转载：

setfacl命令可以用来细分linux下的文件权限。
chmod命令可以把文件权限分为u,g,o三个组，而setfacl可以对每一个文件或目录设置更精确的文件权限。
换句话说，setfacl可以更精确的控制权限的分配。
比如：让某一个用户对某一个文件具有某种权限。

这种独立于传统的u,g,o的rwx权限之外的具体权限设置叫ACL（Access Control List）
ACL可以针对单一用户、单一文件或目录来进行r,w,x的权限控制，对于需要特殊权限的使用状况有一定帮助。
如，某一个文件，不让单一的某个用户访问。


setfacl 参数
-m：设置后续acl参数
-x：删除后续acl参数
-b：删除全部的acl参数
-k：删除默认的acl参数
-R：递归设置acl，包括子目录
-d：设置默认acl
setfacl命令可以识别以下的规则格式：[d[efault]:] [u[ser]:]uid [:perms] 指定用户的权限，文件所有者的权限（如果uid没有指定）。[d[efault]:] g[roup]:gid [:perms] 指定群组的权限，文件所有群组的权限（如果gid未指定）[d[efault]:] m[ask][:] [:perms] 有效权限掩码[d[efault]:] o[ther] [:perms] 其他的权限

来自: http://man.linuxde.net/setfacl
例子：在/mnt 下建立一个test文件 将权限改为777 并查看其ACL设置
[root@yang ~]# cd /mnt
[root@yang mnt]# touch test
[root@yang mnt]# chmod 777 test
[root@yang mnt]# getfacl test
# file: test //文件名
# owner: root //文件所属者
# group: root //文件所属组
user::rwx //文件所属者权限
group::rwx //同组用户权限
other::rwx /其它者权限

现在我们让kiosk用户只有读取的权限

[root@yang mnt]# setfacl -m u:kiosk:r test
[root@yang mnt]# ll test
-rwxrwxrwx+ 1 root root 0 Feb 5 18:22 test //权限的最后多了一个“+”
[root@yang mnt]# getfacl test
# file: test
# owner: root
# group: root
user::rwx
user:kiosk:r-- //kiosk的权限为r
group::rwx
mask::rwx
other::rwx



除了对某个文件的单个用户进行权限设置外，还可以对某个组进行同样的设置：g:[用户组]:[rwx]

还能对有效权限（mask）进行设置：有效权限(mask) 即用户或组所设置的权限必须要存在于mask的权限设置范围内才会生效
如上面的test文件，已经有了可读权限，如果我们把它的有效权限修改为只有写权限，则设置的ACL权限不在有效权限之内，
则用户kiosk就不可能再查看test文件中的内容了
操作： setfacl -m m:w /mnt/test

最后取消ACL权限：
setfacl -x u:kiosk /mnt/test
恢复有效权限：
setfacl -x m /mnt/test

此文章转载于http://blog.csdn.net/qwq_qaq/article/details/54882203