Установка прав на файл linux. Специальные атрибуты файлов. Возможные действия над файлом
Вадим Виниченко, Мэтт Уэлш
Пользователи и группы
Поскольку система Linux с самого начала разрабатывалась как многопользовательская, в ней предусмотрен такой механизм, как права доступа к файлам и каталогам. Он позволяет разграничить полномочия пользователей, работающих в системе. В частности, права доступа позволяют отдельным пользователям иметь “личные ” файлы и каталоги. Например, если пользователь ivanov создал в своём домашнем каталоге файлы, то он является владельцем этих файлов и может определить права доступа к ним для себя и остальных пользователей. Он может, например, полностью закрыть доступ к своим файлам для остальных пользователей, или разрешить им читать свои файлы, запретив изменять и исполнять их.
И каждый файл в вашей системе имеет сопутствующий набор разрешений, основанных на праве собственности. Эти разрешения обеспечивают защиту данных, предоставляя конкретные настройки разрешений для каждого отдельного элемента, указывающего, кто может читать, писать или выполнять файл.
Эти разрешения устанавливаются индивидуально для владельца файла, для членов группы, к которой принадлежит файл, и для всех остальных в системе. Тип созданного файла - общие индикаторы типа файла находятся в главной букве на выходе. Разрешения -Учитывать, записывать и выполнять разрешения для владельца, группы и всех остальных в системе. Число 1 обозначает, что существует только один файл, тогда как любой другой номер указывает, что может быть один или несколько файлов с жесткой привязкой. Жестко связанный файл является точной копией файла, но он может быть расположен в другом месте в системе. Количество ссылок на файл. . Разрешения могут указываться мнемоническими или восьмеричными символами.
Правильная настройка прав доступа позволяет повысить надёжность системы, защитив от изменения или удаления важные системные файлы. Наконец, поскольку внешние устройства с точки зрения Linux также являются объектами файловой системы, механизм прав доступа можно применять и для управления доступом к устройствам.
“Пользователями ” системы Linux , выполняющими различные действия с файлами и каталогами, являются на самом деле вовсе не люди, а программы, выполняемые в системе - процессы . Одна из таких программ - командная оболочка, которая считывает команды пользователя из командной строки и передаёт их системе на выполнение. Каждая программа (процесс) выполняется от имени определённого пользователя. Её возможности работы с файлами и каталогами определяются правами доступа, заданными для этого пользователя.
Здесь перечислены мнемонические символы. Все остальные пользователи могут читать только файл. Многие пользователи предпочитают использовать числовые коды, основанные на восьмеричных значениях, для представления разрешений. Вот что означают эти значения.
В восьмеричной нотации предыдущий примерный файл имеет разрешение 664. Хотя вы можете использовать любую форму нотации разрешений, восьмеричную легко использовать быстро, после того как вы визуализируете и понимаете, как пронумерованы разрешения. Вы также можете разрешать или запрещать доступ других групп к вашим файлам, изменяя групповые разрешения ваших файлов. Здесь вы можете видеть, что у каталога есть значения разрешений 755. Это показывает, что владелец может читать и записывать в каталог и, из-за разрешения на выполнение, также перечислить содержимое каталога.
С целью оптимальной настройки прав доступа для ряда программ-серверов в системе созданы системные пользователи (учётные записи), от имени которых работают эти программы. Например, в системе ALT Linux веб-сервер (Apache) выполняется от имени пользователя apache , а ftp-сервер - от имени пользователя ftp . Такие учётные записи не предназначены для работы людей-пользователей.
Возможные действия над файлом
Участники группы и все остальные пользователи могут отображать только содержимое каталога. Обратите внимание, что каталоги требуют разрешения для каждого пользователя, чтобы иметь возможность просматривать их содержимое. В этом письме указывается, что этот файл является каталогом; нормальные файлы имеют пустое поле на своем месте.
Другие файлы, такие как те, которые указывают блок или символьное устройство, имеют другую букву. Устройство имеет разрешения 660. Эта команда использует различные формы синтаксиса команд, включая восьмеричную или мнемоническую форму, чтобы указать желаемое изменение. Как вы можете видеть, вы можете читать и записывать файл. Любой может читать только файл.
