setfacl [选项] g:组名:权限 文件
常用命令选项
    -m 定义一条acl策略
    -x 清除指定的acl策略
    -b 清楚所有已设置的acl策略
    -R 递归设置acl策略


创建 一个目录，用普通用户查看显示权限拒绝
[xp@test3 ~]$ cd /xp
-bash: cd: /xp: Permission denied
[xp@test3 ~]$ 


修改权限
[root@test3 ~]# ll /xp -d
drwx------ 2 root root 6 Jun 15 22:45 /xp
[root@test3 ~]# setfacl -m u:xp:rx /xp
[root@test3 ~]# ll /xp -d
drwxr-x---+ 2 root root 6 Jun 15 22:45 /xp

此时xp用户就能进入了
[xp@test3 ~]$ cd /xp
-bash: cd: /xp: Permission denied
[xp@test3 ~]$ cd /xp
[xp@test3 xp]$ 

[xp@test3 xp]$ getfacl /xp
getfacl: Removing leading '/' from absolute path names
# file: xp
# owner: root
# group: root
user::rwx
user:xp:r-x
group::---
mask::r-x
other::---



删除刚刚添加的权限
[root@test3 ~]# setfacl -x u:xp /xp
[root@test3 ~]# 


验证
[xp@test3 ~]$ cd /xp
-bash: cd: /xp: Permission denied
[xp@test3 ~]$ 


清楚这个目录的所有acl策略
[root@test3 ~]# setfacl -b /xp/

单独拒绝一个用户不让他访问
[root@test3 ~]# setfacl -m u:xp:---  /xp/
[root@test3 ~]#


递归设置acl策略
[root@test3 ~]# setfacl -Rm u:xp:rx /xp