Caniatadau yn Linux (chown, chmod, SUID, GUID, bit gludiog, ACL, umsk)

Helo i gyd. Cyfieithiad yw hwn o erthygl o'r llyfr RedHat RHCSA RHCE 7 RedHat Enterprise Linux 7 EX200 ac EX300.

Gwthio: Rwy'n gobeithio y bydd yr erthygl yn ddefnyddiol nid yn unig i ddechreuwyr, ond bydd hefyd yn helpu gweinyddwyr mwy profiadol i drefnu eu gwybodaeth.

Felly gadewch i ni fynd.

I gyrchu ffeiliau yn Linux, defnyddir caniatadau. Mae'r caniatadau hyn yn cael eu neilltuo i dri gwrthrych: perchennog y ffeil, perchennog y grŵp, a gwrthrych arall (hynny yw, pawb arall). Bydd yr erthygl hon yn eich dysgu sut i gymhwyso caniatâd.

Mae'r erthygl yn dechrau gyda throsolwg o gysyniadau sylfaenol ac yna'n trafod Caniatâd Arbennig a Rhestrau Rheoli Mynediad (ACLs). Mae diwedd yr erthygl hon yn ymdrin â gosod caniatâd diofyn trwy umsk, yn ogystal â rheoli priodoleddau defnyddiwr estynedig.

Rheoli perchnogaeth ffeiliau

Cyn trafod caniatâd, dylech fod yn ymwybodol o rôl perchennog ffeil a chyfeiriadur. Mae perchnogaeth ffeiliau a chyfeiriaduron yn hanfodol i weithio gyda chaniatâd. Yn yr adran hon, byddwch yn gyntaf yn dysgu sut y gallwch weld y perchennog. Yna byddwch chi'n dysgu sut i newid perchennog a defnyddiwr y grŵp ar gyfer ffeiliau a chyfeiriaduron.

Yn dangos perchennog ffeil neu gyfeiriadur

Yn Linux, mae gan bob ffeil a phob cyfeiriadur ddau berchennog: defnyddiwr a pherchennog grŵp.

Mae'r perchnogion hyn yn cael eu gosod pan fydd y ffeil neu'r cyfeiriadur yn cael ei greu. Mae'r defnyddiwr sy'n creu'r ffeil yn dod yn berchennog y ffeil hon, a'r grŵp cynradd y mae'r un defnyddiwr yn perthyn iddo hefyd yn dod yn berchennog y ffeil hon. I benderfynu a oes gennych chi fel defnyddiwr hawliau mynediad i ffeil neu gyfeiriadur, mae'r gragen yn gwirio perchnogaeth.

Mae hyn yn digwydd yn y drefn ganlynol:

1. Mae'r gragen yn gwirio i weld ai chi yw perchennog y ffeil rydych chi am ei chyrchu. Os mai chi yw'r perchennog hwnnw, rhoddir caniatâd i chi ac mae'r gragen yn peidio â gwirio.
2. Os nad chi yw perchennog y ffeil, bydd y gragen yn gwirio i weld a ydych yn aelod o grŵp sydd â chaniatâd ar y ffeil. Os ydych yn aelod o'r grŵp hwn, byddwch yn cyrchu'r ffeil gyda'r caniatadau sydd wedi'u gosod ar gyfer y grŵp, a bydd y plisgyn yn stopio gwirio.
3. Os nad ydych chi'n ddefnyddiwr nac yn berchennog grŵp, rydych chi'n derbyn hawliau defnyddiwr eraill.

I weld yr aseiniadau perchennog presennol gallwch ddefnyddio'r gorchymyn ls -l. Mae'r gorchymyn hwn yn dangos defnyddiwr a pherchennog y grŵp. Isod gallwch weld y gosodiadau perchennog ar gyfer cyfeiriaduron o dan y cyfeiriadur / cartref.

[root@server1 home]# ls -l
total 8
drwx------. 3  bob            bob            74     Feb   6   10:13 bob
drwx------. 3  caroline       caroline       74     Feb   6   10:13 caroline
drwx------. 3  fozia          fozia          74     Feb   6   10:13 fozia
drwx------. 3  lara           lara           74     Feb   6   10:13 lara
drwx------. 5  lisa           lisa           4096   Feb   6   10:12 lisa
drwx------. 14 user           user           4096   Feb   5   10:35 user

Gan ddefnyddio'r gorchymyn ls gallwch arddangos perchennog ffeiliau mewn cyfeiriadur penodol. Weithiau gall fod yn ddefnyddiol cael rhestr o'r holl ffeiliau ar y system sydd â defnyddiwr neu grŵp penodol fel perchennog. Ar gyfer hyn gallwch chi ddefnyddio dod o hyd i. Dadl darganfod -defnyddiwr gellir ei ddefnyddio at y diben hwn. Er enghraifft, mae'r gorchymyn canlynol yn dangos pob ffeil sydd â linda fel y perchennog:

find / -user linda

Gallwch hefyd ddefnyddio dod o hyd i i chwilio am ffeiliau sydd â grŵp penodol fel eu perchennog.

Er enghraifft, mae'r gorchymyn canlynol yn chwilio am yr holl ffeiliau sy'n perthyn i grŵp defnyddwyr:

find / -group users

Newid perchnogaeth

I gymhwyso'r caniatâd priodol, y peth cyntaf i'w ystyried yw perchnogaeth. Mae gorchymyn am hyn chown. Mae cystrawen y gorchymyn hwn yn hawdd ei ddeall:

chown кто что

Er enghraifft, mae'r gorchymyn canlynol yn newid perchennog y cyfeiriadur / cartref / cyfrif i'r defnyddiwr linda:

chown linda /home/account

Tîm chown Mae ganddo sawl opsiwn, ac mae un ohonynt yn arbennig o ddefnyddiol: -R. Gallwch chi ddyfalu beth mae'n ei wneud oherwydd mae'r opsiwn hwn ar gael ar gyfer llawer o orchmynion eraill hefyd. Mae hyn yn caniatáu ichi osod y perchennog yn ailadroddus, sy'n eich galluogi i osod perchennog y cyfeiriadur cyfredol a phopeth oddi tano. Mae'r gorchymyn canlynol yn newid perchennog y cyfeiriadur / cartref a phopeth oddi tano i'r defnyddiwr linda:

Nawr mae'r perchnogion yn edrych fel hyn:

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 account account 62 Sep 25 21:41 account
drwx------. 2 lisa    lisa    62 Sep 25 21:42 lisa

Gadewch i ni wneud:

[root@localhost ~]# chown -R lisa /home/account
[root@localhost ~]#

Nawr y defnyddiwr lisa yw perchennog y cyfeiriadur cyfrif:

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 lisa account 62 Sep 25 21:41 account
drwx------. 2 lisa lisa    62 Sep 25 21:42 lisa

Newid perchennog y grŵp

Mae dwy ffordd i newid perchnogaeth grŵp. Gallwch wneud hyn gan ddefnyddio chown, ond y mae gorchymyn neillduol o'r enw chgrp, sy'n gwneud y swydd hon. Os ydych chi am ddefnyddio'r gorchymyn chown, defnyddio . neu : cyn enw'r grŵp.

