Syntaxbeschreibungen zum Setzen von Zugriffssteuerungslisten
Es gibt zwei grundlegende Zugriffssteuerungslistenformate:
Syntax zum Setzen gewöhnlicher Zugriffssteuerungslisten
Eine Zugriffssteuerungsliste ist insofern gewöhnlich, als sie nur die herkömmlichen UNIX-Einträge owner/group/other repräsentiert.
chmod [Optionen] A[Index]{+|=}owner@ |group@ |everyone@: Zugriffsrechte/...[:Vererbungsflags]: deny | allow Datei
chmod [Optionen] A-owner@, group@, everyone@: Zugriffsrechte/...[:Vererbungsflags]: deny | allow Datei ...
chmod [Optionen] A[Index]- Datei
Syntax zum Setzen komplexerer Zugriffssteuerungslisten
chmod [Optionen] A[Index]{+|=}user|group:name:Zugriffsrechte /...[:Vererbungsflags]:deny | allow Datei
chmod [Optionen] A-user|group:name:Zugriffsrechte /...[:Vererbungsflags]:deny | allow Datei ...
chmod [Optionen] A[Index]- Datei
- owner@, group@, everyone@
-
Der Zugriffssteuerungslisten-Eintragstyp für die gewöhnliche Zugriffssteuerungslistensyntax. Eine Beschreibung der Zugriffssteuerungslisten-Eintragstypen finden Sie in Tabelle 8–1.
- user oder group:Zugriffssteuerungslisten-Eintragstyp-ID = Benutzername oder Gruppenname
-
Der Zugriffssteuerungslisten-Eintragstyp für die explizite Zugriffssteuerungslistensyntax. Der Zugriffssteuerungslisten-Eintragstyp „user” bzw. ”group” muss auch die Zugriffssteuerungslisteneintrags-ID, den Benutzernamen oder den Gruppennamen enthalten. Eine Beschreibung der Zugriffssteuerungslisten-Eintragstypen finden Sie in Tabelle 8–1.
- Zugriffsrechte/.../
-
Die Zugriffsrechte, die gewährt bzw. verweigert werden. Eine Beschreibung von Zugriffsrechten für Zugriffssteuerungslisten finden Sie in Tabelle 8–2.
- Vererbungsflags
-
Eine optionale Liste von Vererbungsflags von Zugriffssteuerungslisten. Eine Beschreibung der Vererbungsflags von Zugriffssteuerungslisten finden Sie in Tabelle 8–3.
- deny | allow
-
Legt fest, ob Zugriffsrechte gewährt oder verweigert werden.
Im folgenden Beispiel spielt die Zugriffssteuerungslisten-Eintragstyp-ID keine Rolle:
group@:write_data/append_data/execute:deny |
Das folgende Beispiel enthält eine Zugriffssteuerungslisteneintrags-ID, da ein spezifischer Benutzer (Zugriffssteuerungslisten-Eintragstyp) in der Zugriffssteuerungsliste enthalten ist.
0:user:gozer:list_directory/read_data/execute:allow |
Ein Zugriffssteuerungslisteneintrag sieht ungefähr wie folgt aus:
2:group@:write_data/append_data/execute:deny |
Die 2 bzw. die Index-ID in diesem Beispiel identifiziert den Zugriffssteuerungslisteneintrag in der größeren Zugriffssteuerungsliste, in der für Eigentümer, spezifische UIDs, Gruppen und allgemeine Zugriffsrechte mehrere Einträge vorhanden sein können. Sie können die Index-ID mit dem Befehl chmod angeben und somit festlegen, welchen Teil der Zugriffssteuerungsliste Sie ändern möchten. Sie können beispielsweise Index-ID 3 als A3 im Befehl chmod angeben (siehe folgendes Beispiel):
chmod A3=user:venkman:read_acl:allow filename |
Zugriffssteuerungslisten-Eintragstypen, die Eigentümer, Gruppen und andere Parameter in Zugriffssteuerungslisten darstellen, sind in der folgenden Tabelle beschrieben.
