控制对文件的访问

定义工作组成员关系

可以将系统中的用户划分为工作组，以便指定工作组的成员可以共享属于该工作组的文件，同时保证不属于该工作组的成员无法访问这些文件。用户的主工作组成员关系编号作为一条记录保存在 /etc/passwd 文件中。工作组信息定义在 /etc/group 和 /etc/logingroup 中。

对于属于多个工作组的用户（如 /etc/group 中所指定），可以使用 /usr/bin/newgrp 命令更改其当前工作组。如果用户所属的工作组是在 /etc/logingroup 文件中定义的，则无需使用 newgrp 命令。如果没有将系统中的用户划分为工作组，则应设置一个通常称为 users 的工作组，并将所有用户分配到该组。

可以使用 HP SMH 添加、删除或修改工作组成员关系。

要手动更改工作组成员关系，请使用 vi 等文本编辑器编辑 /etc/group 文件，也可以选择编辑 /etc/logingroup 文件。虽然可以在 /etc/group 文件中输入工作组级口令，但并不推荐进行此操作。为避免维护多个文件，可以将 /etc/logingroup 链接至 /etc/group。有关 /etc/group 和 /etc/logingroup 文件的详细信息，请参阅 group(4) 联机帮助页。有关链接文件的信息，请参阅 link(1M) 和 ln(1) 联机帮助页。

可以使用 /usr/sbin/setprivgrp 命令将特殊权限分配给一组用户。有关详细信息，请参阅 chown(1)、getprivgrp(1)、setprivgrp(1M)、chown(2)、getprivgrp(2)、lockf(2)、plock(2)、plock(2)、rtprio(2)、setgid(2)、setgid(2)、setprivgrp(2)、setuid(2)、shmctl(2) 和 shmctl(2)。

设置文件访问权限

/usr/bin/chmod 命令可更改文件属主、组成员或其他人的访问权限类型（读取、写入和执行权限）。只有文件属主或超级用户可以更改文件的读取、写入和执行权限。有关详细信息，请参阅 chmod(1)。

缺省情况下，所有用户都拥有新文件的读和（或）写权限 (-rw-rw-rw-) 以及新目录的读/写/执行权限 (drwxrwxrwx)。可以使用 /usr/bin/umask 命令更改缺省的文件访问权限。有关详细信息，请参阅 umask(1)。对于受信任的系统，缺省值有所不同；请参阅《HP-UX 系统管理员指南：安全管理》。

设置文件的所有权

使用 /usr/bin/chown 命令可更改文件用户（以及组）所有权。要更改用户，必须拥有该文件（并属于具有 CHOWN 权限的组）或具有超级用户权限。

使用 /usr/bin/chgrp 命令可以更改文件的组所有权。要更改组，必须拥有该文件（并属于具有 CHOWN 权限的组）或具有超级用户权限。

有关详细信息，请参考 chown(1) 和 chgrp(1)。

设置访问控制列表

ACL（access control lists,访问控制列表）提供了比传统文件访问权限更精确的文件保护等级。可以使用 ACL 来允许或限制单个用户对文件的访问权限，而无需考虑用户所属的组。只有文件属主（或超级用户）可以创建 ACL。

JFS 和 HFS 文件系统都支持 ACL，但是二者使用的命令和某些语法有所不同。在 JFS 文件系统中，使用 setacl 设置 ACL 并使用 getacl 进行查看。在 HFS 文件系统中，可使用 chacl 设置 ACL 并使用 lsacl 进行查看。

有关 JFS ACL 和 HFS ACL 的论述，请参阅《HP-UX 系统管理员指南：安全管理》。

有关 JFS ACL 的其他信息，请参阅 setacl(1)、getacl(1) 和 aclv(5)。

有关 HFS ACL 的其他信息，请参阅 lsacl(1)、chacl(1) 和 acl(5)。