У любого файла в системе есть владелец - один из пользователей. Однако каждый файл одновременно принадлежит и некоторой группе пользователей системы. Каждый пользователь может входить в любое количество групп, и в каждую группу может входить любое количество пользователей из числа определённых в системе.
Когда в системе создаётся новый пользователь, он добавляется по крайней мере в одну группу. В системе Linux при создании новой учётной записи создаётся специальная группа, имя которой совпадает с именем нового пользователя, и пользователь включается в эту группу. В дальнейшем администратор может добавить пользователя к другим группам.
Теперь никто не может писать в файл. Если вы удалите разрешение на выполнение для каталога, файлы могут быть скрыты внутри и не могут быть указаны или доступны кем-либо еще. Эти настройки, когда они используются в программе, позволяют любому пользователю, выполняющему эту программу, иметь права владельца программы или владельца группы для этой программы. Эти настройки позволяют эффективно запускать программу кем угодно, не требуя, чтобы разрешения каждого пользователя были изменены, чтобы включить определенные разрешения для этой программы.
Механизм групп может применяться для организации совместного доступа нескольких пользователей к определённым ресурсам. Например, на сервере организации для каждого проекта может быть создана отдельная группа, в которую войдут учётные записи (имена пользователей) сотрудников, работающих над этим проектом. При этом файлы, относящиеся к проекту, могут принадлежать этой группе и быть доступными для её членов. В системе также определено несколько групп (например, bin), которые используются для управления доступом системных программ к различным ресурсам. Как правило, членами этих групп являются системные пользователи, пользователи-люди не включаются в такие группы.
Вы выполняете эту модификацию разрешений, используя ведущий 4 перед тремя восьмеричными значениями. Многие программы могут также иметь этот тип разрешения для доступа к звуковому устройству. В прошлых эксплойтах это обычно происходит, когда пользователь подает уязвимую команду с неожиданным вводом; команда завершится неудачно, и пользователю будет предложено корневое приглашение. Обратите внимание, что программы не обязательно должны быть удалены из вашей системы. Если вашим пользователям действительно не нужно использовать программу, вы можете удалить разрешение на выполнение программ для всех.
В некоторых дистрибутивах Linux (в т. ч. в дистрибутивах ALT Linux) с помощью групп могут быть предоставлены права, необходимые для выполнения определённых пользовательских задач. Например, чтобы пользователь получил возможность собирать пакеты RPM , его следует включить в группу rpm , чтобы предоставить возможность записи дисков CD-R/RW, пользователя нужно включить в группу cdwriter и т. д.
Специальные атрибуты файлов
Этот учебник объясняет все это. У каждого файла также есть «владелец» и «группа», связанные с ним. Если вы создали файл, вы обычно являетесь владельцем этого файла, и ваша группа или группа, связанная с папкой, в которой вы создали файл, обычно связаны с этим файлом.
Что означают все эти смешные буквы и цифры?!
Есть три типа людей, которые могут делать материал в файлах - Владелец файла, любой в группе, к которой принадлежит файл, и другие. Для файлов или папок можно сделать три основных элемента.
- Для папок это означает перечисление содержимого папки.
- Вы можете записать в файл.
- Для папок это означает создание и удаление файлов в папке.
- Вы можете выполнить файл, если это программа или сценарий.
- Для папок это означает доступ к файлам в папке.
Виды прав доступа
Права доступа определяются по отношению к трём типам действий: чтение, запись и исполнение. Эти права доступа могут быть предоставлены трём классам пользователей: владельцу файла (пользователю), группе, которой принадлежит файл, а также всем остальным пользователям, не входящим в эту группу. Право на чтение даёт пользователю возможность читать содержимое файла или, если такой доступ разрешён к каталогам, просматривать содержимое каталога (используя команду ls ). Право на запись даёт пользователю возможность записывать или изменять файл, а право на запись для каталога - возможность создавать новые файлы или удалять файлы из этого каталога. Наконец, право на исполнение позволяет пользователю запускать файл как программу или сценарий командной оболочки (разумеется, это действие имеет смысл лишь в том случае, если файл является программой или сценарием). Для каталогов право на исполнение имеет особый смысл - оно позволяет сделать данный каталог текущим , т. е. “перейти ” в него, например, командой cd .
