使用访问控制列表保护 UFS 文件

传统的 UNIX 文件保护可为以下三类用户提供读写和执行权限：文件所有者、文件组和其他用户。在 UFS 文件系统中，访问控制列表 (access control list, ACL) 通过允许您执行以下操作来提供更好的文件安全性：

• 为文件所有者、组、其他用户、特定用户和特定组定义文件权限

• 为上面的每一种类别定义缺省权限

例如，如果想要组中的每个用户都能够读取某文件，则只需要授予该组对该文件的读取权限即可。现在，假设您希望组中只有一个用户能够写入该文件。标准 UNIX 不提供该级别的文件安全性。但是，ACL 可提供此级别的文件安全性。

在 UFS 文件系统中，通过 setfacl 命令在文件中设置 ACL 项。UFS ACL 项由以下字段（使用冒号进行分隔）组成：

entry-type:[uid|gid]:perms

entry-type

设置文件权限的 ACL 项的类型。例如，entry-type 可以是 user（文件所有者）或 mask（ACL 掩码）。

uid

用户名或用户 ID (user ID, UID)。

gid

组名或组 ID (group ID, GID)。

perms

表示 entry-type 中设置的权限。perms 可以由符号字符 rwx 或八进制数字表示。这些数字与用于 chmod 命令的数字相同。

在以下示例中，ACL 项为用户 stacey 设置读写权限。

user:stacey:rw-

---

注意 - 仅 UFS 文件系统支持 UFS 文件系统属性（例如 ACL）。因此，如果将具有 ACL 项的文件恢复或复制到 /tmp 目录（通常挂载为 TMPFS 文件系统）中，则这些 ACL 项将丢失。使用 /var/tmp 目录临时存储 UFS 文件。

---

有关 UFS 文件系统中的 ACL 的更多信息，请参见 Oracle Solaris 10 发行版的《系统管理指南：安全性服务》。