Tabelle 8–1 Zugriffssteuerungslisten- Eintragstypen|
Zugriffssteuerungslisten- Eintragstyp |
Beschreibung |
|---|---|
|
owner@ |
Das Zugriffsrecht, das dem Eigentümer des Objekts gewährt wird. |
|
group@ |
Das Zugriffsrecht, das der Eigentümergruppe des Objekts gewährt wird. |
|
everyone@ |
Der Zugriff, der allen anderen Benutzern oder Gruppen gewährt wird, denen keine anderen Zugriffssteuerungslisteneinträge entsprechen. |
|
user |
Das Zugriffsrecht, das einem zusätzlichen (und durch den Benutzernamen anzugebenden) Benutzer des Objekts gewährt wird. Dieser Eintrag muss die Zugriffssteuerungslisteneintrags-ID enthalten, die wiederum den betreffenden Benutzernamen oder die Benutzer-ID enthält. Wenn es sich bei diesem Wert um keine gültige nummerische Benutzer-ID oder keinen Benutzername handelt, ist der Zugriffssteuerungslisten-Eintragstyp ungültig. |
|
group |
Das Zugriffsrecht, das einer zusätzlichen (und durch den Gruppennamen anzugebenden) Benutzergruppe des Objekts gewährt wird. Dieser Eintrag muss die Zugriffssteuerungslisteneintrags-ID enthalten, die wiederum den betreffenden Gruppennamen oder die Gruppen-ID enthält. Wenn es sich bei diesem Wert um keine gültige nummerische Gruppen-ID oder keinen Gruppenname handelt, ist der Zugriffssteuerungslisten-Eintragstyp ungültig. |
In der folgenden Tabelle sind die Zugriffsrechte für Zugriffssteuerungslisten beschrieben.
Tabelle 8–2 Zugriffssteuerungslisten-Zugriffsrechte|
Zugriffsrecht |
Kurzform |
Beschreibung |
|---|---|---|
|
add_file |
w |
Berechtigung zum Hinzufügen neuer Dateien zu einem Verzeichnis. |
|
add_subdirectory |
p |
Berechtigung zum Erstellen von Unterverzeichnissen in einem Verzeichnis. |
|
append_data |
p |
Platzhalter. Gegenwärtig nicht implementiert. |
|
delete |
d |
Berechtigung zum Löschen einer Datei. |
|
delete_child |
D |
Berechtigung zum Löschen einer Datei oder eines Verzeichnisses in einem Verzeichnis. |
|
execute |
x |
Berechtigung zum Ausführen einer Datei bzw. Durchsuchen eines Verzeichnisses. |
|
list_directory |
r |
Berechtigung zum Auflisten des Inhalts eines Verzeichnisses. |
|
read_acl |
c |
Berechtigung zum Lesen der Zugriffssteuerungsliste (ls). |
|
read_attributes |
a |
Berechtigung zum Lesen grundlegender (nicht zu Zugriffssteuerungslisten gehörender) Attribute einer Datei. Grundlegende Attribute sind Attribute auf der stat-Ebene. Durch Setzen dieses Zugriffsmaskenbits kann eine Entität ls(1) und stat(2) ausführen. |
|
read_data |
r |
Berechtigung zum Lesen des Inhalts einer a Datei. |
|
read_xattr |
R |
Berechtigung zum Lesen der erweiterten Attribute einer Datei bzw. Durchsuchen des Verzeichnisses erweiterter Dateiattribute. |
|
synchronize |
s |
Platzhalter. Gegenwärtig nicht implementiert. |
|
write_xattr |
V |
Berechtigung zum Erstellen erweiterter Attribute bzw. Schreiben in das Verzeichnis erweiterter Attribute. Durch Gewähren dieses Zugriffsrechtes kann ein Benutzer für eine Datei ein Verzeichnis erweiterter Attribute erstellen. Die Zugriffsrechte der Attributdatei legen das Zugriffsrecht des Benutzers auf das Attribut fest. |
|
write_data |
w |
Berechtigung zum Ändern oder Ersetzens des Inhalts einer Datei. |
|
write_attributes |
I |
Berechtigung zum Setzen der Zeitmarken einer Datei bzw. eines Verzeichnisses auf einen beliebigen Wert. |
|
write_acl |
A |
Berechtigung zum Schreiben bzw. Ändern der Zugriffsteuerungsliste mithilfe des Befehls chmod. |
|
write_owner |
o |
Berechtigung zum Ändern des Eigentümers bzw. der Gruppe einer Datei bzw. Berechtigung zum Ausführen der Befehle chown oder chgrp für die betreffende Datei. Berechtigung zum Übernehmen der Eigentümerschaft einer Datei bzw. zum Ändern der ihrer Gruppe, zu der der betreffende Benutzer gehört. Wenn Sie die Benutzer- bzw. Gruppeneigentümerschaft auf einen beliebigen Benutzer bzw. eine beliebige Gruppe setzen wollen, ist das Zugriffsrecht PRIV_FILE_CHOWN erforderlich. |
- © 2010, Oracle Corporation and/or its affiliates