Mae'r gorchymyn canlynol yn newid unrhyw berchennog y grŵp / cartref / cyfrif i'r grŵp cyfrif:

chown .account /home/account

gallwch ddefnyddio chown i newid perchennog defnyddiwr a/neu grŵp mewn sawl ffordd. Dyma rai enghreifftiau:

• chown lisa myfile1 yn gosod y defnyddiwr lisa fel perchennog y ffeil myfile1.
• chown lisa.sales myfile yn gosod y defnyddiwr lisa fel perchennog y ffeil myfile, a hefyd yn gosod y grŵp gwerthu fel perchennog yr un ffeil.
• chown lisa: myfile gwerthu yr un fath â'r tîm blaenorol.
• chown .sales myfile Yn gosod y grŵp gwerthu i fod yn berchennog myfile heb newid perchennog y defnyddiwr.
• chown : myfile gwerthu yr un fath â'r tîm blaenorol.

Gallwch ddefnyddio'r gorchymyn chgrpi newid perchennog y grŵp. Ystyriwch yr enghraifft ganlynol lle gallwch chi ei defnyddio chgrp Gosodwch berchennog y cyfeiriadur cyfrif i'r grŵp gwerthu:

chgrp .sales /home/account

Fel gyda chown, gallwch ddefnyddio'r opsiwn -R с chgrp, a hefyd newid perchennog y grŵp yn gyson.

Dealltwriaeth Perchennog Diofyn

Efallai eich bod wedi sylwi, pan fydd defnyddiwr yn creu ffeil, bod perchnogaeth ddiofyn yn cael ei chymhwyso.
Mae'r defnyddiwr sy'n creu ffeil yn dod yn berchennog y ffeil honno'n awtomatig, a phrif grŵp y defnyddiwr hwnnw'n dod yn berchennog y ffeil honno'n awtomatig. Yn nodweddiadol dyma'r grŵp sydd wedi'i restru yn y ffeil /etc/passwd fel prif grŵp y defnyddiwr. Fodd bynnag, os yw defnyddiwr yn aelod o grwpiau lluosog, gallant newid y grŵp cynradd effeithiol.

I ddangos y grŵp cynradd effeithiol cyfredol, gall y defnyddiwr ddefnyddio'r gorchymyn grwpiau:

[root@server1 ~]# groups lisa
lisa : lisa account sales

Os yw'r defnyddiwr presennol linda eisiau newid y grŵp cynradd effeithiol, bydd yn defnyddio'r gorchymyn newgrpac yna enw'r grŵp y mae am ei osod fel y grŵp cynradd effeithiol newydd. Ar ôl defnyddio'r gorchymyn newgrp bydd y grŵp cynradd yn weithredol nes bod y defnyddiwr yn mynd i mewn i'r gorchymyn gadael neu ni fydd yn allgofnodi o'r system.

Dyma sut mae defnyddiwr linda yn defnyddio'r gorchymyn hwn, gyda'r prif grŵp yn werthiannau:

lisa@server1 ~]$ groups
lisa account sales
[lisa@server1 ~]$ newgrp sales
[lisa@server1 ~]$ groups
sales lisa account
[lisa@server1 ~]$ touch file1
[lisa@server1 ~]$ ls -l
total 0
-rw-r--r--. 1 lisa sales 0 Feb 6 10:06 file1

Ar ôl newid y grŵp cynradd presennol, bydd pob ffeil newydd a grëwyd gan y defnyddiwr yn cael y grŵp hwnnw fel perchennog y grŵp. I ddychwelyd i'r gosodiad grŵp cynradd gwreiddiol, defnyddiwch gadael.

Er mwyn gallu defnyddio'r gorchymyn newgrp, rhaid i'r defnyddiwr fod yn aelod o'r grŵp y mae am ei ddefnyddio fel cynradd. Yn ogystal, gellir defnyddio cyfrinair grŵp ar gyfer grŵp sy'n defnyddio'r gorchymyn gpasswd. Os yw'r defnyddiwr yn defnyddio'r gorchymyn newgrpond nid yw'n aelod o'r grŵp targed, mae'r plisgyn yn annog cyfrinair y grŵp. Ar ôl i chi nodi'r cyfrinair grŵp cywir, bydd grŵp cynradd effeithiol newydd yn cael ei osod.

Rheoli Hawliau Sylfaenol

Dyfeisiwyd y system caniatâd Linux yn y 1970au. Gan fod anghenion cyfrifiadurol yn gyfyngedig yn y blynyddoedd hynny, roedd y system caniatâd sylfaenol yn eithaf cyfyngedig. Mae'r system ganiatâd hon yn defnyddio tri chaniatâd y gellir eu cymhwyso i ffeiliau a chyfeiriaduron. Yn yr adran hon, byddwch yn dysgu sut i ddefnyddio a newid y caniatadau hyn.

Deall caniatadau darllen, ysgrifennu a gweithredu

Mae'r tri phrif ganiatâd yn caniatáu ichi ddarllen, ysgrifennu a gweithredu ffeiliau. Mae effaith y caniatadau hyn yn amrywio o'u cymhwyso i ffeiliau neu gyfeiriaduron. Pan gaiff ei gymhwyso i ffeil, mae caniatâd darllen yn rhoi'r hawl i chi agor y ffeil i'w darllen. Felly, gallwch ddarllen ei gynnwys, ond mae hyn yn golygu y gall eich cyfrifiadur agor y ffeil i wneud rhywbeth ag ef.

Mae'n rhaid i ffeil rhaglen sy'n gofyn am fynediad i lyfrgell, er enghraifft, fod â mynediad darllen i'r llyfrgell honno. Mae hyn yn golygu mai caniatâd darllen yw'r caniatâd mwyaf sylfaenol sydd ei angen arnoch i weithio gyda ffeiliau.

Pan gaiff ei gymhwyso i gyfeiriadur, mae darllen yn caniatáu ichi arddangos cynnwys y cyfeiriadur hwnnw. Dylech fod yn ymwybodol nad yw'r caniatâd hwn yn caniatáu ichi ddarllen ffeiliau yn y cyfeiriadur. Nid yw'r system caniatâd Linux yn gwybod etifeddiaeth, a'r unig ffordd i ddarllen ffeil yw defnyddio caniatâd darllen ar y ffeil honno.

