Las reglas de protección básicas se activan cuando un proceso notifica al sistema que desea utilizar un determinado fichero. El proceso también notifica al sistema qué tipo de operaciones quiere realizar: lectura, escritura o ejecución.
Si el eUID del proceso es 0 se concede el permiso (estamos en el caso en el que el proceso pertenece al superusuario). Si no...
Si el eUID del proceso es igual al ownerUID del fichero, se autoriza la operación si está permitida en el grupo de bits 6 al 8, los que corresponden al propietario. Si no...
Si el eGID del proceso o alguno de los grupos suplementarios del proceso es igual al ownerGID del fichero, se autoriza la operación si está permitida en el grupo de bits 3 al 5, los que corresponden al grupo. Si no...
En cualquier otro caso, se autoriza la operación si está permitida en el grupo de bits 0 al 2, los que corresponden al resto de usuarios.
Debe notarse que sólo se aplica una regla, aquella que corresponde a la primera condición que se cumple para los atributos del proceso. Es decir, el sistema determina primero qué grupo de tres bits debe aplicar y después autoriza (o deniega) la operación en función del tipo de operación requerida y del estado de dichos tres bits.