Solaris 公用桌面环境:用户指南

文件和文件夹的拥有权与安全性

传统的 UNIX 文件和文件夹保护机制为三种用户类型提供了执行 权限:属主其他。这些权限称为基本权限

“存取控制列表”(ACL) 提供的对文件和文件夹权限的控制比对基本权限的控制更强。ACL 使您能够为属主、属主组、其他以及特定的用户和组定义文件或文件夹权限,并为以上每种类别定义缺省权限。

基本权限

文件或文件夹的权限指定可以如何访问该文件或文件夹。这些权限既适用于基本用户类型,也适用于通过“存取控制列表”设置缺省权限中说明的 ACL 缺省类型。

如果没有在文件夹内写的权限,该文件夹会显示成:

Graphic

如果没有在文件夹内读或执行的权限,该文件夹会显示成:

Graphic

基本用户类型

对文件或文件夹而言,三种基本用户类型为:

示例

使某个文件夹为个人专有:

要使创建的对象可被每个人使用,但同时保护它不被意外改写:

查看文件或文件夹的权限

  1. 在“文件管理器”中,选定要查看其权限的文件或文件夹的图标。

  2. 从“文件管理器”的“选中”菜单中,或者从图标的弹出式菜单(按 Shift + F10 或按鼠标按钮 3 即显示)中选择“特性”。

    “权限”对话框是缺省视图。

  3. 在“有效”栏中检查文件或文件夹的基本权限 (“r”表示读权限,“w” 表示“写”权限,“x”表示“执行”权限) 。

    • “属主”–给予文件或文件夹拥有者的权限

    • “组”–给予文件或文件夹组的权限

    • “其他”–给予属主和组之外的所有其他人的权限


    注意:

    对话框中的“读”、“写”和“执行”栏代表所请求的权限,它们可能与实际有效的权限(显示在“有效”栏中)不同。所请求的权限可能因为掩码的缘故而无效(请参阅权限掩码)。


    如果要查看另一个文件或文件夹的权限,先选定对象,然后从“选中”菜单中选择“特性”。如果通过在命令行键入 sdtfprop&显示了“特性”对话框,可以单击对话框中的“浏览”并选择文件或文件夹的名称来查看其特性。

修改基本权限

  1. 在“文件管理器”中,选定要修改其权限的文件或文件夹的图标。

  2. 从“文件管理器”的“选中”菜单或者从图标的弹出式菜单(按 Shift + F10 或按鼠标按钮 3 即可显示)中选择“特性”。

    出现“权限”对话框。

  3. 单击复选框来设置“属主”、“组”及“其他”权限。

    掩码限制“组”权限,但不影响“属主”或“其他”权限。 “属主”、“组”和“其他”所接受的实际读、写和执行权限出现在“有效”栏中。

  4. 使用“将更改应用于”选项按钮来选择更改范围。

    对文件来说,选项有“仅限此文件”(缺省)、“父文件夹中的所有文件”和“父文件夹及其子文件夹中的所有文件”。对文件夹来说,选项有“仅限此文件夹” (缺省)和“此文件夹及其子文件夹”。

  5. 在“权限”对话框中单击“确定”以应用当前设置并退出对话框。单击“应用”以应用设置而不退出“权限”对话框。

    如果要修改另一个文件或文件夹的权限,选定对象,然后从“选中”菜单中选择“特性”。如果通过在命令行键入 sdtfprop&显示了“特性”对话框,可以单击对话框中的“浏览”并选择文件或文件夹的名称以修改其特性。

    关于掩码的知识,请参阅 权限掩码

更改文件或文件夹拥有权


注意:

如果没有更改特性的权限,将无法使用“权限”对话框中的某些控制。


  1. 在“文件管理器”中,选择要修改其拥有权的文件或文件夹的图标。

  2. 从“文件管理器”的“选中”菜单或者从图标的弹出式菜单(按 Shift + F10 或按鼠标按钮 3 即可显示)中选择“特性”。

    出现“权限”对话框。

  3. 要更改属主,将新属主名键入“属主”文本字段中。要更改拥有者组,将新的组名键入“组”文本字段中。

    即使不是文件或文件夹的属主,但是只要是另一个组的成员,就可以指定不同的拥有者组。

  4. 单击“确定”以应用当前设置并退出对话框。单击“应用”以应用设置而不退出“权限”对话框。

浏览和编辑多个文件和文件夹的特性

  1. 在命令行键入 sdtfprop& ,打开“特性”对话框。

    只有从命令行打开“特性”对话框时,才可以编辑“文件名”文本字段,并单击“浏览”来打开“文件选择”对话框。

  2. 单击“浏览”,或在“文件名”字段中键入文件或文件夹的名称。

  3. 浏览或编辑文件或文件夹特性。

  4. 单击“确定”以应用当前设置并退出对话框。单击“应用”以应用设置并继续进行浏览与编辑。

存取控制列表

ACL 使您能够为属主、属主的组、其他以及特定的用户和组定义文件或文件夹权限,并为以上每种类别定义缺省权限。 只能为每个文件或文件夹建立一个 ACL。一个 ACL 由若干 ACL 组成。每个项有一个关联的用户类型,就像基本权限有关联的“属主”、“组”或“其他”一样。

如果想将访问文件或文件夹的权限给予特定的用户或组,可分别使用“用户”或“组”类型 ACL 项。在创建 ACL 项时,必须指定用户或组的名称。 例如,可以使用一个 ACL 让某位朋友获得读您的履历书的权限,而不让(除您之外的)其他任何人读到它。

要创建、修改或查看有关文件或文件夹的 ACL,该文件或文件夹必须位于运行 Solaris 2.5 操作环境或兼容版本的服务器或系统上,而且必须正在运行 Solaris 2.5 操作环境或兼容版本。这样的文件和文件夹称为启用 ACL 的。必须运行 CDE 1.1 或更新的版本,才能使用特性图形用户界面 (GUI) 来设置、修改和查看基本权限和 ACL。

Graphic

只有文件或文件夹的属主才可以创建或修改该文件或文件夹的基本权限或 ACL。如果不是属主,“特性”对话框中的所有字段都会显示为只读。


注意:

本节中的 ACL 术语均指在特性图形用户界面 (GUI) 中使用的术语。命令行术语可能略有不同。


查看存取控制列表

  1. 在“文件管理器”中,选择要查看其存取控制列表的文件或文件夹的图标。

  2. 从“文件管理器”的“选中”菜单或者从图标的弹出式菜单按(Shift + F10 或按鼠标按钮 3 即可显示)中选择“特性”。

    出现“特性”对话框。

    如果文件或文件夹已有 ACL,该 ACL将出现在标记为 “存取控制列表权限”的滚动列表中。如果文件或文件夹没有 ACL,则该滚动列表被隐藏。

    “请求的”栏显示属主为每个 ACL 项请求的权限。这些权限被掩码所限制,而实际的 ACL 项权限出现在“有效”栏中。关于掩码的知识,请参阅 权限掩码


    注意:

    要创建、修改或查看有关某个文件或文件夹的 ACL,该文件或文件夹必须驻留在运行 Solaris 2.5 操作环境的服务器或系统上或兼容系统上,而且必须正在运行 Solaris 2.5 操作环境或兼容系统。


添加“存取控制列表项”


注意:

添加第一条“存取控制列表”项时,即创建了“存取控制列表”。


  1. 在“文件管理器”中,选择要修改其存取控制列表 (ACL) 的文件或文件夹的图标。

  2. 从“文件管理器”的“选中”菜单或者从图标的弹出式菜单(按 Shift + F10 或按鼠标按钮 3 即可显示)中选择“特性”。

    出现“权限”对话框。

  3. 如果“权限”对话框中的 ACL 部分不可见,单击“显示存取控制列表”。

  4. 单击“添加”按钮。

    出现“添加存取列表项”对话框。

    Graphic
  5. 从“类型”选项按钮中选择一个选项。

  6. 如果所选类型的“名称”字段中有关联的名称,则键入该名称。

  7. 单击“权限”复选框以反映希望新的 ACL 项所具有的值。

    对话框底部的状态栏会显示所请求的权限是否被掩码所限制。

  8. 单击“添加存取列表项”对话框中的“添加”。

  9. 使用“将更改应用于”选项按钮选择更改范围。

    对文件来说,选项有“仅限此文件”(缺省)、“父文件夹中所有的文件”和“父文件夹及其子文件夹中所有的文件”。对文件夹来说,选项有“仅限此文件夹”(缺省)和“此文件夹及其子文件夹”。

  10. 单击“确定”以应用当前设置并退出对话框。单击“应用”以应用设置而不退出对话框。

更改“存取控制列表项”

  1. 在“文件管理器”中,选择要改变其存取控制列表 (ACL) 项的文件或文件夹的图标。

  2. 从“文件管理器”的“选中”菜单或者从图标的弹出式菜单(按 Shift + F10 或按鼠标按钮 3 即可显示)中选择“特性”。

    出现“权限”对话框。

  3. 在“存取控制列表权限”滚动列表中选定要修改的项。

  4. 单击“更改”。

    出现“更改存取列表项”对话框。

    Graphic
  5. 单击“权限”复选框以反映希望 ACL 项所具有的值。

    对话框底部的状态栏会显示所请求的权限是否被掩码所限制。

  6. 在“更改存取列表项”对话框中单击“更改”按钮。

  7. 使用“将更改应用于”选项按钮选择更改范围。

    对文件来说,选项有“仅限此文件”(缺省)、“父文件夹中所有的文件”和“父文件夹及其子文件夹中所有的文件”。对文件夹来说,选项有“仅限此文件夹”(缺省)和“此文件夹及其子文件夹”。