Fel y gallwch chi ddyfalu yn ôl pob tebyg, mae caniatâd ysgrifennu, pan gaiff ei gymhwyso i ffeil, yn caniatáu ysgrifennu at y ffeil. Mewn geiriau eraill, mae'n caniatáu ichi newid cynnwys ffeiliau sy'n bodoli eisoes. Fodd bynnag, nid yw'n caniatáu ichi greu na dileu ffeiliau newydd na newid caniatâd ffeil. I wneud hyn, mae angen i chi roi caniatâd ysgrifennu i'r cyfeiriadur lle rydych chi am greu'r ffeil. Mewn cyfeiriaduron, mae'r caniatâd hwn hefyd yn caniatáu ichi greu a dileu is-gyfeiriaduron newydd.

Gweithredu caniatâd yw'r hyn sydd ei angen arnoch i weithredu'r ffeil. Ni fydd byth yn cael ei osod yn ddiofyn, sy'n gwneud Linux bron yn gwbl imiwn i firysau. Dim ond rhywun sydd â mynediad ysgrifenedig i'r cyfeiriadur all wneud cais am ganiatâd gweithredu.

Mae'r canlynol yn crynhoi'r defnydd o ganiatadau sylfaenol:

Defnyddio chmod

I reoli hawliau, defnyddiwch y gorchymyn chmod... Gan ddefnyddio chmod gallwch osod caniatâd ar gyfer defnyddiwr, grŵp, ac eraill. Gallwch ddefnyddio'r gorchymyn hwn mewn dau fodd: modd cymharol a modd absoliwt. Yn y modd absoliwt, defnyddir tri digid i osod caniatâd sylfaenol.

Wrth osod caniatâd, cyfrifwch y gwerth sydd ei angen arnoch. Os ydych chi eisiau gosod darllen, ysgrifennu a gweithredu ar gyfer defnyddiwr, darllen a gweithredu ar gyfer grŵp, a darllen a gweithredu ar gyfer eraill yn / somefile yna rydych chi'n defnyddio'r gorchymyn canlynol chmod:

chmod 755 /somefile

Pan fyddwch chi'n defnyddio chmod Yn y modd hwn, mae pob caniatâd cyfredol yn cael ei ddisodli gan y caniatâd a osodwyd gennych.

Os ydych chi am newid caniatâd sy'n berthnasol i'r caniatâd cyfredol, gallwch chi ei ddefnyddio chmod yn y modd cymharol. Defnyddio chmod yn y modd cymharol rydych chi'n gweithio gyda thri dangosydd i ddangos beth rydych chi am ei wneud:

1. Yn gyntaf, rydych chi'n nodi ar gyfer pwy rydych chi am newid caniatâd. I wneud hyn gallwch ddewis rhwng defnyddiwr (u), grŵp (g) ac eraill (o).
2. Yna byddwch yn defnyddio'r datganiad i ychwanegu neu ddileu caniatadau o'r modd cyfredol, neu eu gosod yn hollol.
3. Ar y diwedd rydych chi'n defnyddio r, w и xi nodi pa ganiatadau rydych am eu gosod.

Wrth newid caniatâd yn y modd cymharol, gallwch hepgor y rhan "i" i ychwanegu neu ddileu caniatâd ar gyfer pob gwrthrych. Er enghraifft, mae'r gorchymyn hwn yn ychwanegu caniatâd gweithredu ar gyfer pob defnyddiwr:

chmod +x somefile

Wrth weithio mewn modd cymharol, gallwch hefyd ddefnyddio gorchmynion mwy cymhleth. Er enghraifft, mae'r gorchymyn hwn yn ychwanegu caniatâd ysgrifennu i grŵp ac yn dileu caniatâd darllen i eraill:

chmod g+w,o-r somefile

Gan ddefnyddio chmod -R o + rx / data rydych chi'n gosod caniatâd gweithredu ar gyfer pob cyfeiriadur, yn ogystal ag ar gyfer ffeiliau yn y cyfeiriadur / data. I osod caniatâd gweithredu ar gyfeiriaduron yn unig ac nid ffeiliau, defnyddiwch chmod -R o+ rX /data.

Mae'r priflythrennau X yn sicrhau na fydd ffeiliau'n cael caniatâd gweithredu oni bai bod y ffeil eisoes wedi gosod caniatâd gweithredu ar rai gwrthrychau. Mae hyn yn gwneud X yn ffordd ddoethach o ddelio â chaniatâd gweithredu; bydd hyn yn osgoi gosod y caniatâd hwn ar ffeiliau lle nad oes ei angen.

Hawliau estynedig

Yn ogystal â'r caniatâd sylfaenol rydych chi newydd ddarllen amdano, mae gan Linux hefyd set o ganiatâd uwch. Nid dyma'r caniatadau a osodwyd gennych yn ddiofyn, ond weithiau maent yn darparu ychwanegiad defnyddiol. Yn yr adran hon byddwch yn dysgu beth ydyn nhw a sut i'w gosod.

Deall hawliau estynedig SUID, GUID a darnau gludiog

Mae tri datrysiad uwch. Yr un cyntaf yw caniatâd Gosod ID Defnyddiwr (SUID). Mewn rhai achosion arbennig, efallai y byddwch am gymhwyso'r caniatâd hwn i ffeiliau gweithredadwy. Yn ddiofyn, mae'r defnyddiwr sy'n rhedeg y gweithredadwy yn rhedeg y ffeil honno gyda'i ganiatâd ei hun.

Ar gyfer defnyddwyr rheolaidd, mae hyn fel arfer yn golygu bod defnydd y rhaglen yn gyfyngedig. Fodd bynnag, mewn rhai achosion, dim ond i gyflawni tasg benodol y mae angen caniatâd arbennig ar y defnyddiwr.