Путаница часто возникает, когда вам приходится начинать фактически устанавливать разрешения на вашем файловом сервере. Теперь мы объясним, что означают все эти иероглифы! Давайте объясним, что означает каждая из этих букв. Как вы можете видеть, строка букв разбивается на 3 секции по 3 буквы каждый, представляя каждый из типов пользователей.
Использование чисел вместо букв
Если какая-либо из этих букв заменяется дефисом, это означает, что разрешение не предоставляется. Как мы уже говорили ранее, вас часто просят сделать что-то, используя цифры, например «установить разрешения 755». Ну, каждое из трех чисел соответствует каждому из трех разделов писем, о которых мы говорили ранее. Другими словами, первое число определяет разрешения владельца, второе число определяет групповые разрешения, а третье число определяет другие разрешения.
Чтобы получить информацию о правах доступа, используйте команду ls с ключом -l . При этом будет выведена подробная информация о файлах и каталогах, в которой будут, среди прочего, отражены права доступа. Рассмотрим следующий пример:
Первое поле в этой строке (-rw-r--r--) отражает права доступа к файлу. Третье поле указывает на владельца файла (ivanov), четвёртое поле указывает на группу, которая владеет этим файлом (users). Последнее поле - это имя файла (report1303). Другие поля описаны в документации к команде ls .
Изменение прав доступа
Каждый номер может иметь одно из восьми значений от 0 до каждого значения, соответствующее определенной настройке разрешений на чтение, запись и выполнение, как описано в этой таблице. После того, как вы выбрали соответствующий пункт меню, вы, вероятно, увидите диалоговое окно, подобное следующему.
Как вы можете видеть, довольно легко установить или отключить права на чтение, запись и выполнение для владельца, группы и других пользователей, используя флажки. В качестве альтернативы вы можете ввести эквивалентное 3-значное число, если знаете Это.
Данный файл является собственностью пользователя ivanov и группы users . Последовательность -rw-r--r-- показывает права доступа для пользователя - владельца файла, пользователей - членов группы-владельца, а также для всех остальных пользователей.
Первый символ из этого ряда (-) обозначает тип файла. Символ - означает, что это - обычный файл, который не является каталогом (в этом случае первым символом было бы d) или псевдофайлом устройства (было бы c или b). Следующие три символа (rw-) представляют собой права доступа, предоставленные владельцу ivanov . Символ r - сокращение от read (англ. читать), а w - сокращение от write (англ. писать). Таким образом, ivanov имеет право на чтение и запись (изменение) файла report1303 .
Это, как правило, быстрее, если вы хотите сменить сразу несколько файлов, но для начинающих это немного более странно. Чтобы отправлять ответы, вы должны быть участником. Регистрация бесплатна, проста и занимает всего минуту. Нет смысла пытаться скрыть это.
Это правда, что работа с разрешениями на файлы в любой операционной системе может быть очень уродливым. Прежде чем окунуться в разрешение, важно понять концепцию собственности. Боб также может быть членом группы «аудио» с другими пользователями, такими как Мэри.
Для изучения есть только три разрешения: чтение, запись и выполнение. «Чтение» - это возможность просмотра файла. «Запись» дает пользователю право изменять его. «Выполнить» превращает двоичные файлы и скрипты в исполняемые программы. Существует три типа пользователей, которые могут иметь разрешения: владелец, группа и другие. «Владелец» относится к пользователю, которому принадлежит файл, тогда как «группа» включает любого пользователя в группе, связанной с файлом. «Другое» дает разрешения всем. «Другое» также иногда называют «миром», «всем» или «глобальными разрешениями».
После символа w мог бы стоять символ x , означающий наличие прав на исполнение (англ. execute, исполнять) файла. Однако символ - , стоящий здесь вместо x , указывает, что ivanov не имеет права на исполнение этого файла. Это разумно, так как файл report1303 не является программой. В то же время, пользователь, зарегистрировавшийся в системе как ivanov , при желании может предоставить себе право на исполнение данного файла, поскольку является его владельцем. Для изменения прав доступа к файлу или каталогу используется команда chmod .
Имея три разрешения и три пользовательских типа, существует ограниченное количество возможных комбинаций. Как только вы это знаете, становится легче расшифровывать. Каждое разрешение представлено письмом. Каждый тип пользователя может включать в себя ноль или более этих букв. Это также можно представить численно как 664. Основные числовые разрешения, которые вам нужно знать.
