文件和文件夹的所有权与安全性

传统的 UNIX 文件和文件夹保护体系为下列三种用户类型：拥有者、组及其他提供读、写和执行许可。这些许可叫做基本许可。

"访问控制列表" (ACL) 提供对文件和文件夹许可的控制比基本许可更强。 ACL 使您能够为拥有者、拥有者组、其他以及特别的用户和组定义文件或文件夹许可，并为以上每种类别定义缺省许可。

基本许可

对某个文件或文件夹的许可指定可以如何访问该文件或文件夹。这些许可既适用于基本用户类型，也适用于在"通过存取控制列表设置缺省权限".

• "读许可"-允许检索、复制或查看对象的内容。

• "写许可"-对文件而言，允许更改文件内容。对文件夹而言，允许从文件夹中创建和删除对象。

• "执行许可"-对文件而言，允许运行文件 (适用于可执行文件、脚本及操作) 。对文件夹而言，允许查找和列出文件夹的内容。

如果没有在文件夹内写的许可，该文件夹会像这样：

如果没有在文件夹内读或执行的许可，该文件夹会像这样：

基本用户类型

对文件或文件夹而言，三种基本类型的用户为：

• "拥有者"-拥有文件或文件夹的用户。 只有系统管理员 (超级用户) 才能更改文件或文件夹的拥有者。

• "组"-被系统管理员放在一起的若干用户。例如，某个部门的成员可能属于同一个组。该组为拥有文件或文件夹的组，并且通常包括文件或文件夹的拥有者。

• "其他"-系统上除拥有者和拥有者组之外的所有其他用户。

实例

使某个文件夹为个人专有：

• 更改文件夹的特性，只给自己 ("拥有者") 读、写和执行许可，而不给组或其他人许可。这意味着只有自己和超级用户可以查看文件夹的内容。

使创建的对象可为每个人使用，但同时对其加以保护，以免他人不小心将其改写：

• 更改文件特性，给拥有者、组和其他人读和执行许可。不给任何人写许可。

查看文件或文件夹的许可

1. 在"文件管理器"中，选定要查看其许可的文件或文件夹图标。

2. 从"文件管理器"的"选择项"菜单中，或者从图标的弹出式菜单 (按 Shift + F10 键或按鼠标按钮 3 即显示) 中选择"特性"。

   "权限"对话框是缺省视图。

3. 在"基本权限"栏中检查文件或文件夹的基本许可 ("r"表示读许可，"w" 表示"写"许可，"x"表示"执行"许可) 。

   • "拥有者"-给予文件或文件夹拥有者的许可

   • "组"-给予文件或文件夹组的许可

   • "其他"-给予拥有者和组之外的所有其他人的许可

   ---

   注意：

   在对话框中的"读"、"写"、"执行"栏表示所请求的许可，它们可能与实际有效的许可 (显示在有效栏) 不同。所请求的许可可能因为掩码而不生效 (请参阅"权限掩码") 。

   ---

   如果要查看另一文件或文件夹的许可，先选定对象，然后从"选择项"菜单中选择"特性"。如果要在命令行键入 sdtfprop&，以显示"特性"对话框，可以单击对话框中的"浏览"并选择文件或文件夹的名称来查看其特性。

修改基本许可

1. 在"文件管理器"中，选定要修改其许可的文件或文件夹的图标。

2. 从"文件管理器"的"选择项"菜单或者从图标的弹出式菜单 (按 Shift + F10 键或按鼠标按钮 3 即可显示) 中选择"特性"。

   出现"权限"对话框。

3. 单击复选框来设置"拥有者"、"组"及"其他"许可。

   掩码限制"组"许可，但不影响"拥有者"或"其他"许可。 "拥有者"、"组"、"其他"所接受的实际读、写、执行许可出现在"有效"栏中。

4. 使用"应用修改到"选项按钮来选择更改范围。

   对文件来说，可能的选项是"仅限此文件" (缺省) 、"父文件夹中的所有文件"、"父文件夹及其子文件夹中的所有文件"。对文件夹来说，可能的选项是"仅限此文件夹" (缺省) 和"此文件夹及其子文件夹"。