  8. 单击“确定”以应用当前设置并退出对话框。单击“应用”以应用设置而不退出对话框。

删除“存取控制列表项”

  1. 在“文件管理器”中,选择要删除其存取控制列表 (ACL) 项的文件或文件夹的图标。

  2. 从“文件管理器”的“选中”菜单或者从图标的弹出式菜单(按 Shift + F10 或按鼠标按钮 3 即可显示)中选择“特性”。

    出现“权限”对话框。

  3. 在“存取控制列表权限”滚动列表中选择要删除的项。

  4. 单击“删除”按钮。

    出现对话框,要求确认该删除。如果删除四个所需 ACL 缺省项中的任何一个,所有 ACL缺省项都会被删除。有关所需的和可选的缺省ACL 项的说明,请参阅通过“存取控制列表”设置缺省权限


    注意:

    删除所有项(掩码除外)也就删除了整个“存取控制列表”。


  5. 使用“将更改应用于”选项按钮选择更改范围。

    对文件来说,选项有“仅限此文件”(缺省)、“父文件夹中所有的文件”和“父文件夹及其子文件夹中所有的文件”。对文件夹来说,选项有“仅限此文件夹”(缺省)和“此文件夹及其子文件夹”。

  6. 单击“确定”以应用当前设置并退出对话框。单击“应用”以应用设置而不退出对话框。

通过“存取控制列表”设置缺省权限

在文件夹中创建文件或文件夹时,它会继承系统管理员设置的基本权限。(要确定当前缺省值,先创建新文件或文件夹,然后从“选中”菜单中选择“特性”来查看权限。)

可以自行使用“存取控制列表”为文件夹中创建的任何文件或文件夹设置缺省基本权限。该文件夹的 ACL 必须包含对应于以下所有四个所需缺省项类型的项:“缺省拥有者用户”、“缺省拥有者组”、“缺省其他”和“缺省掩码”。 对每个所需类型,一个 ACL 只能包含一项。

文件或文件夹从该文件或文件夹的创建人那里继承“属主”、“组”和“其他”值,并从所需 ACL “缺省”项类型那里继承基本权限。这些类型的 ACL 项没有关联的名称。

对在文件夹中创建的任何文件或文件夹,也可以设置可选“缺省”项类型— “缺省用户”和“缺省组”。可以创建任意多个“缺省用户”或“缺省组”ACL 项。在创建 ACL 项时,必须指定用户或组的名称。

想放入“缺省用户”或“缺省组”项的任何 ACL 也必须包含每种所需类型之一。

示例

假设名为 Carla 的用户的“属主”和“组”的值分别为 ottootto_staff。假设名为 Carla 的用户的“属主”和“组”值分别为 ottootto_staff。“其他”的值(称为 otto_other)是 Carla公司中除 Carla 和 otto_staff 成员以外的所有人。假设名为 Carla 的用户的“属主”和“组”的值分别为 ottootto_staff。“其他”的值(称为 otto_other)是 Carla公司中除 Carla 和 otto_staff 成员以外的所有人。T“其他”的值(称为 otto_other)是 Carla 公司中除 Carla 和 otto_staff 成员以外的所有人。Carla 为她名为 Project1 的文件夹创建了以下所需缺省 ACL:

随后放入 Project1 文件夹的任何文件或文件夹将从 Project1 中继承以下基本权限:

该文件或文件夹在“存取控制列表权限”滚动列表中也有一个掩码项,其值为 rw(读、写)。

如果 Carla 还为 Project1 文件夹添加了类型为“缺省用户”(“缺省组”)的可选 ACL,那么随后放入 Project1 的任何文件或文件夹将继承类型为“用户”(“组”)的 ACL。