Почти во всех ситуациях владелец файла, по крайней мере, имеет права на чтение и запись. Например, если вы хотите запретить разрешения для всех, кроме владельца, вы должны ввести команду. Предоставить доступ только для чтения к вашему файлу. Чтобы предоставить глобальные исполняемые разрешения.
Следующие три символа (r--) отражают права доступа группы к файлу. Группой-собственником файла в нашем примере является группа users . Поскольку здесь присутствует только символ r , все пользователи из группы users могут читать этот файл, но не могут изменять или исполнять его.
Наконец, последние три символа (это опять r--) показывают права доступа к этому файлу всех других пользователей, помимо собственника файла и пользователей из группы users . Так как здесь указан только символ r , эти пользователи тоже могут читать файл
Чтобы дать пользователям права доступа к группе и пользователям, но запретить другим пользователям. Для получения полного разрешения на чтение, запись и выполнение для всех. Например, чтобы сделать исполняемый файл, введите. Предоставление разрешений только для чтения.
Чтобы изменить весь каталог и его содержимое на полные разрешения для прав владельца и исполняемого файла для всех остальных, введите. Поскольку это может потенциально изменить большое количество файлов, используйте его с осторожностью. Создайте несколько текстовых файлов с содержимым или без него и попробуйте изменить права доступа и права собственности на файлы.
Вот ещё несколько примеров:
Rwxr-x--x
-rw------- -rwxrwxrwx ----------Никто, включая самого владельца файла, не имеет прав на его чтение, запись или выполнение . Хотя такая ситуация вряд ли имеет практический смысл, с точки зрения системы она является вполне корректной. Разумеется, владелец файла может в любой момент изменить права доступа к нему.
Попробуйте как можно больше различных комбинаций, пока вы не почувствуете себя комфортно, работая с реальными файлами. В многопользовательской среде необходимо обеспечить, чтобы пользователь не мог получить доступ или изменить файлы или каталоги, которые они должны были выполнять.
Разрешения для файлов предоставляют механизм защиты для контроля доступа к файлам и каталогам. Каждый файл или каталог может быть доступен или изменен пользователем, который его создал, или группой пользователей, которым было предоставлено разрешение на это.
Возможность доступа к файлу зависит также от прав доступа к каталогу, в котором находится файл. Например, даже если права доступа к файлу установлены как -rwxrwxrwx , другие пользователи не могут получить доступ к файлу, пока они не имеют прав на исполнение для каталога, в котором находится файл. Другими словами, чтобы воспользоваться имеющимися у вас правами доступа к файлу, вы должны иметь право на исполнение для всех каталогов вдоль пути к файлу.
Виды прав доступа
Разрешения также могут быть определены для других пользователей, которые не принадлежат ни к одной из этих двух категорий. Мы рассмотрим, как вы можете просматривать разрешения, связанные с файлами и каталогами, а также как их изменить. Вам нужно знать, как использовать терминал для выполнения команд. Эти ресурсы перечислены в конце этого руководства. Прежде чем углубиться в разрешения, есть несколько концепций. Как упоминалось ранее, файл или каталог могут быть доступны или изменены пользователем, который его создал, группой пользователей, которым это разрешено, или другим пользователям, которые не являются ни тем, ни другим.
Права доступа и администрирование системы
Установка и поддержание оптимальных прав доступа является одной из важнейших задач системного администратора. Права должны быть достаточными для нормальной работы пользователей и программ, но не большими, чем необходимо для такой работы. Дистрибутивы ALT Linux обладают продуманной системой прав (предопределённые группы, псевдопользователи для различных программ-серверов, права доступа для системных файлов и каталогов). Прежде чем вносить существенные изменения в эту систему, целесообразно понять её логику и выяснить, нет ли другого способа достичь нужной цели.
Существует три типа разрешений - чтение, запись и выполнение. Давайте рассмотрим все это подробно. Пользователи - это люди, которые используют операционную систему. Группы представляют собой коллекцию пользователей. Группирование пользователей вместе упрощает управление разрешениями.
Разрешение чтения позволяет пользователю просматривать содержимое файла. Разрешение записи позволяет пользователю перезаписывать или добавлять новые данные в файл или удалять их. Разрешение выполнения позволяет пользователю выполнить код, содержащийся в файле. Теперь, когда мы рассмотрели некоторые основы, давайте продолжим просмотр и изменение разрешений.
Поскольку программы, исполняемые от имени суперпользователя (root), могут совершать любые действия с любыми файлами и каталогами, их выполнение может нанести системе серьёзный ущерб. Это может быть как следствием уязвимостей или ошибок в программах, так и результатом ошибочных действий самого пользователя. Поэтому работа с правами суперпользователя требует особой осторожности. Чтобы уменьшить связанные с этим риски, разработчики дистрибутивов ALT Linux рекомендуют для выполнения задач, требующих таких прав, использовать утилиту sudo .
Основные команды
Ниже перечислены важнейшие команды для решения задач, связанных с правами доступа. Для получения более подробной информации об этих командах обращайтесь к руководствам по ним.
chmod
Изменение прав доступа к файлу или каталогу.
chownИзменение владельца файла.
chgroupИзменение группы, которой принадлежит файл.
umaskОпределение прав доступа по умолчанию для файлов, создаваемых пользователем.
В этом разделе, если специально не оговорено иное, под пользователем понимается пользователь с точки зрения системы, т. е. зарегистрировавшийся в определённой учётной записи (работающий под определённым именем пользователя). Права доступа определяются именно для пользователей в указанном смысле. При этом один человек, работающий в системе, может регистрироваться под различными именами пользователя для выполнения различных действий. Наоборот, несколько человек, использующих одну и ту же учётную запись, для системы являются одним и тем же пользователем.
Строго говоря, за исключением суперпользователя (root), который может выполнять любые операции над любыми файлами в системе.
Настало время поговорить о швабре на которую наступают новички. Речь сегодня пойдет о правах доступа. И так вы садитесь за компьютер, работа не идет и в порыве вы уничтожаете случайно важные системные файлы. Или ваши знакомые или сослуживцы залезли в папку которую не должны были видеть. Или... Ситуация я думаю знакомая. Но зато согласитесь удобно. Я сам себе режиссер, что хочу то делаю, любая программа, пользователь имеет доступ ко всем системным файлам и ресурсам, никаких ограничений. Красота. Отсюда эпидемии вирусов. Так вот в Linux всего такого нет. Почему?
Файлы в Linux имеют двух владельцев: пользователя (user owner) и группу (group owner) под которой понимается определенный список пользователей и причем владелец файла не обязательно должен быть членом группы владеющей файлом. Каждый пользователь может быть членом сразу нескольких групп одна из которых называется первичной (primary), а все остальные - дополнительными (supplementary). Это дает большую гибкость в организации доступа к определенному файлу. Совместное использование некоторым ресурсом организовать очень просто, достаточно создать новую группу и включить в нее всех кому это действительно необходимо, а если человек предположим перешел в другой отдел и уже нет необходимости в использовании данного файла. А все очень просто, необходимо просто выключить его из состава данной группы. Ну а, что делать с остальными неужели они так и не смогут хотя бы прочитать содержимое файла или их прийдется каждый раз включать и исключать из группы. А вот для всех остальных (other) которые не принадлежат ни к user owner и group owner права доступа устанавливаются отдельно и как правило самые минимальные. Обычно владельцем файла является пользователь который создал данный файл. Владелец-группа вновь создаваемого файла устанавливается равной первичной группе пользователя создавшего файл, но в некоторых версиях Unix владелец-группа наследуется от владельца-группы каталога в котором создается файл. Для изменения владельца файла используется команда chown в качестве параметров принимающая имя нового владельца и список файлов: # chown new_owner file1 file2 ...Конечно же на месте названия файла может быть и имя каталога, но при этом владелец файлов внутри каталога не изменится, для того чтобы это произошло лучше всего воспользоваться флагом -R (chown -R). При использовании данной команды (впрочем как и большинства) можно пользоваться регулярными выражениями если есть необходимость отобрать файлы удовлетворяющие определенному критерию (chown - R lys *.с). Для изменения владельца группы используется команда chgrp, синтаксис использования данной команды аналогичен предыдущей: # chgrp sales /home/sales/*. Кстати команда chown позволяет сразу установить и группу-владельца для этого необходимо сразу за именем владельца без пробелов и др. знаков поставить двоеточие и написать название необходимой группы
# chown - R sergej:gljuk *
допускается и такой вариант записи:
# chown - R:gljuk * (т.е. аналог команды chgrp).
Владение файлом определяет те операции которые тот или иной пользователь может совершить над файлом. Самые очевидные из них это изменение владельца и группы для некоторого файла. Эти операции может проделать суперпользователь и владелец файла (в производных BSD UNIX только суперпользователь). Если с первым все понятно, то например написав программу и сделать затем ее владельцем, например суперпользователя увы не получится, и хотя вариант изменения владельцем допускается варианта такого применения я честно говоря не нашел. А вот группу, если вы являетесь владельцем файла, можно изменить только на свою первичную (по умолчанию имеет то же название, как и имя соответствующего пользователя). Эти все ограничения введены по нескольким причинам, чтобы никто не мог подсунуть какой ни будь зловредный файл и для того чтобы если на компьютере установлен лимит дискового пространства для конкретного пользователя, нельзя было просто переопределив владельца превысить его.
Следующие базовые операции которые можно совершить над файлом: это доступ на чтение (Read), доступ на запись (Write) и доступ на выполнение (eXecute). Эти операции устанавливаются для каждой из трех групп пользователей раздельно. Причем проделать это может только пользователь владелец и конечно же суперпользователь. Для установки соответствующих прав используется команда chmod. Применяется она в двух формах абсолютной - когда игнорируются старые права, а безусловно устанавливаются новые, и относительной - когда к имеющимся правам добавляются/убираются другие. Абсолютная форма предполагает задание прав доступа к файлу прямым заданием его в восьмеричной форме. Для того чтобы получить полный код необходимого режима файла, необходимо просто сложить значения кодов приведенных в таблице.
Таким образом команда # chmod 755 file устанавливает следующие права доступа, это исполняемый файл, запустить его на выполнение и прочитать содержимое имеют право все (т.е. владелец, группа и остальные), а владелец дополнительно имеет право на изменение содержимого - запись. Это кстати пример задания прав классического cgi сценария.
Относительная форма команды требует конкретного указания классов доступа ("u"- владелец, ‘g"- группа, ‘o"- остальные, ‘a" -все вместе), соответствующие права доступа ("r" - чтение, ‘w" - запись, ‘x" - выполнение) и операцию которую необходимо произвести для списка файлов ("+" добавить, ‘-" удалить, ‘=" присвоить) для соответствующего списка файлов. Например команда # chmod u+w, ug+r, a+x file добавляет дополнительно к имеющимся всем право запустить файл на выполнение, группа и владелец смогут прочесть содержимое, а владелец кроме того и изменить содержание. Да и команда ‘=" относится скорее к абсолютному заданию прав доступа так как устанавливает соответствующие права вместо имеющихся.
Просмотреть соответствующие права доступа, а также владельца и группу можно с помощью команды ls -l:
$ ls -l
drwxrwxr-x 2 sergej sergej 1024 Авг 17 09:45 bin
-rw-rw-r- 1 sergej sergej 604 Авг 22 21:07 printenv.pl
Буква ‘d" означает, что это каталог, прочерк ‘-" - обыкновенный файл, ‘l" - символическая связь, ‘b"- блочное устройство, ‘c" - символьное устройство. Исполняемый файл может быть как откомпилированной программой (для его запуска необходимо только право на выполнение) и скриптом. Чтобы запустить на выполнение последний необходимо дополнительно право на чтение, так как программа-интерпретатор должна перед этим его прочитать. Значение прав доступа для различных типов файлов также различно. Вы ведь не забыли, что все остальное: каталоги, устройства, сокеты и именованные каналы тоже являются файлами. Например для последних трех право на выполнение смысла не имеет. Для символических связей они контролируются целевым файлом. Для каталогов они имеют немного другой смысл. Каталог по своей сути файл содержащий имена всех файлов которые содержатся в данном каталоге, а также указатели на дополнительную информацию, позволяющие операционной системе производить необходимые операции. Так вот право на чтение каталога позволяет всего лишь получить только имена файлов, находящихся в данном каталоге. А вот для того, чтобы получить дополнительную информацию, необходимы право на исполнение так, как уже прийдется заглянуть в "метаданные" каждого файла. Также чтобы перейти в какой ни будь каталог (cd) (и все каталоги на пути) необходимо иметь право на выполнение. Поэтому например часто создав каталог для домашней страницы Web-сервера Apache (public_html) и при попытке открыть его http://localhost/~user_name, получаете сообщение о том, что узел не достижим одной из причин является, то что сервер просто не может прочитать содержимое соответствующего каталога и всех каталогов на пути к нему. Кстати из-за наличия этих особенностей можно добиться так называемого эффекта "dark directory". Когда есть возможность создать каталог файлы в котором доступны только если пользователь знает точно имя соответствующего файла. Давайте посмотрим, как создать такой каталог.
$ mkdir darkcat # создаем каталог
$ chmod a-r+x darkcat # устанавливает необходимые права доступа, добавляем исполнение для всех и убираем возможность чтения списка файлов
$ ls -l # маленькая проверка
d-wx-wx-x 2 sergej sergej 1024 Сен 7 15:14 darkcat
$ cp myfile darkcat # копируем файл в каталог
$ cd darkcat # переходим в каталог
$ ls -l # пробуем прочитать список файлов
ls: .: Permission denied # вот те раз
$ cat myfile # выводим содержимое файла на терминал
Получилось.
Право на запись для каталога позволяет изменять его содержимое т.е. удалять и записывать файлы, при этом права доступа к конкретному файлу игнорируются.
Еще один момент права на доступ проверяются в такой последовательности: суперпользователь, владелец, группа-владелец и остальные. Отсюда если вы являясь владельце забыли установить для себя право например на запись, но установили его всем остальным и не надейтесь, что сможете записать в него что-нибудь, даже если вы являетесь членом группы, просто потому, что все остальные могут, а вы являетесь владельцем. Система при запросе нужного ресурса проверит кем он запрашивается в приведенной выше последовательности и допустит только к разрешенным операциям, дальнейшая проверка прав просто проводится не будет.
Справедливости стоит отметить, что права доступа имеет не пользователь, а процесс запущенный ним. Не вдаваясь в подробности (я думаю о процессах разговор отдельный), каждый пользователь зарегистрировавшись в системе получает свою копию текущего процесса shell который имеет установленные идентификаторы RID и RGID реальные индетификаторы пользователя и первичной группы пользователя. А все процессы запущенные пользователем (дочерними), которые наследуют все переменные в том числе и RID, RGID. К чему это я собственно. У нас остались не рассмотренными три режима файла: бит сохранения задачи (stisky bit или save text mode), а также флаги SUID и SGID. Со stisky bit все просто, этот бит указывает на необходимость сохранения копии выполняющейся программы в памяти после завершения выполнения. Этот режим позволяет сэкономить время на запуске программы при частом использовании, но в современных системах применение этого режима встречается редко. А вот флаги SUID и SGID позволяют изменить (расширить) права пользователя (группы) запустившего программу на выполнение, на время выполнения программы. Как уже говорилось запущенное приложение имеют права доступа к системным ресурсам такие же, что и пользователь, запустивший программу. А установки этих флагов позволяет назначить права доступа исходя из прав доступа владельца файла. Отсюда если владельцем запущенного приложения является root, то любой независимо кто запустил данное приложение будет иметь права суперпользователя. При этом при установке флага SUID наследуется права владельца файла, а SGID - группы-владельца.
В качестве примера где может применяться это свойство рассмотрим утилиту passwd, которая позволяет изменить пользователю свой пароль. Все учетные записи и пароли (в зашифрованном виде) хранятся в файлах /etc/passwd и /etc/shadow, если предоставить право каждому пользователю на самолично вносить изменения в эти файлы напрямую, то можете представить, что это будет. И естественно вам и не кто и не даст такое право.
