Как видите, пользователь test имеет право записи и чтения из файла /tmp/test.tmp, обратите также внимание на вывод команды ls:

# ls -l /tmp/test.tmp

-rw-------+ 1 root  wheel  0 22 июл 04:03 test.tmp

Символ «+» означает наличие расширенных атрибутов в виде acl. Команда setfacl также используется для удаления специфических прав, для этого используется опция -x, которая с точностью до наоборот похожа на опцию -m. Также существует возможность чтения списка доступа из файла, что указывается опциями -M file и  -X file соответственно.

Полезной мне также показалась опция -b, которая удаляет все права доступа, кроме трех стандартных Unix-объектов (владелец, группа, остальные).

Итак, как выяснилось, acl – очень полезная технология. Для тех кто не может пока представить себе, зачем это нужно, приведу несколько конкретных примеров:

n  ключи симметричного шифрования (например, для системы TSIG DNS-сервера BIND) – такие файлы не должны иметь возможность читаться всеми, в то же время желательно, чтобы их владельцем оставался root:wheel (чтобы злоумышленник не смог изменить атрибуты файла), тогда удобно установить следующий acl:

# chown root:wheel example.key

# chmod 000 example.key

# setfacl user:bind:r example.key

n  нередко списки доступа очень удобно применять в mail- или samba-службах, где требуется разграничить различных пользователей (например, дать возможность начальству просматривать личные файлы подчиненных).

Вывод: acls – очень полезное средство управления файлами и каталогами.

Напоследок я бы хотел сказать несколько слов о технологии MAC, взятой разработчиками FreeBSD 5.0 из проекта TrustedBSD (www.trustedbsd.org). Что же может дать нам эта технология, и вообще, что она из себя представляет? Итак, в традиционном UNIX используются принципы равноправия всех пользовательских объектов, то есть пользователь может получить доступ к системным объектам, которые принадлежат ему. Технология MAC предполагает наличие метки уровня безопасности для любого системного объекта (под этим термином предполагаются процессы, файлы и каталоги, устройства, пользователи  и т. п.) и строгого разграничения доступа между различными уровнями (определяется выбранным модулем MAC); для поддержки технологии MAC нужно указать опцию компиляции ядра: