アクセス制御リストの例および記述

以下に、アクセス制御リスト (ACL) の例および記述を示します。

以下に ACL の例を示します。

attributes: SUID
base permissions:
      owner(frank):  rw-
      group(system): r-x
      others: ---
extended permissions:
      enabled
        permit  rw-  u:dhs
        deny    r--  u:chas, g:system
        specify r--  u:john, g:gateway, g:mail
        permit  rw-  g:account, g:finance

ACL の各部分とその意味は以下のとおりです。

  • 最初の行は、setuid ビットがオンであることを示します。
  • 次の行は基本許可の開始を示しますが、オプションです。
  • 次の 3 行は、基本許可を指定します。 括弧内の所有者名とグループ名は単に参考として入れています。 これらの名前を変更しても、ファイル所有者やファイル・グループは変更されません。 chown コマンドと chgrp コマンドのみが、これらのファイル属性を変更できます。
  • 次の行は拡張許可の開始を示しますが、これはオプションです。
  • 次の行は、後続の拡張許可が使用可能であることを示します。
  • 最後の 4 行は拡張エントリーです。 最初の拡張エントリーは、ユーザー dhs にファイルの読み取り (r) と書き込み (w) の権限を認可します。
  • 2 番目の拡張エントリーは、ユーザー chassystem グループのメンバーである場合にのみ、読み取り (r) アクセスを拒否します。
  • 3 番目の拡張エントリーは、ユーザー johngateway グループと mail グループの両方のメンバーである限り、読み取り (r) アクセスを持てることを指定します。 ユーザー john が両方のグループのメンバーでない場合は、この拡張許可は適用されません。
  • 最後の拡張エントリーは、account グループと finance グループ両方の ユーザーすべてに読み取り (r) と書き込み (w) 許可を許可します。
    注: 制限モードを許可モードに優先させる形で、複数の拡張エントリーを 1 つのプロセスに適用できます。

    完全な構文については、acledit コマンドを参照してください。