Ystyriwch, er enghraifft, sefyllfa lle mae angen i ddefnyddiwr newid ei gyfrinair. I wneud hyn, rhaid i'r defnyddiwr ysgrifennu ei gyfrinair newydd i'r ffeil /etc/shadow. Fodd bynnag, nid yw defnyddwyr nad ydynt yn gwraidd yn gallu ysgrifennu'r ffeil hon:

root@hnl ~]# ls -l /etc/shadow
----------. 1 root root 1184 Apr 30 16:54 /etc/shadow

Mae caniatâd SUID yn cynnig ateb i'r broblem hon. Yn y cyfleustodau /usr/bin/passwd, cymhwysir y caniatâd hwn yn ddiofyn. Mae hyn yn golygu pan fydd y cyfrinair yn cael ei newid, mae'r defnyddiwr yn ennill breintiau gwraidd dros dro, sy'n caniatáu iddynt ysgrifennu at y ffeil /etc/shadow. Gallwch weld y caniatâd SUID gyda ls -l как s mewn sefyllfa y byddech fel arfer yn disgwyl ei gweld x ar gyfer caniatâd personol:

[root@hnl ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 32680 Jan 28 2010 /usr/bin/passwd

Gall caniatâd SUID edrych yn ddefnyddiol (ac mewn rhai achosion y mae), ond gall hefyd fod yn beryglus. Os caiff ei ddefnyddio'n anghywir, gallwch roi caniatâd gwraidd i ffwrdd yn ddamweiniol. Felly, rwy'n argymell ei ddefnyddio'n ofalus iawn yn unig.

Ni fydd angen i'r rhan fwyaf o weinyddwyr byth ei ddefnyddio; dim ond mewn rhai ffeiliau y byddwch chi'n ei weld lle dylai'r system weithredu ei osod yn ddiofyn.

Yr ail ganiatâd arbennig yw Grŵp ID (SGID). Mae dwy effaith i'r caniatâd hwn. Pan gaiff ei gymhwyso i ffeil gweithredadwy, mae'n rhoi caniatâd perchennog grŵp y ffeil honno i'r defnyddiwr sy'n gweithredu'r ffeil. Felly gall SGID wneud yr un peth mwy neu lai â SUID. Fodd bynnag, prin y defnyddir SGID at y diben hwn.

Fel gyda chaniatâd SUID, mae SGID yn cael ei gymhwyso i rai ffeiliau system fel gosodiad diofyn.

Pan gaiff ei gymhwyso i gyfeiriadur, gall SGID fod yn ddefnyddiol oherwydd gallwch ei ddefnyddio i osod perchennog rhagosodedig y grŵp ar gyfer ffeiliau ac is-gyfeiriaduron a grëwyd yn y cyfeiriadur hwnnw. Yn ddiofyn, pan fydd defnyddiwr yn creu ffeil, mae eu grŵp cynradd effeithiol yn cael ei osod fel perchennog y grŵp ar gyfer y ffeil honno.

Nid yw hyn bob amser yn ddefnyddiol iawn, yn enwedig gan fod prif grŵp defnyddwyr Red Hat/CentOS wedi'i osod i grŵp gyda'r un enw â'r defnyddiwr, a'r defnyddiwr yw'r unig aelod ohono. Felly, yn ddiofyn, bydd ffeiliau y mae defnyddiwr yn eu creu yn cael eu rhannu mewn grŵp.

Dychmygwch sefyllfa lle mae defnyddwyr linda a lori yn gweithio ym maes cyfrifeg ac yn aelodau o grŵp cyfrif. Yn ddiofyn, mae'r defnyddwyr hyn yn aelodau o grŵp preifat y nhw yw'r unig aelod ohono. Fodd bynnag, mae'r ddau ddefnyddiwr yn aelodau o'r grŵp cyfrif, ond hefyd fel paramedr grŵp eilaidd.

Y sefyllfa ddiofyn yw pan fydd unrhyw un o'r defnyddwyr hyn yn creu ffeil, y prif grŵp yw'r perchennog. Felly, yn ddiofyn, ni all linda gyrchu ffeiliau a grëwyd gan lori, ac i'r gwrthwyneb. Fodd bynnag, os byddwch yn creu cyfeiriadur grŵp a rennir (dyweder / grwpiau / cyfrif) a sicrhau bod caniatâd SGID yn cael ei gymhwyso i'r cyfeiriadur hwnnw a bod y cyfrif grŵp wedi'i osod i Perchennog Grŵp ar gyfer y cyfeiriadur hwnnw, yr holl ffeiliau a grëwyd yn y cyfeiriadur hwnnw a'i holl is-gyfeiriaduron , hefyd yn cael y cyfrif grŵp fel y perchennog grŵp diofyn.

Am y rheswm hwn, mae caniatâd SGID yn ganiatâd defnyddiol iawn i'w osod ar gyfeiriaduron grwpiau cyhoeddus.

Dangosir y caniatâd SGID yn yr allbwn ls -l как s yn y sefyllfa lle byddech fel arfer yn dod o hyd i ganiatâd gweithredu grŵp:

[root@hnl data]# ls -ld account
drwxr-sr-x. 2 root account 4096 Apr 30 21:28 account

Mae'r trydydd o'r caniatadau arbennig yn bit gludiog. Mae'r caniatâd hwn yn ddefnyddiol ar gyfer amddiffyn ffeiliau rhag cael eu dileu'n ddamweiniol mewn amgylchedd lle mae gan ddefnyddwyr lluosog fynediad ysgrifennu i'r un cyfeiriadur. Os defnyddir y darn gludiog, dim ond os mai ef yw perchennog defnyddiwr y ffeil neu'r cyfeiriadur sy'n cynnwys y ffeil y gall defnyddiwr ddileu ffeil. Am y rheswm hwn, dyma'r caniatâd diofyn ar gyfer y cyfeiriadur / tmp a gall fod yn ddefnyddiol ar gyfer cyfeiriaduron grŵp cyhoeddus hefyd.

Heb y darn gludiog, os gall defnyddiwr greu ffeiliau mewn cyfeiriadur, gallant hefyd ddileu ffeiliau o'r cyfeiriadur hwnnw. Mewn amgylchedd grŵp cyhoeddus gall hyn fod yn annifyr. Dychmygwch ddefnyddwyr linda a lori, sydd ill dau â chaniatâd ysgrifennu i'r cyfeiriadur / data / cyfrif ac yn cael y caniatâd hwn trwy aelodaeth yn y grŵp cyfrifon. Felly, gall linda ddileu ffeiliau a grëwyd gan lori, ac i'r gwrthwyneb.

Pan fyddwch chi'n defnyddio darn gludiog, dim ond os yw un o'r amodau canlynol yn wir y gall y defnyddiwr ddileu ffeiliau:

• Y defnyddiwr yw perchennog y ffeil;
• Y defnyddiwr yw perchennog y cyfeiriadur y mae'r ffeil wedi'i leoli ynddo.

Gan ddefnyddio ls -l, gallwch weld bit gludiog fel t yn y sefyllfa lle rydych fel arfer yn gweld caniatâd gweithredu ar gyfer eraill:

[root@hnl data]# ls -ld account/
drwxr-sr-t. 2 root account 4096 Apr 30 21:28 account/

Cymhwyso hawliau estynedig

I gymhwyso SUID, SGID a bit gludiog gallwch chi ei ddefnyddio hefyd chmod. Mae gan SUID werth rhifol o 4, mae gan SGID werth rhifol o 2, ac mae gan bit gludiog werth rhifol o 1.

