🥇Linux の権限 (chown、chmod、SUID、GUID、スティッキービット、ACL、umask)

こんにちは、みんな。これは、『RedHat RHCSA RHCE 7 RedHat Enterprise Linux 7 EX200 and EX300』という書籍の記事の翻訳です。

私から： この記事が初心者だけでなく、経験豊富な管理者の知識の効率化にも役立つことを願っています。

それでは行きましょう。

Linux でファイルにアクセスするには、アクセス許可が使用されます。これらのアクセス許可は、ファイル所有者、グループ所有者、および別のオブジェクト (つまり、他の全員) の XNUMX つのオブジェクトに割り当てられます。この記事では、アクセス許可を適用する方法を学習します。

この記事では、基本概念の概要から始まり、その後、特別なアクセス許可とアクセス制御リスト (ACL) について説明します。この記事の最後では、umask によるデフォルトの権限の設定と拡張ユーザー属性の管理について説明します。

ファイルの所有権管理

アクセス許可について説明する前に、ファイルとディレクトリの所有者の役割を認識しておく必要があります。ファイルとディレクトリの所有権は、アクセス許可を処理するために不可欠です。このセクションでは、まず所有者を確認する方法を学びます。次に、ファイルとディレクトリのグループ所有者とユーザーを変更する方法を学びます。

ファイルまたはディレクトリの所有者の表示

Linux では、すべてのファイルとすべてのディレクトリに XNUMX 人の所有者 (ユーザーとグループ所有者) がいます。

これらの所有者は、ファイルまたはディレクトリの作成時に設定されます。ファイルを作成したユーザーがそのファイルの所有者となり、同じユーザーが属するプライマリグループもそのファイルの所有者になります。ユーザーとしてファイルまたはディレクトリにアクセスする権限があるかどうかを判断するために、シェルは所有権をチェックします。

これは次の順序で発生します。

シェルは、あなたがアクセスしたいファイルの所有者であるかどうかを確認します。あなたが所有者の場合、権限を取得し、シェルはチェックを停止します。
ファイルの所有者ではない場合、シェルは、そのファイルに対するアクセス許可を持つグループのメンバーであるかどうかを確認します。このグループのメンバーである場合は、グループが設定したアクセス許可でファイルにアクセスすることになり、シェルはチェックを停止します。
ユーザーでもグループの所有者でもない場合は、他のユーザー (その他) の権限が与えられます。

現在の所有者の割り当てを確認するには、次のコマンドを使用できます。 ls -l。このコマンドは、グループのユーザーと所有者を表示します。以下に、/home ディレクトリ内のディレクトリの所有者の設定が表示されます。

[root@server1 home]# ls -l
total 8
drwx------. 3  bob            bob            74     Feb   6   10:13 bob
drwx------. 3  caroline       caroline       74     Feb   6   10:13 caroline
drwx------. 3  fozia          fozia          74     Feb   6   10:13 fozia
drwx------. 3  lara           lara           74     Feb   6   10:13 lara
drwx------. 5  lisa           lisa           4096   Feb   6   10:12 lisa
drwx------. 14 user           user           4096   Feb   5   10:35 user

コマンドで ls 指定したディレクトリ内のファイルの所有者を表示できます。場合によっては、特定のユーザーまたはグループが所有者であるシステム上のすべてのファイルのリストを取得すると便利な場合があります。このために使用できます find。口論 ユーザーの検索 この目的に使用できます。たとえば、次のコマンドは、ユーザー linda が所有するすべてのファイルを一覧表示します。

find / -user linda

使用することもできます find 特定のグループを所有者として持つファイルを検索します。

たとえば、次のコマンドは、グループに属するすべてのファイルを検索します。 users:

find / -group users

所有者の変更

適切なアクセス許可を適用するには、最初に所有権を考慮する必要があります。これにはコマンドがあります chown。このコマンドの構文は理解しやすいです。

chown кто что

たとえば、次のコマンドは、/home/account ディレクトリの所有者をユーザー linda に変更します。

chown linda /home/account

チーム chown いくつかのオプションがありますが、そのうちの XNUMX つが特に便利です。 -R。このオプションは他の多くのコマンドでも使用できるため、それが何をするかは推測できます。これにより、所有者を再帰的に設定できるようになり、現在のディレクトリとその下にあるすべてのディレクトリの所有者を設定できるようになります。次のコマンドは、/home ディレクトリとその下のすべての所有権を linda ユーザーに変更します。

現在の所有者は次のようになります。

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 account account 62 Sep 25 21:41 account
drwx------. 2 lisa    lisa    62 Sep 25 21:42 lisa