5. 在"权限"对话框中单击"确定"以应用当前设置并消除对话框。单击"应用"以应用当前设置而不消除"权限"对话框。

   如果要修改另一文件或文件夹的许可，选定对象，然后从"选择项"菜单中选择"特性"。如果要在命令行键入 sdtfprop&，以显示"特性"对话框，可以单击对话框中的"浏览"并选择文件或文件夹的名称以修改其特性。

   关于掩码，请参阅"权限掩码" 。

更改文件或文件夹拥有权

---

注意：

如果无更改特性的许可，将无法使用"权限"对话框中的某些控制。

---

1. 在"文件管理器"中，选择要修改其拥有权的文件或文件夹的图标。

2. 从"文件管理器"的"选择项"菜单或者从图标的弹出式菜单 (按 Shift + F10 或按鼠标按钮 3 即可显示) 中选择"特性"。出现"权限"对话框。

3. 要更改拥有者，将新拥有者名称键入"拥有者"文本字段。要更改拥有者组，将新的组名称键入"组"文本字段。

   即使不是文件或文件夹的拥有者，但只要是另一个组的成员，就可以指定不同的拥有者组。

4. 单击"确定"以应用当前设置并消除对话框。单击"应用"以应用当前设置而不消除"权限"对话框。

浏览和编辑多个文件和文件夹的特性

1. 通过在命令行键入 sdtfprop& ，打开"特性"对话框。

   只有从命令行打开"特性"对话框时，才可以编辑"文件名"文本字段并单击"浏览"来打开"文件选择"对话框。

2. 单击"浏览"或在"文件名"字段键入文件或文件夹的名称。

3. 浏览或编辑文件或文件夹特性。

4. 单击"确定"以应用当前设置并消除对话框。单击"应用"以应用当前设置并继续进行浏览与编辑。

访问控制列表

ACL 使您能够为拥有者、拥有者组、其他以及特别的用户和组定义文件或文件夹许可，并为以上每种类别定义缺省许可。 只能给每个文件或文件夹建立一个 ACL。每个 ACL 由若干 ACL 项组成。每个项有一个相关的用户类型，正如基本许可有相关的"拥有"、"组"一样。

如果想给某用户或组访问文件或文件夹的许可，可分别使用"用户"或"组"类 ACL 项。在创建 ACL 项时，必须指定用户或组的名称。 例如，可以用一个 ACL 让某位朋友获得读您的履历书的许可，而不让 (除您之外的) 其他任何人读到它。

要创建、修改或查看有关文件或文件夹的 ACL，该文件或文件夹必须驻留在运行 Solaris 2.5 或以上版本的服务器或系统上，而且必须正在运行 Solaris 2.5 或以上的软件。这样的文件和文件夹叫做启用 ACL 的。必须运行 CDE 1.1 或更新的版本，才能用"特性图形用户界面" (Properties Graphical User Interface，Properties GUI) 来设置、修改或查看基本许可和 ACL。

只有文件或文件夹的拥有者才可以创建或修改该文件或文件夹的基本许可或 ACL。对于非拥有者，"特性"对话框中的所有字段都会显示为只读。

---

注意：

本节中的 ACL 术语均指在"特性图形用户界面"(GUI Properties)中使用的术语。命令行术语可能略有不同。

---

查看访问控制列表

1. 在"文件管理器"中，选择要查看其访问控制列表的文件或文件夹的图标。

2. 从"文件管理器"的"选择项"菜单或者从图标的弹出式菜单 (按 Shift + F10 或按鼠标按钮 3 即可显示) 中选择"特性"。

   出现"特性"对话框。

   如果文件或文件夹已有 ACL，该 ACL 出现在标号为 "存取控制列表权限"的滚动表中。如果文件或文件夹无 ACL，则滚动表被隐藏。

   "请求的"栏显示拥有者为每个 ACL 项所请求的许可。这些许可被掩码所限制，而实际的 ACL 项许可出现在生效栏中。关于掩码，请参阅 "权限掩码" 。

   ---

   注意：

   要创建、修改或查看有关某个文件或文件夹的 ACL，该文件或文件夹必须驻留在 Solaris 2.5 或以上版本的服务器或系统上，而且必须正在运行 Solaris 2.5 或以上的软件。

