Просмотр прав на папку linux
Настало время поговорить о швабре на которую наступают новички. Речь сегодня пойдет о правах доступа. И так вы садитесь за компьютер, работа не идет и в порыве вы уничтожаете случайно важные системные файлы. Или ваши знакомые или сослуживцы залезли в папку которую не должны были видеть. Или... Ситуация я думаю знакомая. Но зато согласитесь удобно. Я сам себе режиссер, что хочу то делаю, любая программа, пользователь имеет доступ ко всем системным файлам и ресурсам, никаких ограничений. Красота. Отсюда эпидемии вирусов. Так вот в Linux всего такого нет. Почему?
Группа может читать и запускать. Другие не имеют прав. Каталоги имеют интересную функцию, если каталог не имеет установленных разрешений для запуска в другом наборе, даже если установлены права чтения и записи - если программа не является пользователем или членом группы, ей не будет предоставлен доступ к файлам в этом каталоге. Пусковая установка позволяет программе «запускать» не только файлы, но и команды в каталоге, поэтому без этой программы не удается запустить команду, считывая причины, по которым она не может предоставить файл браузеру.
Файлы в Linux имеют двух владельцев: пользователя (user owner) и группу (group owner) под которой понимается определенный список пользователей и причем владелец файла не обязательно должен быть членом группы владеющей файлом. Каждый пользователь может быть членом сразу нескольких групп одна из которых называется первичной (primary), а все остальные - дополнительными (supplementary). Это дает большую гибкость в организации доступа к определенному файлу. Совместное использование некоторым ресурсом организовать очень просто, достаточно создать новую группу и включить в нее всех кому это действительно необходимо, а если человек предположим перешел в другой отдел и уже нет необходимости в использовании данного файла. А все очень просто, необходимо просто выключить его из состава данной группы. Ну а, что делать с остальными неужели они так и не смогут хотя бы прочитать содержимое файла или их прийдется каждый раз включать и исключать из группы. А вот для всех остальных (other) которые не принадлежат ни к user owner и group owner права доступа устанавливаются отдельно и как правило самые минимальные. Обычно владельцем файла является пользователь который создал данный файл. Владелец-группа вновь создаваемого файла устанавливается равной первичной группе пользователя создавшего файл, но в некоторых версиях Unix владелец-группа наследуется от владельца-группы каталога в котором создается файл. Для изменения владельца файла используется команда chown в качестве параметров принимающая имя нового владельца и список файлов: # chown new_owner file1 file2 ...Конечно же на месте названия файла может быть и имя каталога, но при этом владелец файлов внутри каталога не изменится, для того чтобы это произошло лучше всего воспользоваться флагом -R (chown -R). При использовании данной команды (впрочем как и большинства) можно пользоваться регулярными выражениями если есть необходимость отобрать файлы удовлетворяющие определенному критерию (chown - R lys *.с). Для изменения владельца группы используется команда chgrp, синтаксис использования данной команды аналогичен предыдущей: # chgrp sales /home/sales/*. Кстати команда chown позволяет сразу установить и группу-владельца для этого необходимо сразу за именем владельца без пробелов и др. знаков поставить двоеточие и написать название необходимой группы
Напомним, что когда мы запускали программу установки, мы искали конкретные каталоги для записи. У нас было много сообщений, в которых сообщалось о проблемах с правами доступа во время установки или спрашивали, как установить эти разрешения. Некоторые даже утверждали, что сообщение с просьбой о праве на «записываемость» было не очень ясным.
Возвращаясь к приведенной выше информации, помните три места, где можно установить право записи. Группа записи Группа записи Другие записи. Также имейте в виду, что веб-сервер обычно не работает как ваш пользователь, ни в той же группе. В браузере сервер пытается получить доступ к файлам, поэтому необходим набор разрешений для других. В этой ситуации вам нужно будет настроить разрешения для других на 7 для каталогов, перечисленных в установщике. Поэтому, как правило, разрешения могут быть установлены, например, на 757, в худшем случае вам может потребоваться установить этот очень открытый параметр, который должен быть установлен для возврата к 755 сразу после работы установщика для защиты ваших каталогов и файлов.