やろう：

[root@localhost ~]# chown -R lisa /home/account
[root@localhost ~]#

これで、ユーザー lisa がアカウントディレクトリの所有者になりました。

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 lisa account 62 Sep 25 21:41 account
drwx------. 2 lisa lisa    62 Sep 25 21:42 lisa

グループの所有者を変更する

グループの所有権を変更するには XNUMX つの方法があります。これを使用してこれを行うことができます chown、しかし、という名前の特別なコマンドがあります chgrpそれが仕事をするのです。コマンドを使用したい場合は、 chown、使用 . または : グループ名の前に。

次のコマンドは、/home/account グループの所有者をアカウントグループに変更します。

chown .account /home/account

あなたは使うことができます chown ユーザーやグループの所有者を変更するには、いくつかの方法があります。ここではいくつかの例を示します。

チャウン・リサ myfile1 ユーザー lisa を myfile1 の所有者として設定します。
chown lisa.sales myfile ユーザー lisa を myfile ファイルの所有者として設定し、さらに sales グループを同じファイルの所有者として設定します。
チャウン・リサ:セールス・マイファイル 前のコマンドと同じです。
chown .sales myfile ユーザーの所有者を変更せずに、sales グループを myfile の所有者として設定します。
chown :セールスマイファイル 前のコマンドと同じです。

コマンドを使用できます chgrpグループの所有者を変更します。次の例を考えてみましょう。 chgrp アカウントディレクトリの所有者を営業グループに設定します。

chgrp .sales /home/account

のように chown、オプションを使用できます -R с chgrp、グループの所有者を再帰的に変更するだけでなく。

デフォルトの所有者について理解する

ユーザーがファイルを作成すると、デフォルトの所有権が適用されることに気づいたかもしれません。
ファイルを作成したユーザーは自動的にそのファイルの所有者になり、そのユーザーのプライマリグループが自動的にそのファイルの所有者になります。通常、これは、ユーザーのプライマリグループとして /etc/passwd ファイルにリストされているグループです。ただし、ユーザーが複数のグループのメンバーである場合は、有効なプライマリグループを変更できます。

現在有効なプライマリグループを表示するには、ユーザーは次のコマンドを使用できます。 グループヘッド:

[root@server1 ~]# groups lisa
lisa : lisa account sales

現在の linda ユーザーが有効なプライマリグループを変更したい場合は、次のコマンドを使用します。 新しいグループその後に、新しい有効なプライマリグループとして設定したいグループの名前が続きます。コマンドを使用した後 新しいグループ プライマリグループは、ユーザーがコマンドを入力するまでアクティブになります。 終了する またはログアウトしないでください。

以下は、ユーザー linda が sales をプライマリグループとしてこのコマンドを使用する方法を示しています。

lisa@server1 ~]$ groups
lisa account sales
[lisa@server1 ~]$ newgrp sales
[lisa@server1 ~]$ groups
sales lisa account
[lisa@server1 ~]$ touch file1
[lisa@server1 ~]$ ls -l
total 0
-rw-r--r--. 1 lisa sales 0 Feb 6 10:06 file1

有効なプライマリグループを変更した後、ユーザーが作成したすべての新しいファイルには、そのグループがグループ所有者として設定されます。元のプライマリグループ設定に戻すには、次のコマンドを使用します。 終了する.

コマンドを使えるようにするには 新しいグループの場合、ユーザーはプライマリグループとして使用するグループのメンバーである必要があります。さらに、次のコマンドを使用して、グループパスワードをグループに使用できます。 gpasswd。ユーザーがコマンドを使用する場合 新しいグループしかしターゲットグループのメンバーではない場合、シェルはグループパスワードの入力を求めます。正しいグループパスワードを入力すると、新しい有効なプライマリグループが設定されます。

基本的な権利の管理

Linux 許可システムは 1970 年代に発明されました。当時のコンピューティングのニーズは限られていたため、基本的な許可システムは非常に限られていました。この権限システムは、ファイルとディレクトリに適用できる XNUMX つの権限を使用します。このセクションでは、これらの権限を使用および変更する方法を学習します。

読み取り、書き込み、および実行のアクセス許可について

XNUMX つの主要な権限により、ファイルの読み取り、書き込み、実行が可能になります。これらのアクセス許可の効果は、ファイルまたはディレクトリに適用される場合によって異なります。読み取り権限をファイルに適用すると、ファイルを読み取り用に開く権利が与えられます。したがって、その内容を読み取ることはできますが、これは、コンピュータがそのファイルを開いて何かを行うことができることを意味します。