   ---

添加访问控制列表项

---

注意：

添加第一条"存取控制列表"项时，即创建"存取控制列表"。

---

1. 在"文件管理器"中，选择要修改其访问控制列表 (ACL) 的文件或文件夹的图标。

2. 从"文件管理器"的"选择项"菜单或者从图标的弹出式菜单 (按 Shift + F10 或按鼠标按钮 3 即可显示) 中选择"特性"。

   出现"权限"对话框。

3. 如果"权限"对话框中的 ACL 部分不可见，单击"显示存取控制列表"。

4. 单击"增加"按钮。

   出现"增加存取列表项"对话框。

   

5. 从"类型"选项按钮选定选项。

6. 如果在"名称"字段有与所选类型相关的名称，将其键入。

7. 单击"权限"复选框以反映希望新的 ACL 项所具有的值。

   在对话框底部的状态栏会显示所请求的许可是否被掩码所限制。

8. 单击"增加存取列表项"对话框中的"增加"。

9. 用"应用修改到"选项按钮选择更改的范围。

   对文件来说，可能的选项是"仅限此文件" (缺省) 、"父文件夹中所有的文件"、"父文件夹及其子文件夹中所有的文件"。对文件夹来说，可能的选项是"仅限此文件夹" (缺省) 和"此文件夹及其子文件夹"。

10. 单击"确定"以应用当前设置并消除对话框。单击"应用"以应用当前设置而不消除对话框。

修改存取控制列表项

1. 在"文件管理器"中，选择要改变其访问控制列表 (ACL) 中某个项的文件或文件夹的图标。

2. 从"文件管理器"的"选择项"菜单或者从图标的弹出式菜单 (按 Shift + F10 键或按鼠标按钮 3 即可显示) 中选择"特性"。

   出现"权限"对话框。

3. 在"存取控制列表权限"滚动表中选定要修改的某项。

4. 单击"修改"。

   "修改存取列表项"对话框出现。

   

5. 单击"权限"复选框以反映希望 ACL 项所具有的值。

   在对话框底部的状态栏会显示所请求的许可是否被掩码所限制。

6. 在"修改存取列表项"对话框中单击"修改"按钮。

7. 用"应用修改到"选项按钮选择更改的范围。

   对文件来说，可能的选项是"仅限此文件" (缺省) 、"父文件夹中所有的文件"、"父文件夹及其子文件夹中所有的文件"。对文件夹来说，可能的选项是"仅限此文件夹" (缺省) 和"此文件夹及其子文件夹"。

8. 单击"确定"以应用当前设置并消除对话框。单击"应用"以应用当前设置而不消除对话框。

删除存取控制列表项

1. 在"文件管理器"中，选择要删除其访问控制列表 (ACL) 中某个项的文件或文件夹的图标。

2. 从"文件管理器"的"选择项"菜单或者从图标的弹出式菜单 (按 Shift + F10 键或按鼠标按钮 3 即可显示) 中选择"特性"。

   出现"权限"对话框。

3. 在"存取控制列表权限"滚动表中选定要删除的某个项。

4. 单击"删除"按钮。

   出现对话框，要求确认该删除。如果删除四个所需 ACL 缺省项中的任何一个，所有 ACL缺省项都会被删除。 请参阅"通过存取控制列表设置缺省权限" 关于 ACL 所需的掩码和可选缺省项。"通过存取控制列表设置缺省权限"。

   ---

   注意：

   删除所有项 (除掩码外) 也就删除了整个"存取控制列表"。

   ---

5. 使用"应用修改到"选项按钮选择更改的范围。

   对文件来说，可能的选项是"仅限此文件" (缺省) 、"父文件夹中所有的文件"、"父文件夹及其子文件夹中所有的文件"。对文件夹来说，可能的选项是"仅限此文件夹" (缺省) 和"此文件夹及其子文件夹"。

6. 单击"确定"以应用当前设置并消除对话框。单击"应用"以应用当前设置而不消除对话框。

通过存取控制列表设置缺省权限

在文件夹中创建文件或文件夹时，它会继承系统管理员设置的基本许可。(要确定当前缺省值，先创建新文件或文件夹，然后从"选择项"菜单选择"特性"来查看权限。)

可以用"存取控制列表"为文件夹中创建的任何文件或文件夹自行设置缺省基本权限。该文件夹的相应 ACL 必须包含对应于以下所有四个所需缺省项类型的项："缺省拥有者用户"、"缺省拥有者组"、"缺省其他"、"缺省掩码"。 对每个所需类型，一个 ACL 可以只包含一个项。

文件或文件夹从该文件或文件夹的创建人那里继承"拥有者"、"组"、"其他"设定值，并从所需 ACL "缺省"项类型那里继承基本权限。这些类型的 ACL 项没有与其相关联的名称。

对在文件夹中创建的任何文件或文件夹，也可以设置可选"缺省"项类型- "缺省用户"和"缺省组"。可以创建任意多的"缺省用户"或"缺省组"ACL项。在创建 ACL 项时，必须指定用户或组的名称。

想放入"缺省用户"或"缺省组"项的任何 ACL 也必须包含每种所需类型一条。

实例

假设名为 Carla 的用户的"拥有者"和"组"值分别为 otto 和 otto_staff，"其他"的值 (称为 otto_other) 是 Carla公司中除 Carla 和 otto_staff 成员以外的所有人。Carla 为她名为 Project1 的文件夹创建了以下所需缺省：

• "缺省拥有者用户"，许可为 rwx (读、写、执行)

• "缺省拥有者组"，许可为 rx (读、执行)

• "缺省其他"，许可为不读、不写、不执行

• "缺省掩码"，许可为 rw (读、写)

随后放入 Project1 文件夹的任何文件或文件夹将从 Project1 中继承以下基本权限：

• 该文件或文件夹的"拥有者"值为 otto ，otto 有对该文件或文件夹的读、写、执行许可

• 该文件或文件夹的"组"值为 otto_staff ，otto_staff 有对该文件或文件夹的读和执行许可

• 该文件或文件夹的"其他"值为 otto_ other ，otto_ other 有对该文件或文件夹无读、无写、无执行许可

该文件或文件夹在存取控制列表许可滚动表中也有一个掩码项，其值为 rw (读、写) 。

如果 Carla 还为 Project1 文件夹添加了类型为"缺省用户" ("缺省组") 的可选 ACL，那么随后放入 Project1 的任何文件或文件夹将继承类型为"用户" ("组") 的 ACL。