# chown - R sergej:gljuk *
допускается и такой вариант записи:
# chown - R:gljuk * (т.е. аналог команды chgrp).
Владение файлом определяет те операции которые тот или иной пользователь может совершить над файлом. Самые очевидные из них это изменение владельца и группы для некоторого файла. Эти операции может проделать суперпользователь и владелец файла (в производных BSD UNIX только суперпользователь). Если с первым все понятно, то например написав программу и сделать затем ее владельцем, например суперпользователя увы не получится, и хотя вариант изменения владельцем допускается варианта такого применения я честно говоря не нашел. А вот группу, если вы являетесь владельцем файла, можно изменить только на свою первичную (по умолчанию имеет то же название, как и имя соответствующего пользователя). Эти все ограничения введены по нескольким причинам, чтобы никто не мог подсунуть какой ни будь зловредный файл и для того чтобы если на компьютере установлен лимит дискового пространства для конкретного пользователя, нельзя было просто переопределив владельца превысить его.
Использование прав для других может не потребоваться, теперь вам нужно только настроить свои каталоги как «доступные для записи» для вашего пользователя и группы. В этом случае просто установите права для каталогов на 755 или 775 вместо 757 или. Владелец может читать, писать и запускать. Другие могут читать и запускать.
Веб-сервер по-прежнему должен быть настроен для пользователя и доступен для чтения для группы, поэтому он может выдавать команды запуска и чтения в файлах внутри каталога. И снова этот набор прав может быть убран до 755 после завершения установки. Каковы основные правила о каталогах и какие файлы?
Следующие базовые операции которые можно совершить над файлом: это доступ на чтение (Read), доступ на запись (Write) и доступ на выполнение (eXecute). Эти операции устанавливаются для каждой из трех групп пользователей раздельно. Причем проделать это может только пользователь владелец и конечно же суперпользователь. Для установки соответствующих прав используется команда chmod. Применяется она в двух формах абсолютной - когда игнорируются старые права, а безусловно устанавливаются новые, и относительной - когда к имеющимся правам добавляются/убираются другие. Абсолютная форма предполагает задание прав доступа к файлу прямым заданием его в восьмеричной форме. Для того чтобы получить полный код необходимого режима файла, необходимо просто сложить значения кодов приведенных в таблице.
Это работает, если вам не нужно сохранять файлы с сетевого сервера, те же правила применяются к каталогам. Как вы можете видеть, это зависит от нескольких факторов! Например: Файлы = 644 Каталоги = 755. Эти параметры должны содержать файлы. Если вы решили использовать кеш-кеш, каталог кэша должен быть доступен для записи сервером, чтобы разрешить сохранение временных файлов.
Ниже приведены наиболее полезные варианты использования. Вот наиболее распространенные случаи использования. Копирование файла из одного каталога в другой. Вы также можете использовать его для переименования файла или каталога. Наиболее полезные примеры использования описаны ниже. Ниже приведены некоторые варианты использования. Удаление каталога без сообщений или запросов.
Таким образом команда # chmod 755 file устанавливает следующие права доступа, это исполняемый файл, запустить его на выполнение и прочитать содержимое имеют право все (т.е. владелец, группа и остальные), а владелец дополнительно имеет право на изменение содержимого - запись. Это кстати пример задания прав классического cgi сценария.
Относительная форма команды требует конкретного указания классов доступа ("u"- владелец, ‘g"- группа, ‘o"- остальные, ‘a" -все вместе), соответствующие права доступа ("r" - чтение, ‘w" - запись, ‘x" - выполнение) и операцию которую необходимо произвести для списка файлов ("+" добавить, ‘-" удалить, ‘=" присвоить) для соответствующего списка файлов. Например команда # chmod u+w, ug+r, a+x file добавляет дополнительно к имеющимся всем право запустить файл на выполнение, группа и владелец смогут прочесть содержимое, а владелец кроме того и изменить содержание. Да и команда ‘=" относится скорее к абсолютному заданию прав доступа так как устанавливает соответствующие права вместо имеющихся.
Синтаксис команды следующий. Предполагается, что квадратные скобки означают то, что не требуется. В принципе, глядя на рисунок 1, мы не можем много говорить о том, с какими файлами мы имеем дело. 
