第 8 章 使用 ACL 保护 Oracle Solaris ZFS 文件.docxVIP

第 8 章 使用 ACL 保护 Oracle Solaris ZFS 文件本章介绍有关使用访问控制列表 (access control list, ACL) 保护 ZFS 文件的信息。ACL 提供的权限比标准 UNIX 权限更详尽。本章包含以下各节：/cd/E19253-01/819-7065/gbacb/index.html新 Solaris ACL 模型 /cd/E19253-01/819-7065/gbace/index.html设置 ZFS 文件的 ACL /cd/E19253-01/819-7065/gbabw/index.html以详细格式设置和显示 ZFS 文件的 ACL /cd/E19253-01/819-7065/gbchf/index.html以缩写格式设置和显示 ZFS 文件的 ACL 新 Solaris ACL 模型Solaris OS 的旧版本支持主要基于 POSIX 草案 ACL 规范的 ACL 实现。基于 POSIX 草案 ACL 用来保护 UFS 文件，并通过 NFSv4 之前的 NFS 版本进行转换。 引入 NFSv4 后，新 ACL 模型完全支持 NFSv4 在 UNIX 和非 UNIX 客户机之间提供的互操作性。如 NFSv4 规范中所定义，这一新的 ACL 实现提供了更丰富的基于 NT 样式 ACL 的语义。新 ACL 模型的主要差别如下所列：此新 ACL 模型基于 NFSv4 规范，并与 NT 样式的 ACL 类似。新模型提供更为详尽的访问权限集。有关更多信息，请参见/cd/E19253-01/819-7065/6n91mt1fh/index.html表?8–2。ACL 分别使用 chmod 和 ls 命令（而非 setfacl 和 getfacl 命令）进行设置和显示。新模型提供更为丰富的继承语义，以指定如何将目录的访问权限应用到子目录，等等。有关更多信息，请参见/cd/E19253-01/819-7065/gbaax/index.htmlACL 继承。两种 ACL 模型均可比标准文件权限提供更精细的访问控制。与 POSIX 草案 ACL 非常相似，新 ACL 也由多个访问控制项 (Access Control Entry, ACE) 构成。基于 POSIX 草案 ACL 使用单个项来定义允许和拒绝的权限。而新 ACL 模型包含两种类型的 ACE，用于进行访问检查： ALLOW 和 DENY。因此，不能根据任何定义一组权限的单个 ACE 来推断是否允许或拒绝该 ACE 中未定义的权限。 NFSv4 ACL 与 POSIX 草案 ACL 之间的转换如下：如果使用可识别 ACL 的实用程序（如 cp、mv、tar、cpio 或 rcp 命令）将具有 ACL 的 UFS 文件传送到 ZFS 文件系统，则 POSIX 草案 ACL 会转换为等效的 NFSv4 ACL。一些 NFSv4 ACL 会转换为 POSIX 草案 ACL。如果 NFSv4 ACL 未转换为 POSIX 草案 ACL，则会显示以下类似消息：# cp -p filea /var/tmpcp: failed to set acl entries on /var/tmp/filea如果在运行当前 Solaris 发行版的系统上使用保留的 ACL 选项（tar -p 或 cpio -P）创建 UFS tar 或 cpio 归档文件，则在运行先前的 Solaris 发行版的系统中提取该归档文件时将丢失 ACL。所有文件都以正确的文件模式提取，但会忽略 ACL 项。可以使用 ufsrestore 命令将数据恢复至 ZFS 文件系统中。如果原始数据包括 POSIX 草案 ACL，则这些 ACL 会被转换为 NFSv4 ACL。如果尝试对 UFS 文件设置 NFSv4 ACL，则会显示以下类似消息：chmod: ERROR: ACL types are different如果尝试对 ZFS 文件设置 POSIX 草案 ACL，则会显示以下类似信息：# getfacl fileaFile system doesnt support aclent_t style ACLs.See acl(5) for more information on Solaris ACL support.有关对 ACL 和备份产品的其他限制信息，请参见/cd/E19253-01/819-7065/gbscu/index.html使用其他备份产品保存 ZFS 数据。ACL 设置语法的说明基本的 ACL 格式有如下两种： 用于设置普通 ACL 的语法 ACL 很普通，因为它仅表示传统的 UNIX owner/group/other 项。chmod [options]