たとえば、ライブラリへのアクセスが必要なプログラムファイルには、そのライブラリへの読み取りアクセスが必要です。したがって、読み取り権限は、ファイルを操作するために必要な最も基本的な権限であるということになります。

ディレクトリに適用すると、読み取りによりそのディレクトリの内容を表示できます。この権限ではディレクトリ内のファイルを読み取ることはできないことに注意してください。 Linux 権限システムは継承を認識しないため、ファイルを読み取る唯一の方法は、そのファイルに対する読み取り権限を使用することです。

おそらくご想像のとおり、書き込み権限がファイルに適用されている場合、そのファイルへの書き込みが許可されます。つまり、既存のファイルの内容を変更できます。ただし、新しいファイルを作成または削除したり、ファイルのアクセス許可を変更したりすることはできません。これを行うには、ファイルを作成するディレクトリに書き込み権限を与える必要があります。ディレクトリでは、この権限により、新しいサブディレクトリを作成および削除することもできます。

実行権限は、ファイルを実行するために必要な権限です。デフォルトではインストールされないため、Linux はウイルスの影響をほぼ完全に受けなくなります。ディレクトリに対する書き込み権限を持つユーザーのみが、実行権限を適用できます。

以下に、基本的な権限の使用法をまとめます。

chmodの使用

権限を管理するには、次のコマンドを使用します chmod。使用する chmod ユーザー、グループなどの権限を設定できます。このコマンドは、相対モードと絶対モードの XNUMX つのモードで使用できます。絶対モードでは、基本的な権限の設定に XNUMX 桁が使用されます。

権限を設定するときは、必要な値を計算してください。 /somefile でユーザーに対して読み取り、書き込みおよび実行、グループに対して読み取りおよび実行、その他に対して読み取りおよび実行を設定する場合は、次のコマンドを使用します。 chmod:

chmod 755 /somefile

使用するときは chmod このようにして、現在のすべての権限が、設定した権限に置き換えられます。

現在のアクセス許可に関連するアクセス許可を変更したい場合は、次のように使用できます。 chmod 相対モードで。使用する chmod 相対モードでは、XNUMX つのインジケーターを使用して、何をしたいのかを示します。

まず、アクセス許可を変更する対象を指定します。これを行うには、ユーザー (u）、グループ（g）その他（o).
次に、ステートメントを使用して現在のモードにアクセス許可を追加または削除するか、それらを絶対に設定します。
最後に使用するのは r, w и xをクリックして、設定する権限を指定します。

相対モードで権限を変更する場合、「to」部分をスキップして、すべてのオブジェクトの権限を追加または削除できます。たとえば、次のコマンドはすべてのユーザーに実行権限を追加します。

chmod +x somefile

相対モードで作業する場合は、より複雑なコマンドも使用できます。たとえば、次のコマンドはグループに書き込み権限を追加し、他のグループの読み取り権限を削除します。

chmod g+w,o-r somefile

使用している場合 chmod -R o+rx /data /data ディレクトリ内のすべてのディレクトリとファイルに対して実行権限を設定します。ファイルではなくディレクトリのみに実行権限を設定するには、次を使用します。 chmod -R o+ rX /data.

大文字の X は、ファイルが一部のオブジェクトに対して実行権限を設定していない限り、ファイルが実行権限を取得しないことを保証します。これにより、X は実行権限をより賢く処理できるようになります。これにより、必要のないファイルにこの権限を設定することがなくなります。

拡張された権利

Linux には、先ほど説明した基本的な権限に加えて、一連の高度な権限もあります。これらはデフォルトで設定される権限ではありませんが、便利な追加機能を提供する場合があります。このセクションでは、それらが何であるか、そしてそれらを設定する方法について学びます。

SUID、GUID、およびスティッキービットの拡張アクセス許可について

XNUMX つの高度な権限があります。 XNUMX つ目は、ユーザー識別子 (SUID) を設定する権限です。一部の特殊なケースでは、このアクセス許可を実行可能ファイルに適用できます。デフォルトでは、実行可能ファイルを実行するユーザーは、独自の権限でそのファイルを実行します。

一般のユーザーにとって、これは通常、プログラムの使用が制限されていることを意味します。ただし、場合によっては、ユーザーは特定のタスクを実行するためだけに特別な権限を必要とします。

たとえば、ユーザーがパスワードを変更する必要がある状況を考えてみましょう。これを行うには、ユーザーは新しいパスワードを /etc/shadow ファイルに書き込む必要があります。ただし、このファイルは root 以外のユーザーは書き込みできません。

root@hnl ~]# ls -l /etc/shadow
----------. 1 root root 1184 Apr 30 16:54 /etc/shadow