Os ydych chi am gymhwyso'r caniatadau hyn mae angen i chi ychwanegu dadl pedwar nod ati chmod, y mae ei ddigid cyntaf yn cyfeirio at ganiatadau arbennig. Bydd y llinell ganlynol, er enghraifft, yn ychwanegu caniatâd SGID i'r cyfeiriadur ac yn gosod rwx ar gyfer defnyddiwr ac rx ar gyfer grŵp ac eraill:

chmod 2755 /somedir

Mae hyn yn eithaf anymarferol os oes angen i chi weld y caniatadau cyfredol sy'n cael eu gosod cyn gweithio gyda nhw chmod yn y modd absoliwt. (Rydych mewn perygl o drosysgrifo caniatâd os na wnewch hyn.) Felly rwy'n argymell gweithio yn y modd cymharol os oes angen i chi gymhwyso unrhyw un o'r caniatâd arbennig:

1. At ddefnydd SUID chmod u+s.
2. At ddefnydd SGID chmod g+s.
3. Ar gyfer defnydd darnau gludiog chmod +tac yna enw'r ffeil neu gyfeiriadur yr ydych am osod caniatâd ar ei gyfer.

Mae'r tabl yn crynhoi popeth sydd angen i chi ei wybod am reoli caniatâd arbennig.

Enghraifft o weithio gyda hawliau arbennig

Yn yr enghraifft hon, rydych chi'n defnyddio caniatâd arbennig i'w gwneud hi'n haws i aelodau'r grŵp rannu ffeiliau yn y cyfeiriadur grŵp a rennir. Rydych chi'n aseinio did ID yr ID grŵp gosod yn ogystal â'r darn gludiog, ac yn gweld unwaith y byddant wedi'u gosod, bod nodweddion yn cael eu hychwanegu i'w gwneud hi'n haws i aelodau'r grŵp weithio gyda'i gilydd.

1. Agor terfynell lle mai chi yw'r defnyddiwr linda. Gallwch greu defnyddiwr gyda'r gorchymyn Linda, ychwanegu cyfrinair passwd Linda.
2. Creu cyfeiriadur / data yn y gwraidd ac is-gyfeiriadur / data / gwerthu gyda'r gorchymyn mkdir -p /data/gwerthiannau. Dienyddio cd / data / gwerthianti fynd i'r cyfeiriadur gwerthu. Dienyddio cyffwrdd linda1 и cyffwrdd linda2i greu dwy ffeil wag sy'n eiddo i linda.
3. Rhedeg su-lisa i newid y defnyddiwr presennol i lisa defnyddiwr, sydd hefyd yn aelod o'r grŵp gwerthu.
4. Rhedeg cd / data / gwerthiant ac o'r rhediad cyfeiriadur hwn ls -l. Fe welwch ddwy ffeil a grëwyd gan y defnyddiwr linda ac sy'n perthyn i'r grŵp linda. Dienyddio rm -f linda*. Bydd hyn yn dileu'r ddwy ffeil.
5. Rhedeg cyffwrdd lisa1 и cyffwrdd lisa2i greu dwy ffeil sy'n eiddo i defnyddiwr lisa.
6. Rhedeg su - i ddwysáu eich breintiau i wreiddio.
7. Rhedeg chmod g+s, o+t /data/gwerthiannaui osod did y dynodwr grŵp (GUID) yn ogystal â'r did gludiog yn y cyfeiriadur grŵp a rennir.
8. Rhedeg su-linda. Yna gwnewch cyffwrdd linda3 и cyffwrdd linda4. Dylech nawr weld bod y ddwy ffeil a grëwyd gennych yn eiddo i'r grŵp gwerthu, sef perchennog grŵp y cyfeiriadur / data / gwerthu.
9. Rhedeg rm -rf lisa*. Mae Sticky Bit yn atal dileu'r ffeiliau hyn fel defnyddiwr linda oherwydd nid chi yw perchennog y ffeiliau hyn. Sylwch, os mai linda defnyddiwr yw perchennog y cyfeiriadur / data / gwerthu, gall ddileu'r ffeiliau hyn beth bynnag!

Rheolaeth ACL (setfacl, getfacl) yn Linux

Er bod y caniatâd uwch a drafodir uchod yn ychwanegu ymarferoldeb defnyddiol at y ffordd y mae Linux yn delio â chaniatâd, nid yw'n caniatáu ichi roi caniatâd i fwy nag un defnyddiwr neu un grŵp ar un ffeil.

Mae rhestrau rheoli mynediad yn cynnig y swyddogaeth hon. Maent hefyd yn caniatáu i weinyddwyr osod caniatâd rhagosodedig mewn modd cymhleth lle gall y caniatâd a osodwyd amrywio rhwng cyfeiriaduron.

Deall ACLs

Er bod yr is-system ACL yn ychwanegu ymarferoldeb gwych i'ch gweinydd, mae ganddo un anfantais: nid yw pob cyfleustodau'n ei gefnogi. Felly, efallai y byddwch yn colli gosodiadau ACL wrth gopïo neu symud ffeiliau, ac efallai na fydd meddalwedd wrth gefn yn gwneud copi wrth gefn o osodiadau ACL.

Nid yw'r cyfleustodau tar yn cefnogi ACLs. Er mwyn sicrhau nad yw gosodiadau ACL yn cael eu colli wrth greu copi wrth gefn, defnyddiwch seren yn lle tar. seren yn gweithio gyda'r un paramedrau â thar; yn syml, mae'n ychwanegu cefnogaeth ar gyfer gosodiadau ACL.

Gallwch hefyd wneud copi wrth gefn o'r ACL gan ddefnyddio getfacl, y gellir ei adfer gan ddefnyddio'r gorchymyn setfacl. I greu copi wrth gefn, defnyddiwch getfacl -R /directory> ffeil.acls. I adfer gosodiadau o ffeil wrth gefn, defnyddiwch setfacl --restore=file.acl.

Ni ddylai diffyg cefnogaeth ar gyfer rhai offer fod yn broblem. Mae ACLs yn aml yn cael eu cymhwyso i gyfeiriaduron fel mesur strwythurol yn hytrach nag i ffeiliau unigol.
Felly, ni fydd llawer ohonynt, ond dim ond ychydig, yn cael eu cymhwyso mewn mannau craff yn y system ffeiliau. Felly, mae'n gymharol hawdd adfer yr ACLs gwreiddiol y buoch yn gweithio gyda nhw, hyd yn oed os nad yw'ch meddalwedd wrth gefn yn eu cefnogi.