Разница между ними показана на рисунке. 
Резервные копии файлов сохраняются под тем же именем, что и отредактированный файл тильды в самом конце. Если вы отредактировали файл2, он будет сохранен как файл2. Если мы отредактируем большое количество файлов, нам может быть сложно найти конкретный файл при просмотре контента.
Просмотреть соответствующие права доступа, а также владельца и группу можно с помощью команды ls -l:
$ ls -l
drwxrwxr-x 2 sergej sergej 1024 Авг 17 09:45 bin
-rw-rw-r- 1 sergej sergej 604 Авг 22 21:07 printenv.pl
Буква ‘d" означает, что это каталог, прочерк ‘-" - обыкновенный файл, ‘l" - символическая связь, ‘b"- блочное устройство, ‘c" - символьное устройство. Исполняемый файл может быть как откомпилированной программой (для его запуска необходимо только право на выполнение) и скриптом. Чтобы запустить на выполнение последний необходимо дополнительно право на чтение, так как программа-интерпретатор должна перед этим его прочитать. Значение прав доступа для различных типов файлов также различно. Вы ведь не забыли, что все остальное: каталоги, устройства, сокеты и именованные каналы тоже являются файлами. Например для последних трех право на выполнение смысла не имеет. Для символических связей они контролируются целевым файлом. Для каталогов они имеют немного другой смысл. Каталог по своей сути файл содержащий имена всех файлов которые содержатся в данном каталоге, а также указатели на дополнительную информацию, позволяющие операционной системе производить необходимые операции. Так вот право на чтение каталога позволяет всего лишь получить только имена файлов, находящихся в данном каталоге. А вот для того, чтобы получить дополнительную информацию, необходимы право на исполнение так, как уже прийдется заглянуть в "метаданные" каждого файла. Также чтобы перейти в какой ни будь каталог (cd) (и все каталоги на пути) необходимо иметь право на выполнение. Поэтому например часто создав каталог для домашней страницы Web-сервера Apache (public_html) и при попытке открыть его http://localhost/~user_name, получаете сообщение о том, что узел не достижим одной из причин является, то что сервер просто не может прочитать содержимое соответствующего каталога и всех каталогов на пути к нему. Кстати из-за наличия этих особенностей можно добиться так называемого эффекта "dark directory". Когда есть возможность создать каталог файлы в котором доступны только если пользователь знает точно имя соответствующего файла. Давайте посмотрим, как создать такой каталог.
Таким образом, вы можете отображать контент без файлов, заканчивающихся тильдой. На рисунке 5 показан этот случай. Что в конечном итоге будет. 
Эта команда принимает форму, как показано. 
Один или несколько из следующих индикаторов включены в результат, или нет для обычных файлов.
Вы также можете комбинировать эти два параметра, набрав. 
Для этого просто введите консоль. Кавычки могут быть указаны в кавычках, если файл в названии содержит пробел, вы можете ввести имя всего файла с пробелами в кавычках. На рисунке 11 показано это поведение. 
Эта команда может принимать одну из двух форм. На рисунке 12 показано применение этой команды.
$ mkdir darkcat # создаем каталог
$ chmod a-r+x darkcat # устанавливает необходимые права доступа, добавляем исполнение для всех и убираем возможность чтения списка файлов
$ ls -l # маленькая проверка
d-wx-wx-x 2 sergej sergej 1024 Сен 7 15:14 darkcat
$ cp myfile darkcat # копируем файл в каталог
$ cd darkcat # переходим в каталог
$ ls -l # пробуем прочитать список файлов
При отображении содержимого расширенного каталога, если есть символическая ссылка, отображается информация об этой символической ссылке, а не файл, связанный с ней. На рисунке 14 показано это. Как легко видеть, первая команда показывает подробную информацию о самой символической ссылке. На следующей строке команда показывает информацию о файле, который связан с ссылкой, как показано в третьей строке, и отображает информацию о файле.
Буквальная оболочка оболочки локали - всегда убегайте.
. Точно так же вместо побега мы вставляем другие слова, упомянутые выше. 