设置所需缺省项类型

1. 在"文件管理器"中，选择要查看其存取控制列表 (ACL) 所需的缺省项类型的文件夹的图标。

2. 从"文件管理器"的"选择项"菜单或者从图标的弹出式菜单 (按 Shift + F10 键或按鼠标按钮 3 即可显示) 中选择"特性"。

   出现"权限"对话框。

3. 如果文件夹没有已定义的 ACL，单击"显示存取控制列表"按钮。

   如果文件夹有已定义的 ACL，打开"权限"对话框时，就会显示该 ACL 。

4. 单击"增加"，然后选择类型为"缺省拥有者用户"、"缺省拥有者组"、"缺省其他"或"缺省掩码"的 ACL 项。

   会出现一条信息，以提醒其他所需 ACL 缺省项也将被增加。

5. 单击"权限"复选框为"缺省"项设置许可。

6. 单击"增加存取列表项"对话框中的"增加"。

   其他三个所需的 ACL 缺省项自动创建，权限设置为不读，不写，不执行。

7. (可选)更改所需步骤 6 ACL"缺省"项目的许可，这些"缺省项目"是上面自动创建的。

8. 使用"应用修改到"选项按钮来选择更改范围。

   可能的选项是"仅限此文件夹"(缺省) 和"此文件夹及其子文件夹"。

9. 单击"确定"以应用当前设置并消除对话框。单击"应用"以应用当前设置而不消除对话框。

删除所需 ACL 缺省项类型

1. 在"文件管理器"中，选择要删除其 ACL 中"缺省"项文件夹的图标。

2. 从"文件管理器"的"选择项"菜单或者从图标的弹出式菜单 (按 Shift + F10 键或按鼠标按钮 3 即可显示) 中选择"特性"。

   出现"权限"对话框。

3. 选定所需 ACL 缺省项，然后单击"删除"。

   出现一条信息以提醒一旦删除所需 ACL 缺省项中的一种，其他三种所需 ACL 缺省项即自动删除。

4. 在确认对话框中单击"删除"。

5. 用"应用修改到"选项按钮选择更改的范围。

   可能的选项是"仅限此文件夹" (缺省) 和"此文件夹及其子文件夹"。

6. 单击"确定"以应用当前设置并消除对话框。单击"应用"以应用当前设置而不消除对话框。

设置可选 ACL 缺省项类型

1. 在"文件管理器"中，选择要为其设置可选 ACL"缺省"项的文件夹图标。

2. 从"文件管理器"的"选择项"菜单或者从图标的弹出式菜单 (按 Shift + F10 键或按鼠标按钮 3 即可显示) 中选择"特性"。

   出现"权限"对话框。

3. 如果文件夹没有已定义的 ACL，单击"显示存取控制列表"按钮。

   如果文件夹有已定义的 ACL，打开"权限"对话框时，就会显示该 ACL 。

4. 单击"增加"，然后选择类型为"缺省使用者"或"缺省拥有者组"的 ACL 项。

   如果所需要的缺省项未包含在 ACL 中，即会被创建，其权限将设置为不读、不写、不执行。

5. 单击"权限"复选框为"缺省"项设置许可。

6. 单击"增加存取列表项"对话框中的"增加"。

7. 继续增加任意多的"缺省使用者"或"缺省拥有者组"的 ACL 项类型。

8. 使用"应用修改到"选项按钮来选择更改范围。

   可能的选项是"仅限此文件夹" (缺省) 和"此文件夹及其子文件夹"。

9. 单击"确定"以应用当前设置并消除对话框。单击"应用"以应用当前设置而不消除对话框。

权限掩码

启用 ACL 的文件和文件夹已定义了掩码，掩码的缺省权限为对该文件或文件夹的组权限。掩码是给予所有 ACL 项的任何用户和"组"基本权限的最大程度权限。它对"拥有者"或"其他"基本权限不起限制作用。 例如，若一个文件的掩码是只读，那么，不改变掩码的值就不能为用户创建有写或执行权限的 ACL。

使用掩码来限制用户和组的权限是一种快速方法。

修改掩码

1. 在"文件管理器"中，选择要修改其掩码的文件或文件夹图标。

2. 从"文件管理器"的"选择项"菜单或者从图标的弹出式菜单 (按 Shift + F10 键或按鼠标按钮 3 即可显示) 中选择"特性"。

   出现"权限"对话框。

3. 如果文件夹没有已定义的 ACL，单击"显示存取控制列表"按钮。

   如果文件夹有已定义的 ACL，打开"权限"对话框时，就会显示该 ACL 。

4. 在"存取控制列表许可"滚动表中选择"掩码"项。

   当前掩码许可出现在"生效"栏中。

5. 单击"修改"按钮。

6. 单击"权限"复选框以反映希望掩码所具有的值。

7. 在"修改存取列表项"对话框中单击"修改"按钮。

8. 用"应用修改到"选项按钮来选择更改许可范围。

   对文件来说，可能的选项是"仅限此文件" (缺省) 、"父文件夹中所有的文件"、"父文件夹及其子文件夹中所有的文件"。对文件夹来说，可能的选项是"仅限此文件夹" (缺省) 和"此文件夹及其子文件夹"。

9. 单击"确定"以应用当前设置并消除对话框。单击"应用"以应用当前设置而不消除对话框。