Paratoi'r system ffeiliau ar gyfer ACLs

Cyn i chi ddechrau gweithio gydag ACLs, efallai y bydd angen i chi baratoi eich system ffeiliau i gefnogi ACLs. Oherwydd bod angen ymestyn metadata system ffeiliau, nid oes cymorth rhagosodedig ar gyfer ACLs ar y system ffeiliau bob amser. Os byddwch yn derbyn neges "gweithrediad heb ei gefnogi" wrth ffurfweddu ACLs ar gyfer system ffeiliau, mae'n bosibl na fydd eich system ffeiliau yn cynnal ACLs.

I drwsio hyn mae angen i chi ychwanegu'r opsiwn mownt acl yn y ffeil /etc/fstab fel bod y system ffeiliau wedi'i gosod gyda chefnogaeth ACL yn ddiofyn.

Newid a gweld gosodiadau ACL gan ddefnyddio setfacl a getfacl

I osod yr ACL mae angen y gorchymyn arnoch setfacl. I weld y gosodiadau ACL cyfredol sydd eu hangen arnoch chi getfacl. Tîm ls -l nad yw'n dangos unrhyw DOG presennol; yn syml mae'n dangos + ar ôl y rhestr ganiatâd, sy'n nodi bod ACLs yn berthnasol i'r ffeil hefyd.

Cyn ffurfweddu ACLs, mae bob amser yn syniad da dangos y gosodiadau ACL cyfredol gan ddefnyddio getfacl. Isod, gallwch weld y caniatadau cyfredol fel y dangosir gyda nhw ls -l, a hefyd fel y dangosir gyda getfacl. Os edrychwch yn ddigon manwl, fe welwch fod y wybodaeth a ddangosir yn union yr un fath.

[root@server1 /]# ls -ld /dir
drwxr-xr-x. 2 root root 6 Feb 6 11:28 /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

O ganlyniad i weithredu'r gorchymyn getfacl Isod gallwch weld bod caniatâd yn cael ei ddangos ar gyfer tri gwrthrych gwahanol: defnyddiwr, grŵp ac eraill. Nawr, gadewch i ni ychwanegu ACL i roi caniatâd darllen a gweithredu i'r grŵp gwerthu. Y gorchymyn am hyn yw setfacl -mg:sales:rx /dir. Ar y tîm hwn -m yn nodi bod angen newid y gosodiadau ACL presennol. Ar ol hynny g:gwerthiant:rx yn dweud wrth y gorchymyn i osod ACL darllen a gweithredu (rx) ar gyfer grŵp (g) gwerthiannau. Isod gallwch weld sut olwg sydd ar y gorchymyn, yn ogystal ag allbwn y gorchymyn getfacl ar ôl newid y gosodiadau ACL cyfredol.

[root@server1 /]# setfacl -m g:sales:rx /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
group:sales:r-x
mask::r-x
other::r-x

Nawr eich bod yn deall sut i osod ACL grŵp, mae'n hawdd deall ACLs ar gyfer defnyddwyr a defnyddwyr eraill. Er enghraifft, y gorchymyn setfacl -mu:linda:rwx /data Yn rhoi caniatâd i linda defnyddiwr yn y cyfeiriadur /data heb ei wneud yn berchennog na newid aseiniad y perchennog presennol.

Tîm setfacl mae ganddo lawer o nodweddion ac opsiynau. Mae un opsiwn yn arbennig o bwysig, sef y paramedr -R. Os caiff ei ddefnyddio, mae'r opsiwn yn gwneud y gosodiad ACL ar gyfer yr holl ffeiliau ac is-gyfeiriaduron sy'n bodoli ar hyn o bryd yn y cyfeiriadur lle gosodoch yr ACL. Argymhellir defnyddio'r opsiwn hwn bob amser wrth newid ACLs ar gyfer cyfeiriaduron presennol.

Gweithio gyda ACLs Diofyn

Un o fanteision defnyddio ACLs yw y gallwch roi caniatâd i ddefnyddwyr lluosog neu grwpiau mewn cyfeiriadur. Mantais arall yw y gallwch chi alluogi etifeddiaeth wrth weithio gyda'r ACL rhagosodedig.

Trwy osod ACL diofyn, byddwch yn pennu'r caniatâd a fydd yn cael ei osod ar bob eitem newydd a grëwyd yn y cyfeiriadur. Cofiwch nad yw'r ACL rhagosodedig yn newid caniatâd ffeiliau ac is-gyfeiriaduron presennol. Er mwyn eu newid, mae angen i chi ychwanegu ACL rheolaidd hefyd!

Mae hyn yn bwysig i wybod. Os ydych chi am ddefnyddio ACL i ffurfweddu defnyddwyr neu grwpiau lluosog i gael mynediad i'r un cyfeiriadur, rhaid i chi osod yr ACL ddwywaith. Defnydd cyntaf setfacl -R -mi newid yr ACL ar gyfer ffeiliau cyfredol. Yna defnyddiwch setfacl -md:i ofalu am yr holl elfennau newydd a fydd hefyd yn cael eu creu.

I osod yr ACL rhagosodedig does ond angen i chi ychwanegu'r opsiwn d ar ôl opsiwn -m (mae trefn yn bwysig!). Felly defnyddiwch setfacl -md:g:sales:rx /dataos ydych chi am i werthiannau grŵp ddarllen a gweithredu popeth a fydd byth yn cael ei greu yn y cyfeiriadur / data.

Wrth ddefnyddio ACLs rhagosodedig, gall fod yn ddefnyddiol gosod ACLs ar gyfer eraill hefyd. Fel arfer nid yw hyn yn gwneud llawer o synnwyr oherwydd gallwch hefyd newid caniatâd i eraill ei ddefnyddio chmod. Fodd bynnag, beth na allwch ei wneud ag ef chmod, yw nodi'r hawliau y dylid eu rhoi i ddefnyddwyr eraill ar gyfer pob ffeil newydd a grëir erioed. Os ydych chi am atal eraill rhag cael unrhyw ganiatâd ar unrhyw beth a grëwyd yn /data, er enghraifft, defnyddiwch setfacl -md:o::- /data.

Nid yw DOG a chaniatâd rheolaidd bob amser wedi'u hintegreiddio'n dda. Gall problemau godi os byddwch yn cymhwyso ACL rhagosodedig i gyfeiriadur ar ôl ychwanegu eitemau at y cyfeiriadur hwnnw, ac yna'n ceisio newid y caniatâd arferol. Ni fydd newidiadau sy'n berthnasol i ganiatadau rheolaidd yn cael eu hadlewyrchu'n dda yn y trosolwg ACL. Er mwyn osgoi problemau, gosodwch ganiatâd arferol yn gyntaf, yna gosodwch yr ACLs rhagosodedig (ac ar ôl hynny, ceisiwch beidio â'u newid eto).