Однако есть еще несколько критериев сортировки, а именно: нет, расширение, размер, версия. Поэтому, чтобы просмотреть данные, отсортированные в алфавитном порядке по расширению, вы должны сделать то же самое, что и на рисунке 2. Обе версии дают одинаковый видимый эффект.
ls: .: Permission denied # вот те раз
$ cat myfile # выводим содержимое файла на терминал
Получилось.
Право на запись для каталога позволяет изменять его содержимое т.е. удалять и записывать файлы, при этом права доступа к конкретному файлу игнорируются.
Еще один момент права на доступ проверяются в такой последовательности: суперпользователь, владелец, группа-владелец и остальные. Отсюда если вы являясь владельце забыли установить для себя право например на запись, но установили его всем остальным и не надейтесь, что сможете записать в него что-нибудь, даже если вы являетесь членом группы, просто потому, что все остальные могут, а вы являетесь владельцем. Система при запросе нужного ресурса проверит кем он запрашивается в приведенной выше последовательности и допустит только к разрешенным операциям, дальнейшая проверка прав просто проводится не будет.
На рисунке 19 отображаемые данные сортируются в алфавитном порядке по расширению. На рисунке 20 порядок отменяется. Просмотр содержимого каталога без дополнительной информации, каждая запись в новой строке выполняется с использованием опции. 
Фактически для отображения содержимого каталога используются два или три параметра.
В этой статье содержатся инструкции по установке студенческого сообщения вместе со всем дидактическим и служебным программным обеспечением. Система очень требовательна и отлично работает на компьютерах в лаборатории. Если с этим возникнут какие-либо проблемы, мы попытаемся найти решение для них и поделиться им с читателями сайта. Загрузите соответствующую версию в соответствии с вашим процессором. 32-разрядная версия может быть установлена на 64-разрядном процессоре. В студии у вас должна быть унифицированная версия, тогда проблем с обменом программами будет меньше.
Справедливости стоит отметить, что права доступа имеет не пользователь, а процесс запущенный ним. Не вдаваясь в подробности (я думаю о процессах разговор отдельный), каждый пользователь зарегистрировавшись в системе получает свою копию текущего процесса shell который имеет установленные идентификаторы RID и RGID реальные индетификаторы пользователя и первичной группы пользователя. А все процессы запущенные пользователем (дочерними), которые наследуют все переменные в том числе и RID, RGID. К чему это я собственно. У нас остались не рассмотренными три режима файла: бит сохранения задачи (stisky bit или save text mode), а также флаги SUID и SGID. Со stisky bit все просто, этот бит указывает на необходимость сохранения копии выполняющейся программы в памяти после завершения выполнения. Этот режим позволяет сэкономить время на запуске программы при частом использовании, но в современных системах применение этого режима встречается редко. А вот флаги SUID и SGID позволяют изменить (расширить) права пользователя (группы) запустившего программу на выполнение, на время выполнения программы. Как уже говорилось запущенное приложение имеют права доступа к системным ресурсам такие же, что и пользователь, запустивший программу. А установки этих флагов позволяет назначить права доступа исходя из прав доступа владельца файла. Отсюда если владельцем запущенного приложения является root, то любой независимо кто запустил данное приложение будет иметь права суперпользователя. При этом при установке флага SUID наследуется права владельца файла, а SGID - группы-владельца.
Начнется установка системы. Выберите язык системы и нажмите кнопку мыши на кнопке. Здесь мы подтверждаем минимальные системные требования. В противном случае вам потребуется выполнить обновление после установки. Нажмите на кнопку на передней панели. В следующем окне установщика мы можем выбрать тип установки. Если диск был ранее очищен и никаких разделов не было включено, тогда лучше выбрать первый вариант. Однако в студии диски обычно содержат некоторые данные. В этом случае выберите вариант Использовать другое решение и нажмите «Установить».
В качестве примера где может применяться это свойство рассмотрим утилиту passwd, которая позволяет изменить пользователю свой пароль. Все учетные записи и пароли (в зашифрованном виде) хранятся в файлах /etc/passwd и /etc/shadow, если предоставить право каждому пользователю на самолично вносить изменения в эти файлы напрямую, то можете представить, что это будет. И естественно вам и не кто и не даст такое право.
