| 跳过导航链接 | |
| 退出打印视图 | |
|
手册页第 1 部分:用户命令 Oracle Solaris 11.1 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
手册页第 1 部分:用户命令 Oracle Solaris 11.1 Information Library (简体中文) |
- 修改一个或多个文件的访问控制列表 (Access Control List, ACL)
setfacl [-r] -s acl_entries file
setfacl [-r] -md acl_entries file
setfacl [-r] -f acl_file file
对于指定的每个文件,setfacl 将替换其整个 ACL(包括目录上的缺省 ACL),或者将添加、修改或删除一个或多个 ACL 条目(包括目录上的缺省条目)。
使用 setfacl 命令时,会导致对文件权限位发生更改。文件所有者的用户 ACL 条目发生更改时,将会修改文件所有者类权限位。文件组类的组 ACL 条目发生更改时,将会修改文件组类权限位。其他 ACL 条目发生更改时,将会修改文件的其他类权限位。
如果您使用 chmod(1) 命令更改含有 ACL 条目的文件的文件组所有者权限,则会同时将文件组所有者权限和 ACL 掩码更改为新的权限。请注意,对于文件中有其 ACL 条目的附加用户和组,新的 ACL 掩码权限可能会更改其有效权限。
目录可以包含缺省 ACL 条目。如果某个文件或目录是在包含缺省 ACL 条目的目录中创建的,则该新创建的文件具有根据缺省 ACL 条目的交集生成的权限以及创建时请求的权限。如果目录包含缺省 ACL 条目,则不会应用 umask(1)。如果为某个特定用户(或多个用户)指定了缺省 ACL,该文件会创建一个常规 ACL。否则,将根据上面所述的交集初始化模式位。缺省 ACL 应当被看作可以授予的最大自主访问权限。
可使用 setfacl 命令对 UFS 文件系统中的文件设置 ACL,UFS 文件系统支持 POSIX 式 ACL(或 aclent_t 式 ACL)。可使用 chmod 命令对 ZFS 文件系统中的文件设置 ACL,ZFS 文件系统支持 NFSv4 式 ACL(或 ace_t 式 ACL)。
对于 -m 和 -s 选项,acl_entries 是一个或多个以逗号分隔的 ACL 条目。
ACL 条目包含以下以冒号分隔的字段:
设置文件权限时所基于的 ACL 条目的类型。例如,entry_type 可以是 user(文件的所有者)或 mask(ACL 掩码)。
用户名或用户标识号。或者,组名或组标识号。
表示对 entry_type 设置的权限。perms 可以由符号字符 rwx 或数字指示(随 chmod 命令使用的相同权限编号)。
下表列出了有效的 ACL 条目(只能为目录指定缺省条目):
|
对于 -d 选项,acl_entries 是一个或多个以逗号分隔的没有权限的 ACL 条目。请注意,无法删除文件所有者、文件组所有者、ACL 掩码和其他用户的条目。
这些选项的含义如下所示:
从文件中删除一个或多个条目。无法从 ACL 中删除文件所有者、文件组所有者和其他用户的条目。请注意,删除条目不一定与从条目中删除所有权限具有相同的效果。
使用名为 acl_file 的文件中包含的 ACL 条目设置文件的 ACL。对指定条目所具有的约束与 -s 选项相同。不要求条目在文件中采用任何特定顺序。此外,如果为 acl_file 指定了短划线 (-),则会使用标准输入来设置文件的 ACL。
acl_file 中的字符 # 可用来指示注释。以 # 开头的所有字符(直至行尾)都将被忽略。请注意,如果 acl_file 已作为 getfacl(1) 命令的输出而创建,则会忽略 # 之后的任何有效权限。
将一个或多个新 ACL 条目添加到文件,和/或修改文件中的一个或多个现有 ACL 条目。如果对于指定的 uid 或 gid 已经存在一个条目,则指定的权限会替换当前权限。如果对于指定的 uid 或 gid 不存在条目,则会创建一个条目。使用 -m 选项修改缺省 ACL 时,第一次必须指定完整的缺省 ACL(用户、组、其他、掩码和任何附加条目)。
重新计算 ACL 掩码条目的权限。在 ACL 掩码条目中指定的权限将被忽略,并由对 ACL 中所有其他用户、文件组所有者和其他组条目授予访问权限所需的最大权限替换。其他用户、文件组所有者和其他组条目中的权限保持不变。
设置文件的 ACL。所有旧 ACL 条目将被删除,并替换为新指定的 ACL。相应条目不需要采用任何特定顺序。在应用于文件之前,将由该命令对其进行排序。
必需的条目:
只为文件所有者指定一个 user 条目。
只为文件组所有者指定一个 group 条目。
只指定一个 other 条目。
如果存在其他用户和组条目:
只为指示用户(所有者除外)和组允许使用的最大权限的 ACL 掩码指定一个 mask 条目。
不得存在 uid 相同的重复 user 条目。
不得存在 gid 相同的重复 group 条目。
如果 file 是一个目录,则可以指定以下缺省 ACL 条目:
只为文件所有者指定一个 default user 条目。
只为文件组所有者指定一个 default group 条目。
只为 ACL 掩码指定一个 default mask 条目。
只指定一个 default other 条目。
可以指定其他 default user 条目和其他 default group 条目,但不能指定 uid 相同的重复其他 default user 条目,或 gid 相同的重复 default group 条目。
示例 1 只添加读取权限
以下示例将一个 ACL 条目添加到文件 abc,这将只为用户 shea 授予读取权限。
setfacl -m user:shea:r-- abc
示例 2 替换文件的整个 ACL
以下示例替换文件 abc 的整个 ACL,这将授予 shea 读取访问权限,授予文件所有者所有访问权限,授予文件组所有者只读访问权限,授予 ACL 掩码只读访问权限,而不授予其他用户任何访问权限。
setfacl -s user:shea:rwx,user::rwx,group::rw-,mask:r--,other:--- abc
请注意,执行此命令后,文件权限位是 rwxr-----。虽然为文件组所有者设置了读取/写入权限,但 ACL 掩码条目将其限制为只具有读取权限。该掩码条目还指定可用于所有其他用户和组 ACL 条目的最大权限。同样,虽然为用户 shea 设置了所有访问权限,但掩码会将其限制为只具有读取权限。通过 ACL 掩码条目,可以快速限制或开放对 ACL 中所有用户和组条目的访问权限。例如,通过将掩码条目更改为读取/写入,文件组所有者和用户 shea 均将被授予读取/写入访问权限。
示例 3 对两个文件设置相同的 ACL
以下示例对文件 abc 设置与文件 xyz 相同的 ACL。
getfacl xyz | setfacl -f - abc
口令文件
组文件
有关下列属性的说明,请参见 attributes(5):
|
chmod(1)、getfacl(1)、umask(1)、aclcheck(3SEC)、aclsort(3SEC)、group(4)、passwd(4)、attributes(5)
|