$ ls -l /etc/passwd /etc/shadow
Как видите все пользователи имеют право только на чтение файла /etc/passwd, а записывать информацию может только root (а /etc/shadow как вы видите закрыли от всех, чтобы пароли не могли подобрать). Теперь смотрим на утилиту passwd:
$ ls -l /usr/bin/passwd
R-s-x-x 1 root root 15104 Мар 14 03:44 /usr/bin/passwd
Буква "s" означает, что установлен флаг SUID, а владельцем файла является его величество root и теперь кто бы ни запустил утилиту на выполнение, на время работы программы он временно получает права суперпользователя, т.е. произвести запись в защищенный системный файл. Естественно утилита должна (и делает это) производить изменение учетной записи только запустившего ее пользователя. Как вы понимаете требования по безопасности к программам использующим данный метод должны быть повышены. Это наверное самая большая дыра во всех Unix, потому что найдя ошибку в одной из программ использующих биты SUID/SGID можно производить любые действия не обладая при этом правами суперпользователя. А аксиома программирования говорит, что ошибки будут всегда. Поэтому сейчас где можно пытаются уйти или сильно изменить этот механизм. Да почитайте хотя бы аннотацию к большинству дистрибутивов Linux, там производитель с гордостью сообщает, что такие то программы уже не используют механизм SUID/SGID. Для установки битов SUID/SGID в символьной форме используется буква - "s", sticky bit устанавливается буквой -"t", а с помощью буквы ‘l" можно установить блокировку файла, для устранения возможных конфликтов когда несколько процессов попытаются работать с одним и тем же файлом. И еще один интересный момент.
$ ls -l /
drwxrwxrwt 25 root root 4096 Сен 8 20:08 tmp
Посмотрите, в каталоге /tmp установлен sticky bit. Зачем? Как говорилось предоставление права на запись в каталог позволяет удалять все файлы даже те владельцами которых он не является. Чтобы избежать этого устанавливается sticky bit для каталога и теперь удалить файл может только пользователь создавший его. А при установке бита SGID для каталога, все вновь созданные файлы будут теперь наследовать группу не по пользователю создавшему его, а по группе-владельцу каталога.
А теперь для чего все это собственно я вам рассказываю т.е. о наших швабрах. Представьте такую ситуацию смотрировали CDROM под root и скопировали с него файлы в домашний каталог обычного пользователь, поработали и выключили компьютер. Угадайте на следующий день вы сможете открыть там хоть один файл. Да работать мне целую неделю в Windows если да, а все потому, что владельцем файла окажется все тот же суперпользователь. Это относится и к различным конфигурационным файлам скопированным в домашний каталог (или созданным под root), процесс запущенный обычным пользователем просто не сможет его прочитать и пользоваться вы будете общесистемным, недоумевая почему не вступают в силу настройки произведенные вами. А вот еще ситуация настроили принтер утилитой princonf, под обычным пользователем не печатает. Почему? А потому, что вам не дано право на выполнение. Самый радикальный метод который я встречал в некоторых книгах выглядит так.
# chmod a+rwx /dev/*
Все получают право на выполнение, чтение и запись и проблема решена, причем проделав сразу для всех файлов данного каталога вы решите ее раз и на всегда. Для домашнего пользователя в принципе такое решение сойдет. Но оно как раз в духе Windows. Более культурный вариант выглядит так.
$ ls -l /dev/lp0
Видите право на выполнение дано root и членам группы lp, отсюда если нужен принтер добавьте себя в эту группу. Либо прямым редактированием файла /etc/group (sergej:x:500:sergej,gdm,mysql,named,nobody,sound,lp), либо с помощью различных графических утилит вроде System Setting.
Зачем все это?
Например не играет звук. Смотрим.
$ ls -l /dev/dsp
Получается что только пользователь sergej будет слушать музыку. Парадокс однако. Пришлось создавать группу sound и добавить в нее себя, сделать владельцем обиженного root"a, а для группы sound определить чтение. Справедливости хотелось отметить, что права доступа это заслуга не только операционной, но и файловой системы ext2. В inode файла внесена вся необходимая информация о соответствующих правах доступа.
Или например на форумах часто спрашивают как сделать чтобы ppp соединение было доступно обычному пользователю. А все просто. Не нужно ничего выдумывать. Ищем пользователя и группу которая имет доступ к этому сервису и добавляем себя любимого. В Ubuntu это группа dip.
Вот и в принципе и все. Бывшего пользователя Windows несколько раздражает такой подход когда собственноручно созданный файл нельзя даже прочитать, но зато такой подход дисциплинирует, лучше всяких запретов. По этой же причине в Linux мало приживаются вирусы, для того чтобы нанести серьезный ущерб системе нужны соответствующие права. Linux forever.