Появится окно приложения, которое позволит вам управлять разделением диска. Сначала нам нужно удалить все разделы предыдущей системы. Для этого выберите их по одному и удалите их с помощью знака «минус». Теперь выберите доступное пространство и нажмите кнопку «плюс».
Мы первыми создали так. обменное пространство. После создания раздела подкачки выберите доступное пространство и нажмите кнопку «плюс». В качестве размера мы принимаем все доступное пространство. И последнее, но не менее важное: точка монтирования. Физический диск всегда отображается как каталог в структуре каталогов системы. Нажмите «Установить».
$ ls -l /etc/passwd /etc/shadow
Как видите все пользователи имеют право только на чтение файла /etc/passwd, а записывать информацию может только root (а /etc/shadow как вы видите закрыли от всех, чтобы пароли не могли подобрать). Теперь смотрим на утилиту passwd:
$ ls -l /usr/bin/passwd
R-s-x-x 1 root root 15104 Мар 14 03:44 /usr/bin/passwd
Буква "s" означает, что установлен флаг SUID, а владельцем файла является его величество root и теперь кто бы ни запустил утилиту на выполнение, на время работы программы он временно получает права суперпользователя, т.е. произвести запись в защищенный системный файл. Естественно утилита должна (и делает это) производить изменение учетной записи только запустившего ее пользователя. Как вы понимаете требования по безопасности к программам использующим данный метод должны быть повышены. Это наверное самая большая дыра во всех Unix, потому что найдя ошибку в одной из программ использующих биты SUID/SGID можно производить любые действия не обладая при этом правами суперпользователя. А аксиома программирования говорит, что ошибки будут всегда. Поэтому сейчас где можно пытаются уйти или сильно изменить этот механизм. Да почитайте хотя бы аннотацию к большинству дистрибутивов Linux, там производитель с гордостью сообщает, что такие то программы уже не используют механизм SUID/SGID. Для установки битов SUID/SGID в символьной форме используется буква - "s", sticky bit устанавливается буквой -"t", а с помощью буквы ‘l" можно установить блокировку файла, для устранения возможных конфликтов когда несколько процессов попытаются работать с одним и тем же файлом. И еще один интересный момент.
В следующем окне выберите часовой пояс пользователя. Поскольку мы выбрали польский язык, установщик предложил по умолчанию зону Варшавы. Здесь мы выбираем компоновку клавиатуры. Наконец, мы установили данные для учетной записи администратора компьютера. Это не учетная запись студента, которая будет создана позже. Администратор имеет высокие привилегии, такие как возможность изменения системных настроек и установки программного обеспечения. Студентов таких прав не будет. Посмотрите имя компьютера, которое затем будет видно в сети.
Каждый компьютер-студент должен иметь другое имя, например, заполненный номер задания. Этот процесс может занять много минут в зависимости от скорости вашего компьютера. По завершении установки появится окно. Нажмите «Перезагрузить компьютер». Мы перезагружаем компьютер и заходим в ранее существующую административную учетную запись.
$ ls -l /
drwxrwxrwt 25 root root 4096 Сен 8 20:08 tmp
Посмотрите, в каталоге /tmp установлен sticky bit. Зачем? Как говорилось предоставление права на запись в каталог позволяет удалять все файлы даже те владельцами которых он не является. Чтобы избежать этого устанавливается sticky bit для каталога и теперь удалить файл может только пользователь создавший его. А при установке бита SGID для каталога, все вновь созданные файлы будут теперь наследовать группу не по пользователю создавшему его, а по группе-владельцу каталога.
Затем запустите обновление программного обеспечения, если оно не запустится автоматически. Если есть какие-либо обновления, мы их установим, чтобы убедиться, что программное обеспечение обновлено. Операции, которые изменяют системные настройки, требуют проверки подлинности пользователем, имеющим права системного администратора. Поэтому иногда появляется окно с запросом пароля учетной записи пользователя.
Авторизация начинается с обновления системы, что может занять некоторое время - в зависимости от размера обновления и скорости подключения к Интернету. После завершения обновления рекомендуется перезапустить систему, чтобы начать работу с новыми компонентами.