Enghraifft o reoli hawliau estynedig gan ddefnyddio ACLs

Yn yr enghraifft hon, byddwch yn parhau i weithio gyda'r cyfeiriaduron / data / cyfrif a / data / gwerthu a grëwyd gennych yn gynharach. Yn yr enghreifftiau blaenorol, fe wnaethoch chi sicrhau bod gan y grŵp gwerthu ganiatâd i /data/gwerthiannau a bod gan y grŵp cyfrifon ganiatâd i /data/cyfrif.

Yn gyntaf, gwnewch yn siŵr bod y grŵp cyfrif wedi darllen caniatâd ar y cyfeiriadur / data / gwerthu a bod y grŵp gwerthu wedi darllen caniatâd ar y cyfeiriadur / data / cyfrif.

Yna byddwch yn gosod ACLs rhagosodedig i sicrhau bod gan bob ffeil newydd ganiatâd wedi'i osod yn gywir ar bob eitem newydd.

1. Agor terfynell.
2. Rhedeg setfacl -mg: cyfrif: rx / data/gwerthiannau и setfacl -mg:sales: rx / data/cyfrif.
3. Rhedeg getfacli wneud yn siŵr bod y caniatadau wedi'u gosod y ffordd roeddech chi ei eisiau.
4. Rhedeg setfacl -md:g: cyfrif: rwx, g: gwerthiant: rx / data/gwerthiannaui osod yr ACL rhagosodedig ar gyfer y cyfeiriadur gwerthu.
5. Ychwanegu ACL diofyn ar gyfer y cyfeiriadur / data / cyfrif gan ddefnyddio setfacl -md: g: gwerthiant: rwx, g: cyfrif: rx / data / cyfrif.
6. Gwiriwch fod eich gosodiadau ACL mewn grym trwy ychwanegu ffeil newydd at /data/sales. Dienyddio cyffwrdd / data / gwerthu / ffeil newydd a dienyddio getfacl /data/sales/ffeil newydd i wirio caniatadau cyfredol.

Gosod caniatadau rhagosodedig gan ddefnyddio umsk

Uchod, fe wnaethoch chi ddysgu sut i weithio gydag ACLs diofyn. Os na ddefnyddiwch ACL, mae opsiwn cragen sy'n pennu'r caniatâd rhagosodedig y byddwch yn ei dderbyn: mwgwd (mwgwd cefn). Yn yr adran hon, byddwch yn dysgu sut i newid caniatâd diofyn gan ddefnyddio mwgwd.

Efallai eich bod wedi sylwi pan fyddwch chi'n creu ffeil newydd, mae rhai caniatâd rhagosodedig wedi'u gosod. Mae'r caniatadau hyn yn cael eu pennu gan y lleoliad mwgwd. Mae'r gosodiad cragen hwn yn berthnasol i bob defnyddiwr wrth fewngofnodi. Yn y paramedr mwgwd defnyddir gwerth rhifol sy'n cael ei dynnu o'r caniatadau mwyaf y gellir eu gosod yn awtomatig ar gyfer y ffeil; Y gosodiad uchaf ar gyfer ffeiliau yw 666, a 777 ar gyfer cyfeiriaduron.

Fodd bynnag, mae rhai eithriadau yn berthnasol i'r rheol hon. Gallwch ddod o hyd i drosolwg llawn o'r gosodiadau mwgwd yn y tabl isod.

O'r niferoedd a ddefnyddir yn mwgwd, fel gyda dadleuon rhifyddol i'r gorchymyn chmod, mae'r digid cyntaf yn cyfeirio at ganiatâd y defnyddiwr, mae'r ail ddigid yn cyfeirio at ganiatâd y grŵp, ac mae'r olaf yn cyfeirio at y caniatâd diofyn a osodwyd ar gyfer eraill. Ystyr geiriau: mwgwd mae'r rhagosodiad 022 yn rhoi 644 ar gyfer pob ffeil newydd a 755 ar gyfer pob cyfeiriadur newydd a grëwyd ar eich gweinydd.

Trosolwg cyflawn o'r holl werthoedd rhifiadol mwgwd a'u canlyniadau yn y tabl isod.

Ffordd syml o weld sut mae'r gosodiad umsk yn gweithio yw fel a ganlyn: dechreuwch gyda'r caniatâd ffeil rhagosodedig wedi'i osod i 666 a thynnu'r umsk i gael y caniatâd effeithiol. Gwnewch yr un peth ar gyfer y cyfeiriadur a'i ganiatadau rhagosodedig o 777.

Mae dwy ffordd i newid y gosodiad umsk: ar gyfer pob defnyddiwr ac ar gyfer defnyddwyr unigol. Os ydych chi am osod umsk ar gyfer pob defnyddiwr, rhaid i chi sicrhau bod y gosodiad umsk yn cael ei barchu wrth redeg ffeiliau amgylchedd cregyn, fel y nodir yn /etc/profile. Y dull cywir yw creu sgript cregyn o'r enw umsk.sh yn y cyfeiriadur /etc/profile.d a nodi'r umsk rydych chi am ei ddefnyddio yn y sgript plisgyn honno. Os yw'r umsk yn cael ei newid yn y ffeil hon, caiff ei gymhwyso i bob defnyddiwr ar ôl mewngofnodi i'r gweinydd.

Dewis arall yn lle gosod umask trwy /etc/profile a ffeiliau cysylltiedig, lle mae'n berthnasol i bob defnyddiwr sy'n mewngofnodi, yw newid y gosodiadau umsk mewn ffeil o'r enw .profile, sy'n cael ei chreu yng nghyfeirlyfr cartref pob defnyddiwr.

Mae'r gosodiadau a ddefnyddir yn y ffeil hon yn berthnasol i'r defnyddiwr unigol yn unig; felly, mae hwn yn ddull da os oes angen mwy o fanylion arnoch. Rwy'n bersonol yn hoffi'r nodwedd hon i newid umsk rhagosodedig y defnyddiwr gwraidd i 027, tra bod defnyddwyr arferol yn gweithio gyda'r umsk rhagosodedig o 022.

Gweithio gyda phriodoleddau defnyddiwr estynedig

Dyma'r adran olaf ar ganiatadau Linux.