设置所需缺省项类型

  1. 在“文件管理器”中,选择要设置其所需存取控制列表 (ACL) 缺省项类型的文件夹的图标。

  2. 从“文件管理器”的“选中”菜单或者从图标的弹出式菜单(按 Shift + F10 或按鼠标按钮 3 即可显示)中选择“特性”。

    出现“权限”对话框。

  3. 如果文件夹没有已定义的 ACL,单击“显示存取控制列表”按钮。

    如果文件夹有已定义的 ACL,打开“权限”对话框时,就会显示该 ACL 。

  4. 单击“添加”,然后选择类型为“缺省拥有者用户”、“缺省拥有者组”、“缺省其他”或“缺省掩码”的 ACL 项。

    会出现一条信息,提醒您还将添加其它所需 ACL 缺省项。

  5. 单击“权限”复选框为“缺省”项设置权限。

  6. 单击“添加存取列表项”对话框中的“添加”。

    其它三个所需的 ACL 缺省项自动创建,权限设置为不读,不写,不执行。

  7. (可选)更改所需步骤 6 ACL“缺省”项的权限,这些“缺省项”是在上面的步骤 6中自动创建的 。

  8. 使用“将更改应用于”选项按钮选择更改范围。

    选项有“仅限此文件夹”(缺省)和“此文件夹及其子文件夹”。

  9. 单击“确定”以应用当前设置并退出对话框。单击“应用”以应用设置而不退出对话框。

删除所需 ACL 缺省项类型

  1. 在“文件管理器”中,选择要删除其 ACL 缺省项的文件夹的图标。

  2. 从“文件管理器”的“选中”菜单或者从图标的弹出式菜单(按 Shift + F10 或按鼠标按钮 3 即可显示)中选择“特性”。

    出现“权限”对话框。

  3. 选定所需 ACL 缺省项,然后单击“删除”。

    出现一条信息,提醒您一旦删除所需 ACL 缺省项中的一种,其它三种所需 ACL 缺省项将被自动删除。

  4. 在确认对话框中单击“删除”。

  5. 使用“将更改应用于”选项按钮选择更改范围。

    选项有“仅限此文件夹”(缺省)和“此文件夹及其子文件夹”。

  6. 单击“确定”以应用当前设置并退出对话框。单击“应用”以应用设置而不退出对话框。

设置可选 ACL 缺省项类型

  1. 在“文件管理器”中,选择要为其设置可选 ACL“缺省”项类型的文件夹的图标。

  2. 从“文件管理器”的“选中”菜单或者从图标的弹出式菜单(按 Shift + F10 或按鼠标按钮 3 即可显示)中选择“特性”。

    出现“权限”对话框。

  3. 如果文件夹没有已定义的 ACL,单击“显示存取控制列表”按钮。

    如果文件夹有已定义的 ACL,打开“权限”对话框时,就会显示该 ACL 。

  4. 单击“添加”,然后选择类型为“缺省使用者”或“缺省拥有者组”的 ACL 项。

    如果所需缺省项未包含在 ACL 中,将创建它们,其权限将设置为不读、不写、不执行。

  5. 单击“权限”复选框为“缺省”项设置权限。

  6. 单击“添加存取列表项”对话框中的“添加”。

  7. 继续添加任意多个“缺省用户”或“缺省拥有者组”类型的 ACL 项。

  8. 使用“将更改应用于”选项按钮选择更改范围。

    选项有“仅限此文件夹”(缺省)和“此文件夹及其子文件夹”。

  9. 单击“确定”以应用当前设置并退出对话框。单击“应用”以应用设置而不退出对话框。

权限掩码

启用 ACL 的文件和文件夹有已定义的掩码,该掩码的缺省权限为该文件或文件夹的组权限。掩码是授予所有 ACL 项的任何用户和“组”的基本权限的最大允许权限。它对“属主”或“其他”基本权限没有限制。例如,若一个文件的掩码是只读,那么,不改变掩码的值就不能为用户创建有写或执行权限的 ACL。

使用掩码来限制用户和组的权限是一种快速方法。

修改掩码

  1. 在“文件管理器”中,选择要修改其掩码的文件或文件夹的图标。

  2. 从“文件管理器”的“选中”菜单或者从图标的弹出式菜单(按 Shift + F10 或按鼠标按钮 3 即可显示)中选择“特性”。

    出现“权限”对话框。

  3. 如果文件夹没有已定义的 ACL,单击“显示存取控制列表”按钮。

    如果文件夹有已定义的 ACL,打开“权限”对话框时,就会显示该 ACL。

  4. 在“存取控制列表权限”滚动列表中选择“掩码”项。

    当前掩码权限出现在“有效”栏中。

  5. 单击“修改”按钮。

  6. 单击“权限”复选框以反映希望掩码所具有的值。

  7. 在“修改存取列表项”对话框中单击“更改”按钮。

  8. 用“将更改应用于”选项按钮选择权限更改范围。

    对文件来说,选项有“仅限此文件”(缺省)、“父文件夹中所有的文件”和“父文件夹及其子文件夹中所有的文件”。对文件夹来说,选项有“仅限此文件夹”(缺省)和“此文件夹及其子文件夹”。

  9. 单击“确定”以应用当前设置并退出对话框。单击“应用”以应用设置而不退出对话框。