А теперь для чего все это собственно я вам рассказываю т.е. о наших швабрах. Представьте такую ситуацию смотрировали CDROM под root и скопировали с него файлы в домашний каталог обычного пользователь, поработали и выключили компьютер. Угадайте на следующий день вы сможете открыть там хоть один файл. Да работать мне целую неделю в Windows если да, а все потому, что владельцем файла окажется все тот же суперпользователь. Это относится и к различным конфигурационным файлам скопированным в домашний каталог (или созданным под root), процесс запущенный обычным пользователем просто не сможет его прочитать и пользоваться вы будете общесистемным, недоумевая почему не вступают в силу настройки произведенные вами. А вот еще ситуация настроили принтер утилитой princonf, под обычным пользователем не печатает. Почему? А потому, что вам не дано право на выполнение. Самый радикальный метод который я встречал в некоторых книгах выглядит так.
В диалоговом окне выберите соединение, которое вы хотите изменить, и нажмите кнопку «Изменить». Ниже приведен пример настроек сетевого подключения. Как только все настроено, нажмите кнопку «Сохранить». Теперь мы настраиваем язык для нашей системы. В разделе «Настройки» выберите параметр «Язык».
Вы заметите, что языки не установлены полностью. Нажмите кнопку «Установить». Как только язык будет разрешен, они будут установлены, и вы получите следующий диалог. Польский язык должен располагаться в верхней части установленных языков. Нажмите кнопку «Применить» для всей системы, подтвердите изменение и нажмите кнопку «Закрыть».
# chmod a+rwx /dev/*
Все получают право на выполнение, чтение и запись и проблема решена, причем проделав сразу для всех файлов данного каталога вы решите ее раз и на всегда. Для домашнего пользователя в принципе такое решение сойдет. Но оно как раз в духе Windows. Более культурный вариант выглядит так.
$ ls -l /dev/lp0
Видите право на выполнение дано root и членам группы lp, отсюда если нужен принтер добавьте себя в эту группу. Либо прямым редактированием файла /etc/group (sergej:x:500:sergej,gdm,mysql,named,nobody,sound,lp), либо с помощью различных графических утилит вроде System Setting.
Зачем все это?
Например не играет звук. Смотрим.
$ ls -l /dev/dsp
Получается что только пользователь sergej будет слушать музыку. Парадокс однако. Пришлось создавать группу sound и добавить в нее себя, сделать владельцем обиженного root"a, а для группы sound определить чтение. Справедливости хотелось отметить, что права доступа это заслуга не только операционной, но и файловой системы ext2. В inode файла внесена вся необходимая информация о соответствующих правах доступа.
Или например на форумах часто спрашивают как сделать чтобы ppp соединение было доступно обычному пользователю. А все просто. Не нужно ничего выдумывать. Ищем пользователя и группу которая имет доступ к этому сервису и добавляем себя любимого. В Ubuntu это группа dip.
Вот и в принципе и все. Бывшего пользователя Windows несколько раздражает такой подход когда собственноручно созданный файл нельзя даже прочитать, но зато такой подход дисциплинирует, лучше всяких запретов. По этой же причине в Linux мало приживаются вирусы, для того чтобы нанести серьезный ущерб системе нужны соответствующие права. Linux forever.
Вадим Виниченко, Мэтт Уэлш
Пользователи и группы
Поскольку система Linux с самого начала разрабатывалась как многопользовательская, в ней предусмотрен такой механизм, как права доступа к файлам и каталогам. Он позволяет разграничить полномочия пользователей, работающих в системе. В частности, права доступа позволяют отдельным пользователям иметь “личные ” файлы и каталоги. Например, если пользователь ivanov создал в своём домашнем каталоге файлы, то он является владельцем этих файлов и может определить права доступа к ним для себя и остальных пользователей. Он может, например, полностью закрыть доступ к своим файлам для остальных пользователей, или разрешить им читать свои файлы, запретив изменять и исполнять их.
Правильная настройка прав доступа позволяет повысить надёжность системы, защитив от изменения или удаления важные системные файлы. Наконец, поскольку внешние устройства с точки зрения Linux также являются объектами файловой системы, механизм прав доступа можно применять и для управления доступом к устройствам.