Wrth weithio gyda chaniatâd, mae perthynas bob amser rhwng defnyddiwr neu wrthrych grŵp a'r caniatâd sydd gan y defnyddiwr neu'r gwrthrychau grŵp hynny ar ffeil neu gyfeiriadur. Dull arall o ddiogelu ffeiliau ar weinydd Linux yw gweithio gyda phriodoleddau.
Mae nodweddion yn gwneud eu gwaith ni waeth pwy yw'r defnyddiwr sy'n cyrchu'r ffeil.

Yn yr un modd ag ACLs, efallai y bydd angen galluogi priodoleddau ffeil. gosod.

Mae hwn yn opsiwn defnyddiwr_xattr. Os byddwch yn derbyn neges "gweithrediad heb ei gefnogi" wrth weithio gyda phriodoleddau defnyddiwr estynedig, gwnewch yn siŵr eich bod yn gosod y gosod yn y ffeil /etc/fstab.

Mae llawer o nodweddion wedi'u dogfennu. Mae rhai priodoleddau ar gael ond heb eu gweithredu eto. Peidiwch â'u defnyddio; ni fyddant yn dod â dim i chi.

Isod mae'r priodoleddau mwyaf defnyddiol y gallwch eu cymhwyso:

A Mae'r nodwedd hon yn sicrhau nad yw amser mynediad ffeil y ffeil yn newid.
Yn nodweddiadol, bob tro y caiff ffeil ei hagor, dylid cofnodi'r amser y cyrchwyd y ffeil ym metadata'r ffeil. Mae hyn yn cael effaith negyddol ar berfformiad; felly, ar gyfer ffeiliau y ceir mynediad rheolaidd iddynt, y priodoledd A gellir ei ddefnyddio i analluogi'r nodwedd hon.

a Mae'r nodwedd hon yn caniatáu ichi ychwanegu ffeil, ond nid ei dileu.

c Os ydych chi'n defnyddio system ffeiliau sy'n cefnogi cywasgu lefel cyfaint, mae'r nodwedd ffeil hon yn sicrhau bod y ffeil wedi'i chywasgu pan fydd yr injan cywasgu wedi'i galluogi gyntaf.

D Mae'r nodwedd hon yn sicrhau bod newidiadau i ffeiliau'n cael eu hysgrifennu ar ddisg ar unwaith yn hytrach na'u storio'n gyntaf. Mae hwn yn nodwedd ddefnyddiol ar ffeiliau cronfa ddata pwysig i sicrhau nad ydynt yn cael eu colli rhwng storfa'r ffeil a'r gyriant caled.

d Mae'r nodwedd hon yn sicrhau nad yw'r ffeil yn cael ei chadw mewn copïau wrth gefn lle defnyddir y cyfleustodau dympio.

I Mae'r nodwedd hon yn galluogi mynegeio ar gyfer y cyfeiriadur y mae wedi'i alluogi ynddo. Mae hyn yn darparu mynediad cyflymach i ffeiliau ar gyfer systemau ffeiliau cyntefig fel Ext3, nad ydynt yn defnyddio cronfa ddata B-tree ar gyfer mynediad cyflym i ffeiliau.

i Mae'r nodwedd hon yn gwneud y ffeil yn ddigyfnewid. Felly, ni ellir gwneud unrhyw newidiadau i'r ffeil, sy'n ddefnyddiol ar gyfer ffeiliau sydd angen amddiffyniad ychwanegol.

j Mae'r nodwedd hon yn sicrhau, ar system ffeiliau ext3, bod y ffeil yn cael ei hysgrifennu'n gyntaf i'r dyddlyfr ac yna i flociau data ar y ddisg galed.

s Trosysgrifo'r blociau y cafodd y ffeil ei chadw am 0 s ar ôl i'r ffeil gael ei dileu. Mae hyn yn sicrhau na all y ffeil yn cael ei adennill unwaith y bydd wedi cael ei ddileu.

u Mae'r nodwedd hon yn storio gwybodaeth am y dileu. Mae hyn yn caniatáu ichi ddatblygu cyfleustodau sy'n gweithio gyda'r wybodaeth hon i achub ffeiliau sydd wedi'u dileu.

Os ydych chi am gymhwyso priodoleddau gallwch ddefnyddio'r gorchymyn clebran. Er enghraifft, defnydd chattr+s rhyw ffeili gymhwyso priodoleddau i somefile. Angen dileu priodoledd? Yna defnyddiwch chattr -s somefile, a bydd yn cael ei ddileu. I gael trosolwg o'r holl briodoleddau sy'n cael eu cymhwyso ar hyn o bryd, defnyddiwch y gorchymyn lsattr.

Crynodeb

Yn yr erthygl hon, fe ddysgoch chi sut i weithio gyda chaniatâd. Rydych chi'n darllen am y tri chaniatâd sylfaenol, caniatâd uwch, a sut i ddefnyddio ACLs ar y system ffeiliau. Fe wnaethoch chi hefyd ddysgu sut i ddefnyddio'r paramedr umsk i gymhwyso caniatâd rhagosodedig. Ar ddiwedd yr erthygl hon, fe wnaethoch chi ddysgu sut i ddefnyddio priodoleddau estynedig defnyddiwr i gymhwyso haen ychwanegol o ddiogelwch system ffeiliau.

Os oeddech chi'n hoffi'r cyfieithiad hwn, ysgrifennwch amdano yn y sylwadau. Bydd mwy o gymhelliant i wneud cyfieithiadau defnyddiol.

Cywirais rai gwallau teipio a gramadegol yn yr erthygl. Lleihau rhai paragraffau swmpus yn rhai llai er mwyn eu darllen yn haws.

Yn lle "Dim ond rhywun sydd â hawliau gweinyddol i'r cyfeiriadur all wneud cais gweithredu caniatâd." cywiro i "Dim ond rhywun sydd â mynediad ysgrifenedig i'r cyfeiriadur all wneud cais gweithredu caniatâd.", a fyddai'n fwy cywir.

Diolch am y sylwadau berez.

Wedi'i ddisodli:
Os nad chi yw perchennog y defnyddiwr, bydd y gragen yn gwirio i weld a ydych yn aelod o'r grŵp, a elwir hefyd yn grŵp y ffeil.

Ar y:
Os nad chi yw perchennog y ffeil, bydd y gragen yn gwirio i weld a ydych yn aelod o grŵp sydd â chaniatâd ar y ffeil. Os ydych yn aelod o'r grŵp hwn, byddwch yn cyrchu'r ffeil gyda'r caniatadau sydd wedi'u gosod ar gyfer y grŵp, a bydd y plisgyn yn stopio gwirio.

Diolch i chi am eich sylw CryptoPirad

Ffynhonnell: hab.com