SUID 権限は、この問題の解決策を提供します。 /usr/bin/passwd ユーティリティは、デフォルトでこの権限を使用します。つまり、パスワードを変更すると、ユーザーは一時的に root になり、/etc/shadow ファイルに書き込むことができるようになります。 SUID 権限は次のコマンドで確認できます。 ls -l 方法 s 通常見られるであろう位置に x カスタム権限の場合:

[root@hnl ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 32680 Jan 28 2010 /usr/bin/passwd

SUID 権限は便利そうに見えますが (場合によっては便利です)、同時に潜在的に危険でもあります。正しく適用されていない場合、誤って root 権限を譲渡してしまう可能性があります。したがって、細心の注意を払って使用することをお勧めします。

ほとんどの管理者はこれを使用する必要はありません。オペレーティングシステムがデフォルトで設定する必要がある一部のファイルでのみ表示されます。

XNUMX 番目の特別な権限はグループ ID (SGID) です。この許可には XNUMX つの効果があります。実行可能ファイルに適用すると、ファイルを実行するユーザーにファイルのグループ所有者の権限が与えられます。したがって、SGID は SUID とほぼ同じことを行うことができます。ただし、SGID はこの目的にはほとんど使用されません。

SUID 権限と同様に、SGID はデフォルト設定として一部のシステムファイルに適用されます。

SGID をディレクトリに適用すると、そのディレクトリ内に作成されたファイルおよびサブディレクトリのデフォルトのグループ所有者を設定するために使用できるため、便利です。デフォルトでは、ユーザーがファイルを作成すると、そのユーザーの実効プライマリグループがそのファイルのグループ所有者として設定されます。

これは、特に Red Hat/CentOS ユーザーのプライマリグループがユーザーと同じ名前のグループに設定されており、そのユーザーが唯一のメンバーであるため、必ずしも便利であるとは限りません。したがって、デフォルトでは、ユーザーが作成したファイルは一括で共有されます。

ユーザーの linda と lori が会計で働いており、グループのメンバーである状況を想像してください。 アカウント。デフォルトでは、これらのユーザーはプライベートグループのメンバーであり、その唯一のメンバーです。ただし、両方のユーザーはアカウントグループのメンバーですが、セカンダリグループパラメーターとしても機能します。

デフォルトの状況では、これらのユーザーのいずれかがファイルを作成すると、プライマリグループが所有者になります。したがって、デフォルトでは、linda は lori が作成したファイルにアクセスできず、その逆も同様です。ただし、共有グループディレクトリ (/groups/account など) を作成し、SGID 権限がそのディレクトリに適用され、グループアカウントがそのディレクトリのグループ所有者に設定されていることを確認すると、そのディレクトリ内に作成されたすべてのファイルとそのディレクトリ内のすべてのファイルがサブディレクトリ、デフォルトのグループ所有者としてグループアカウントも取得します。

このため、SGID 権限は、パブリックグループディレクトリに設定する非常に便利な権限です。

出力に表示される SGID 権限 ls -l 方法 s 通常、グループを実行する権限がある位置にあります。

[root@hnl data]# ls -ld account
drwxr-sr-x. 2 root account 4096 Apr 30 21:28 account

特別なアクセス許可の XNUMX 番目はスティッキービットです。この権限は、複数のユーザーが同じディレクトリへの書き込みアクセス権を持っている環境で、ファイルを誤って削除しないように保護するのに役立ちます。スティッキービットが使用されている場合、ユーザーは、そのファイルが含まれるファイルまたはディレクトリのユーザー所有者である場合にのみファイルを削除できます。このため、これは /tmp ディレクトリのデフォルトのアクセス許可として使用され、パブリックグループディレクトリにも役立ちます。

スティッキービットを使用しない場合、ユーザーがディレクトリ内にファイルを作成できる場合は、そのディレクトリからファイルを削除することもできます。公開グループ環境では、これは煩わしい場合があります。ユーザー linda と lori が、どちらも /data/account ディレクトリへの書き込み権限を持ち、アカウントグループのメンバーになることでそれらの権限を取得しているとします。したがって、linda は lori によって作成されたファイルを削除することができ、またその逆も可能です。

スティッキービットを適用すると、ユーザーは次の条件のいずれかに該当する場合にのみファイルを削除できます。

ユーザーはファイルの所有者です。
ユーザーは、ファイルが配置されているディレクトリの所有者です。

使用している場合 ls -l、スティッキービットは次のように表示されます t 通常は他のユーザーの実行許可が表示される位置にあります。

[root@hnl data]# ls -ld account/
drwxr-sr-t. 2 root account 4096 Apr 30 21:28 account/