“Пользователями ” системы Linux , выполняющими различные действия с файлами и каталогами, являются на самом деле вовсе не люди, а программы, выполняемые в системе - процессы . Одна из таких программ - командная оболочка, которая считывает команды пользователя из командной строки и передаёт их системе на выполнение. Каждая программа (процесс) выполняется от имени определённого пользователя. Её возможности работы с файлами и каталогами определяются правами доступа, заданными для этого пользователя.
С целью оптимальной настройки прав доступа для ряда программ-серверов в системе созданы системные пользователи (учётные записи), от имени которых работают эти программы. Например, в системе ALT Linux веб-сервер (Apache) выполняется от имени пользователя apache , а ftp-сервер - от имени пользователя ftp . Такие учётные записи не предназначены для работы людей-пользователей.
У любого файла в системе есть владелец - один из пользователей. Однако каждый файл одновременно принадлежит и некоторой группе пользователей системы. Каждый пользователь может входить в любое количество групп, и в каждую группу может входить любое количество пользователей из числа определённых в системе.
Когда в системе создаётся новый пользователь, он добавляется по крайней мере в одну группу. В системе Linux при создании новой учётной записи создаётся специальная группа, имя которой совпадает с именем нового пользователя, и пользователь включается в эту группу. В дальнейшем администратор может добавить пользователя к другим группам.
Механизм групп может применяться для организации совместного доступа нескольких пользователей к определённым ресурсам. Например, на сервере организации для каждого проекта может быть создана отдельная группа, в которую войдут учётные записи (имена пользователей) сотрудников, работающих над этим проектом. При этом файлы, относящиеся к проекту, могут принадлежать этой группе и быть доступными для её членов. В системе также определено несколько групп (например, bin), которые используются для управления доступом системных программ к различным ресурсам. Как правило, членами этих групп являются системные пользователи, пользователи-люди не включаются в такие группы.
В некоторых дистрибутивах Linux (в т. ч. в дистрибутивах ALT Linux) с помощью групп могут быть предоставлены права, необходимые для выполнения определённых пользовательских задач. Например, чтобы пользователь получил возможность собирать пакеты RPM , его следует включить в группу rpm , чтобы предоставить возможность записи дисков CD-R/RW, пользователя нужно включить в группу cdwriter и т. д.
Виды прав доступа
Права доступа определяются по отношению к трём типам действий: чтение, запись и исполнение. Эти права доступа могут быть предоставлены трём классам пользователей: владельцу файла (пользователю), группе, которой принадлежит файл, а также всем остальным пользователям, не входящим в эту группу. Право на чтение даёт пользователю возможность читать содержимое файла или, если такой доступ разрешён к каталогам, просматривать содержимое каталога (используя команду ls ). Право на запись даёт пользователю возможность записывать или изменять файл, а право на запись для каталога - возможность создавать новые файлы или удалять файлы из этого каталога. Наконец, право на исполнение позволяет пользователю запускать файл как программу или сценарий командной оболочки (разумеется, это действие имеет смысл лишь в том случае, если файл является программой или сценарием). Для каталогов право на исполнение имеет особый смысл - оно позволяет сделать данный каталог текущим , т. е. “перейти ” в него, например, командой cd .
Чтобы получить информацию о правах доступа, используйте команду ls с ключом -l . При этом будет выведена подробная информация о файлах и каталогах, в которой будут, среди прочего, отражены права доступа. Рассмотрим следующий пример:
Первое поле в этой строке (-rw-r--r--) отражает права доступа к файлу. Третье поле указывает на владельца файла (ivanov), четвёртое поле указывает на группу, которая владеет этим файлом (users). Последнее поле - это имя файла (report1303). Другие поля описаны в документации к команде ls .
Данный файл является собственностью пользователя ivanov и группы users . Последовательность -rw-r--r-- показывает права доступа для пользователя - владельца файла, пользователей - членов группы-владельца, а также для всех остальных пользователей.
Первый символ из этого ряда (-) обозначает тип файла. Символ - означает, что это - обычный файл, который не является каталогом (в этом случае первым символом было бы d) или псевдофайлом устройства (было бы c или b). Следующие три символа (rw-) представляют собой права доступа, предоставленные владельцу ivanov . Символ r - сокращение от read (англ. читать), а w - сокращение от write (англ. писать). Таким образом, ivanov имеет право на чтение и запись (изменение) файла report1303 .
После символа w мог бы стоять символ x , означающий наличие прав на исполнение (англ. execute, исполнять) файла. Однако символ - , стоящий здесь вместо x , указывает, что ivanov не имеет права на исполнение этого файла. Это разумно, так как файл report1303 не является программой. В то же время, пользователь, зарегистрировавшийся в системе как ivanov , при желании может предоставить себе право на исполнение данного файла, поскольку является его владельцем. Для изменения прав доступа к файлу или каталогу используется команда chmod .
Следующие три символа (r--) отражают права доступа группы к файлу. Группой-собственником файла в нашем примере является группа users . Поскольку здесь присутствует только символ r , все пользователи из группы users могут читать этот файл, но не могут изменять или исполнять его.
Наконец, последние три символа (это опять r--) показывают права доступа к этому файлу всех других пользователей, помимо собственника файла и пользователей из группы users . Так как здесь указан только символ r , эти пользователи тоже могут читать файл
Вот ещё несколько примеров:
Rwxr-x--x
-rw------- -rwxrwxrwx ----------Никто, включая самого владельца файла, не имеет прав на его чтение, запись или выполнение . Хотя такая ситуация вряд ли имеет практический смысл, с точки зрения системы она является вполне корректной. Разумеется, владелец файла может в любой момент изменить права доступа к нему.
Возможность доступа к файлу зависит также от прав доступа к каталогу, в котором находится файл. Например, даже если права доступа к файлу установлены как -rwxrwxrwx , другие пользователи не могут получить доступ к файлу, пока они не имеют прав на исполнение для каталога, в котором находится файл. Другими словами, чтобы воспользоваться имеющимися у вас правами доступа к файлу, вы должны иметь право на исполнение для всех каталогов вдоль пути к файлу.
Права доступа и администрирование системы
Установка и поддержание оптимальных прав доступа является одной из важнейших задач системного администратора. Права должны быть достаточными для нормальной работы пользователей и программ, но не большими, чем необходимо для такой работы. Дистрибутивы ALT Linux обладают продуманной системой прав (предопределённые группы, псевдопользователи для различных программ-серверов, права доступа для системных файлов и каталогов). Прежде чем вносить существенные изменения в эту систему, целесообразно понять её логику и выяснить, нет ли другого способа достичь нужной цели.
Поскольку программы, исполняемые от имени суперпользователя (root), могут совершать любые действия с любыми файлами и каталогами, их выполнение может нанести системе серьёзный ущерб. Это может быть как следствием уязвимостей или ошибок в программах, так и результатом ошибочных действий самого пользователя. Поэтому работа с правами суперпользователя требует особой осторожности. Чтобы уменьшить связанные с этим риски, разработчики дистрибутивов ALT Linux рекомендуют для выполнения задач, требующих таких прав, использовать утилиту sudo .
Основные команды
Ниже перечислены важнейшие команды для решения задач, связанных с правами доступа. Для получения более подробной информации об этих командах обращайтесь к руководствам по ним.
chmod
Изменение прав доступа к файлу или каталогу.
chownИзменение владельца файла.
chgroupИзменение группы, которой принадлежит файл.
umaskОпределение прав доступа по умолчанию для файлов, создаваемых пользователем.
В этом разделе, если специально не оговорено иное, под пользователем понимается пользователь с точки зрения системы, т. е. зарегистрировавшийся в определённой учётной записи (работающий под определённым именем пользователя). Права доступа определяются именно для пользователей в указанном смысле. При этом один человек, работающий в системе, может регистрироваться под различными именами пользователя для выполнения различных действий. Наоборот, несколько человек, использующих одну и ту же учётную запись, для системы являются одним и тем же пользователем.
Строго говоря, за исключением суперпользователя (root), который может выполнять любые операции над любыми файлами в системе.