拡張権利の適用

SUID、SGID、スティッキービットを適用するには、次の方法も使用できます。 chmod。 SUID の数値は 4、SGID の数値は 2、スティッキービットの数値は 1 です。

これらの権限を適用したい場合は、XNUMX 桁の引数を追加する必要があります。 chmod、最初の数字は特別な権限を指します。たとえば、次の行は、ディレクトリに SGID 権限を追加し、ユーザーに rwx を設定し、グループなどに rx を設定します。

chmod 2755 /somedir

作業する前に設定されている現在の権限を確認する必要がある場合、これはかなり非現実的です。 chmod 絶対モードで。 (そうしないと、アクセス許可が上書きされる危険があります。) したがって、特別なアクセス許可のいずれかを適用する必要がある場合は、相対モードで実行することをお勧めします。

SUIDを使用する場合 chmod u+s.
SGIDを使用する場合 chmod g + s.
スティッキービット用途 chmod +tの後に、アクセス許可を設定するファイルまたはディレクトリの名前を続けます。

この表には、特別なアクセス許可の管理について知っておく必要があるすべてがまとめられています。

特別な権限を使用した作業の例

この例では、特別なアクセス許可を使用して、グループメンバーが共有グループディレクトリ内のファイルを簡単に共有できるようにします。設定されたグループ ID とスティッキービットに ID ビットを割り当てます。これらが設定されると、グループメンバーが共同作業しやすくする機能が追加されることがわかります。

linda ユーザーであるターミナルを開きます。コマンドでユーザーを作成できます ユーザー追加リンダ、パスワードを追加 パスワードリンダ.
次のコマンドを使用して、ルートに /data ディレクトリと /data/sales サブディレクトリを作成します。 mkdir -p /データ/販売。完了 CD/データ/販売販売ディレクトリに移動します。完了 リンダ1に触れてください и リンダ2に触れてくださいlinda が所有する XNUMX つの空のファイルを作成します。
実行する スーリサ 現在のユーザーを、営業グループのメンバーでもあるユーザー lisa に切り替えます。
実行する CD/データ/販売 そしてこのディレクトリから実行します ls -l。 linda ユーザーによって作成され、linda グループに属する XNUMX つのファイルが表示されます。実行する rm -f リンダ*。これにより、両方のファイルが削除されます。
実行する リサ1に触れてください и リサ2に触れてくださいユーザー lisa が所有する XNUMX つのファイルを作成します。
実行するすー権限を root に昇格させます。
実行する chmod g+s,o+t /data/sales共有グループディレクトリ内のグループ識別子 (GUID) ビットとスティッキービットを設定します。
実行する スリンダ。それならそうする リンダ3に触れてください и リンダ4に触れてください。作成した XNUMX つのファイルが sales グループ (/data/sales ディレクトリのグループ所有者) によって所有されていることがわかります。
実行する rm -rf リサ*。あなたはこれらのファイルの所有者ではないため、スティッキービットにより、linda ユーザーに代わってこれらのファイルが削除されるのを防ぎます。 linda ユーザーが /data/sales ディレクトリの所有者である場合は、これらのファイルを削除できることに注意してください。

Linux での ACL 管理 (setfacl、getfacl)

上で説明した拡張アクセス許可は、Linux によるアクセス許可の処理方法に便利な機能を追加しますが、同じファイル内で複数のユーザーまたはグループにアクセス許可を付与することはできません。

アクセス制御リストはこの機能を提供します。さらに、管理者はデフォルトのアクセス許可を複雑な方法で設定でき、設定されたアクセス許可はディレクトリごとに異なる場合があります。

ACL について

ACL サブシステムはサーバーに優れた機能を追加しますが、すべてのユーティリティがそれをサポートしているわけではないという欠点が XNUMX つあります。したがって、ファイルをコピーまたは移動すると ACL 設定が失われる可能性があり、バックアップソフトウェアが ACL 設定のバックアップに失敗する可能性があります。

tar ユーティリティは ACL をサポートしていません。バックアップの作成時に ACL 設定が失われないようにするには、次を使用します。星タールの代わりに。星 tar と同じオプションで動作します。 ACL 設定のサポートを追加するだけです。

次を使用して ACL をバックアップすることもできます。 getfaclこれは、setfacl コマンドを使用して復元できます。バックアップを作成するには、次を使用します getfacl -R /ディレクトリ > file.acls。バックアップファイルから設定を復元するには、次を使用します。 setfacl --restore=file.acl.

一部のツールによるサポートの欠如は問題にはなりません。 ACL は、個々のファイルではなく、構造的な手段としてディレクトリに適用されることがよくあります。
したがって、ファイルシステム内の適切な場所に適用されるものは多くはありませんが、ほんのわずかです。したがって、バックアップソフトウェアがサポートしていない場合でも、使用した元の ACL を復元するのは比較的簡単です。

ACL 用のファイルシステムの準備

ACL の操作を開始する前に、ACL をサポートするようにファイルシステムを準備する必要がある場合があります。ファイルシステムのメタデータを拡張する必要があるため、ファイルシステムで ACL が常にデフォルトでサポートされているわけではありません。ファイルシステムの ACL を設定するときに「操作はサポートされていません」というメッセージが表示される場合は、ファイルシステムが ACL をサポートしていない可能性があります。

これを修正するには、オプションを追加する必要があります ACLマウント /etc/fstab にあるため、ファイルシステムはデフォルトで ACL サポートを使用してマウントされます。

setfacl および getfacl を使用した ACL 設定の変更および表示

ACL を設定するには、次のコマンドが必要です。 setfacl。現在必要な ACL 設定を確認するには getfacl. チーム ls -l 既存の ACL は表示されません。権限リストの後に + が表示されるだけで、ACL がファイルにも適用されることを示します。

ACL を設定する前に、現在の ACL 設定を表示することをお勧めします。 getfacl。以下の例では、次のように現在の権限を確認できます。 ls -l、また、次のように getfacl。よく見ると、表示されている情報がまったく同じであることがわかります。

[root@server1 /]# ls -ld /dir
drwxr-xr-x. 2 root root 6 Feb 6 11:28 /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

コマンドを実行した結果、 getfacl 以下では、ユーザー、グループ、その他の XNUMX つの異なるオブジェクトに対する権限が表示されていることがわかります。次に、ACL を追加して、営業グループに読み取りおよび実行権限を付与しましょう。このためのコマンド setfacl -mg:sales:rx /dir。このチームでは -m 現在の ACL 設定を変更する必要があることを示します。その後 g:販売:rx コマンドに読み取り実行 ACL を設定するように指示します (rx) グループ (g）の販売。以下に、コマンドがどのようなものであるか、および現在の ACL 設定を変更した後の getfacl コマンドの出力を示します。

[root@server1 /]# setfacl -m g:sales:rx /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
group:sales:r-x
mask::r-x
other::r-x

グループ ACL の設定方法を理解したので、ユーザーと他のユーザーの ACL を理解するのは簡単です。たとえば、次のコマンドは setfacl -mu:linda:rwx /data ユーザー linda を所有者にしたり、現在の所有者の割り当てを変更したりせずに、/data ディレクトリ内のアクセス許可をユーザー linda に与えます。

チーム setfacl 多くの機能とオプションがあります。特に重要なオプションの XNUMX つであるパラメータ -R。このオプションを使用すると、ACL を設定したディレクトリに現在存在するすべてのファイルとサブディレクトリに ACL が設定されます。既存のディレクトリの ACL を変更する場合は、常にこのオプションを使用することをお勧めします。

デフォルトACLの操作

ACL を使用する利点の XNUMX つは、ディレクトリ内の複数のユーザーまたはグループにアクセス許可を付与できることです。もう XNUMX つの利点は、デフォルト ACL を使用して継承を有効にできることです。

デフォルトの ACL を設定することにより、ディレクトリ内に作成されるすべての新しいアイテムに設定されるアクセス許可を決定します。デフォルトの ACL では、既存のファイルとサブディレクトリのアクセス許可が変更されないことに注意してください。それらを変更するには、通常の ACL も追加する必要があります。

これは知っておくことが重要です。 ACL を使用して複数のユーザーまたはグループが同じディレクトリにアクセスするように構成する場合は、ACL を XNUMX 回設定する必要があります。初めての使用 setfacl -R -m現在のファイルの ACL を変更します。次に、使用します setfacl-md:同様に作成されるすべての新しい要素を処理します。

デフォルトの ACL を設定するには、オプションを追加するだけです。 d オプション後 -m （順序は重要です！）。それで使用してください setfacl -md:g:sales:rx /data/data ディレクトリに作成されたものをグループ営業に読み取って実行させたい場合。

デフォルトの ACL を使用する場合、他の ACL を設定すると便利な場合があります。を使用して他の人の権限を変更することもできるため、これは通常はあまり意味がありません。 chmod。ただし、できないことは、 chmodは、作成されるすべての新しいファイルに対して他のユーザーに付与する必要がある権限を指定することです。 /data で作成されたものに対する権限を他の人が取得できないようにしたい場合は、たとえば次のように使用します。 setfacl -md:o::- /data.

ACL と通常のアクセス許可は、必ずしも適切に統合されているわけではありません。デフォルトの ACL をディレクトリに適用し、項目がそのディレクトリに追加されてから、通常のアクセス許可を変更しようとすると、問題が発生する可能性があります。通常のアクセス許可に適用される変更は、ACL の概要には十分に反映されません。問題を回避するには、最初に通常のアクセス許可を設定し、次にデフォルトの ACL を設定します (その後、ACL を再度変更しないようにしてください)。

ACL を使用した昇格された権限管理の例

この例では、前に作成した /data/account ディレクトリと /data/sales ディレクトリを引き続き使用します。前の例では、販売グループが /data/sales に対するアクセス許可を持ち、アカウントグループが /data/account に対するアクセス許可を持っていることを確認しました。

まず、アカウントグループが /data/sales ディレクトリに対する読み取り権限を取得し、sales グループが /data/account ディレクトリに対する読み取り権限を取得していることを確認します。

次に、デフォルトの ACL を設定して、すべての新しいファイルにすべての新しいアイテムに対するアクセス許可が正しく設定されていることを確認します。

ターミナルを開きます。
実行する setfacl -mg:account:rx /data/sales и setfacl -mg:sales:rx /data/account.
実行する getfacl権限が希望どおりに設定されていることを確認します。
実行する setfacl -md:g:account:rwx,g:sales:rx /data/salessales ディレクトリのデフォルト ACL を設定します。
次を使用して、/data/account ディレクトリのデフォルト ACL を追加します。 setfacl -md:g:sales:rwx,g:account:rx /data/account.
新しいファイルを /data/sales に追加して、ACL 設定が有効であることを確認します。完了 touch /data/sales/newfile そして、やります getfacl /data/sales/newfile 現在の権限を確認します。

umask を使用したデフォルトの権限の設定

上記では、デフォルトの ACL を使用する方法を学習しました。 ACL を使用していない場合は、取得するデフォルトの権限を決定するシェルオプションがあります。 umask (反転マスク)。このセクションでは、デフォルトの権限を変更する方法を学習します。 umask.

新しいファイルを作成すると、いくつかのデフォルトのアクセス許可が設定されることに気づいたかもしれません。これらの権限は設定によって決まります umask。このシェル設定は、ログオン時にすべてのユーザーに適用されます。パラメータ内 umask ファイルに自動的に設定できる最大権限から減算された数値が使用されます。ファイルの最大設定は 666、ディレクトリの最大設定は 777 です。

ただし、この規則にはいくつかの例外が適用されます。設定の完全な概要を確認できます umask 以下の表にあります。

で使われている数字のうち、 umask、コマンドの数値引数と同様 chmod、最初の数字はユーザーの権限を指し、XNUMX 番目の数字はグループの権限を指し、最後の数字は他の人に設定されているデフォルトの権限を指します。意味 umask デフォルトの 022 では、サーバー上に作成されたすべての新しいファイルには 644、すべての新しいディレクトリには 755 が与えられます。

すべての数値の完全な概要 umask その結果を以下の表に示します。

umask 設定がどのように機能するかを確認する簡単な方法は次のとおりです。まず、ファイルのデフォルトのパーミッションを 666 に設定し、umask を減算して有効なパーミッションを取得します。ディレクトリとそのデフォルトの権限 777 に対しても同じことを行います。

umask 設定を変更するには、すべてのユーザーに対して行う方法と個別のユーザーに対して行う方法の XNUMX つがあります。すべてのユーザーに umask を設定する場合は、/etc/profile で指定されているように、シェル環境ファイルを開始するときに umask 設定が考慮されるようにする必要があります。正しいアプローチは、umask.sh というシェルスクリプトを /etc/profile.d ディレクトリに作成し、そのシェルスクリプトで使用する umask を指定することです。このファイルで umask を変更すると、サーバーへのログイン後にすべてのユーザーに適用されます。

/etc/profile および関連ファイルを介して umask を設定する代わりに、ログインしているすべてのユーザーに適用されます。各ユーザーのホームディレクトリに作成される .profile というファイル内の umask 設定を変更することもできます。

このファイルに適用される設定は、個々のユーザーにのみ適用されます。したがって、より詳細な情報が必要な場合には、これは良い方法です。個人的には、通常のユーザーがデフォルトの umask 027 で実行している間に、root ユーザーのデフォルトの umask を 022 に変更するこの機能が気に入っています。

拡張ユーザー属性の操作

これは Linux 権限に関する最後のセクションです。

アクセス許可を操作する場合、ユーザーまたはグループオブジェクトと、ユーザーまたはグループオブジェクトがファイルまたはディレクトリに対して持つアクセス許可との間には常に関係があります。 Linux サーバー上のファイルを保護する別の方法は、属性を使用することです。
属性は、ファイルにアクセスするユーザーに関係なく、その役割を果たします。

ACL と同様に、ファイル属性にはオプションを含める必要がある場合があります。 mount.

これはオプションです user_xattr。拡張ユーザー属性を使用するときに「操作はサポートされていません」というメッセージが表示される場合は、必ずパラメーターを設定してください。 mount /etc/fstab にあります。

多くの属性が文書化されています。一部の属性は利用可能ですが、まだ実装されていません。それらは使用しないでください。彼らはあなたに何も持ってきません。

適用できる最も便利な属性は次のとおりです。

A この属性により、ファイルのファイルアクセス時間が変更されないことが保証されます。
通常、ファイルを開くたびに、ファイルのアクセス時間をファイルのメタデータに記録する必要があります。これはパフォーマンスに悪影響を及ぼします。したがって、定期的にアクセスされるファイルの場合、属性 A この機能を無効にするために使用できます。

a この属性を使用すると、ファイルの追加はできますが、削除はできません。

c ボリュームレベルの圧縮をサポートするファイルシステムを使用している場合、このファイル属性により、圧縮メカニズムが初めて有効になったときにファイルが確実に圧縮されます。

D この属性により、ファイルへの変更が最初にキャッシュされるのではなく、すぐにディスクに書き込まれるようになります。これは、重要なデータベースファイルがファイルキャッシュとハードドライブの間で失われないようにするための便利な属性です。

d この属性により、ダンプユーティリティが使用されるバックアップにファイルが保存されなくなります。

I この属性は、それが有効になっているディレクトリのインデックス作成を有効にします。これにより、高速ファイルアクセスに B ツリーデータベースを使用しない Ext3 のようなプリミティブファイルシステムのファイルアクセスが高速になります。

i この属性により、ファイルは不変になります。したがって、ファイルに変更を加えることはできません。これは、追加の保護が必要なファイルに役立ちます。

j この属性により、ext3 ファイルシステムでは、ファイルがまずジャーナルに書き込まれ、次にハードディスク上のデータブロックに書き込まれます。

s ファイルが削除された後、ファイルが保存されていたブロックを 0 秒間上書きします。これにより、ファイルが削除されると復元できなくなります。

u この属性には、削除に関する情報が保存されます。これにより、この情報を使用して削除されたファイルを救出するユーティリティを開発できます。

属性を適用したい場合は、次のコマンドを使用できます。 おしゃべり。たとえば、次のように使用します。 chattr +s somefile何らかのファイルに属性を適用します。属性を削除する必要がありますか? 次に、使用します chattr -s somefileそしてそれは削除されます。現在適用されているすべての属性の概要を取得するには、次のコマンドを使用します。 lsattr.

サマリー

この記事では、アクセス許可を操作する方法を学びました。 XNUMX つの基本的なアクセス許可、高度なアクセス許可、およびファイルシステムに ACL を適用する方法について説明しました。また、umask オプションを使用してデフォルトの権限を適用する方法についても学習しました。この記事の最後では、ユーザー拡張属性を使用してファイルシステムセキュリティの追加レイヤーを適用する方法を学びました。

この翻訳が気に入った場合は、コメントにそれについて書いてください。役立つ翻訳を作成する意欲がさらに高まります。

記事内のいくつかのタイプミスと文法上の誤りを修正しました。読みやすくするために、いくつかのかさばる段落を小さな段落に縮小しました。

「ディレクトリに対する管理者権限を持つユーザーのみが実行権限を適用できる」の代わりに。「ディレクトリに対する書き込み権限を持つユーザーのみが実行権限を適用できる」に修正されました。これはより正確です。

コメントありがとうございますベレス.

置き換えられた:
ユーザーの所有者ではない場合、シェルはユーザーがファイルのグループとも呼ばれるグループのメンバーであるかどうかを確認します。

オン：
ファイルの所有者ではない場合、シェルは、そのファイルに対するアクセス許可を持つグループのメンバーであるかどうかを確認します。このグループのメンバーである場合は、グループが設定したアクセス許可でファイルにアクセスすることになり、シェルはチェックを停止します。

コメントありがとうございますクリプトパイレーツ

出所： habr.com

Linux の権限 (chown、chmod、SUID、GUID、スティッキー ビット、ACL、umask)