Permissiones in Linux (chown, chmod, SUID, GUID, frenum glutinosum, ACL, umask)

Hi omnes. Haec est translatio articuli libri RedHat RHCSA RHCE 7 RedHat Inceptum Linux 7 EX200 et EX300.

Dis: Articulum spero non solum incipientibus utilem fore, sed etiam peritiores administratores adiuvabit cognitionem eorum streamline.

Ergo abeamus.

Ad files accessum in Linux, permissiones sunt adhibitae. Hae facultates tribuuntur tribus obiectis: tabella possessoris, globi possessoris, et aliud obiectum (id est, omnes alii). In hoc articulo licentias adhibere disces.

Hic articulus incipit a contemplatione notionum fundamentalium, quam sequitur disceptatio de permissionibus Specialibus et Access Imperium Album (ACLs). In fine huius articuli, permissiones defaltae per umask constituere, necnon attributa usoris extensa administrandi.

File dominii procuratio

Priusquam de permissionibus disseras, scire debes munus documenti et domini possessoris. Dominium files et directoria vitalis est tractandis permissionibus. In hac sectione prius cognosces quomodo dominum uidere possis. Tunc disces quomodo coetus possessorem et usorem mutare pro lima et directoriis.

Ostendens dominus lima vel Directory

In Linux, omnis fasciculus et omne directorium duos possessores habet: user et coetus possessorem.

Hi domini positi sunt cum fasciculus vel directorium creatur. Usor, qui tabellam creat, dominus illius fasciculi fit, et coetus primarius, quem idem usor habet, etiam illius fasciculi dominus fit. Decernere si tibi, ut a user, permissum est accessurum tabellam seu directorium, putamen compescit dominii.

Hoc fit hoc ordine;

1. Testa compescit videre si dominus es tabellae accedere velis. Si dominus es, licentias possides, et testa cohibet.
2. Si tabellae dominus non es, testa reprehendo videre si membrum coetus es qui in tabella licentias habet. Si membrum huius sodalitatis es, tabellam accesseris cum permissionibus quas coetus posuit, et testa inhibere desinet.
3. Si nec usor nec dominus coetus es, iura aliorum utentium (Alia).

Videre dominus current provincias, imperium uti potes u l. Hoc mandatum utentem et dominum globi ostendit. Infra videre potes dominum occasus pro directoriis in directorio /domus.

[root@server1 home]# ls -l
total 8
drwx------. 3  bob            bob            74     Feb   6   10:13 bob
drwx------. 3  caroline       caroline       74     Feb   6   10:13 caroline
drwx------. 3  fozia          fozia          74     Feb   6   10:13 fozia
drwx------. 3  lara           lara           74     Feb   6   10:13 lara
drwx------. 5  lisa           lisa           4096   Feb   6   10:12 lisa
drwx------. 14 user           user           4096   Feb   5   10:35 user

помощью команды ls possessorem files in directorio dato potes ostendere. Interdum usui esse potest ut indicem omnium fasciculorum in systematis usoris vel globi ut possessorem habeant datum. Hoc enim uti potes inveniet. Argumentum invenio-user ad hanc rem adhiberi possunt. Exempli gratia, hoc mandatum recenset omnes fasciculos qui possessores sunt linda usoris:

find / -user linda

Etiam uti potes inveniet ut quaeramus fasciculos qui certum coetum suum possessorem habent.

Exempli gratia, hoc mandatum requirit omnes tabulas ad coetum pertinentes users:

find / -group users

Dominus mutatio

Ad proprias permissiones applicandas, primum considerandum est dominium. Est hoc mandatum chown. Syntaxis huius praecepti facile est ad intellegendum;

chown кто что

Exempli causa, sequens mandatum dominum de /home/ratione directorii ad linda usoris mutat:

chown linda /home/account

bigas chown plurimas habet optiones, quarum una maxime est utilis; -R. Conicere potes quid agat, quia haec optio multis aliis quoque praeceptis praesto est. Hoc tibi permittit ut possessorem recursivere constituas, quod tibi permittit ut possessorem hodiernae indicis et omnia infra constituas. Mandatum sequens dominium directorii /domus et omnia quae infra illam cum linda usore mutat:

Videte nunc domini sic:

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 account account 62 Sep 25 21:41 account
drwx------. 2 lisa    lisa    62 Sep 25 21:42 lisa

faciamus;

[root@localhost ~]# chown -R lisa /home/account
[root@localhost ~]#

Nunc usor Lisa factus est dominus directorii rationis:

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 lisa account 62 Sep 25 21:41 account
drwx------. 2 lisa lisa    62 Sep 25 21:42 lisa

Dominus de coetus mutare

Dupliciter autem dominium multitudinis mutare. Hoc facere potes utens chownsed est mandatum speciale nominatum chgrp*quod officium facit. Si vis uti imperio chown, usus . aut : in fronte coetus nomine.

Hoc mandatum mutat dominus aliquem de /domo/ratis ad coetum rationis coetus:

chown .account /home/account

vos can utor chown mutare possessorem usoris et/vel coetus pluribus modis. Exempla hic sunt;

• chown Lisa myfile1 user Lisa ponit ut dominus myfile1.
• chown lisa.sales myfile lisa utentis ponit ut dominus fasciculi myfilii, et etiam coetus venditionum tamquam dominus eiusdem fasciculi ponit.
• chown Lisa: venditio myfile idem ac praecedens.
• chown .sales myfile coetus venditionesque ponit sicut dominus myfile sine mutatione possessoris utentis.
• chown: venditio myfile idem ac praecedens.

Potes uti mandatum chgrp*dominus collegii mutare. Hoc exemplum considera, ubi uti potes chgrp* dominus posuit ad venditionesque rationis directorium coetus:

chgrp .sales /home/account

Quod cum chown, optione uti potes -R с chgrp*atque etiam dominus coetus recursively mutet.

Intellectus Default Possessor

Animadvertere licet quod cum usura limam creat, dominium default applicatur.
Usor, qui tabellam creans automatice fit dominus illius fasciculi, et ille coetus primarius usoris automatice fit dominus illius fasciculi. Solet hic globus qui in fasciculo /etc/passwd enumeratur sicut primarius coetus usoris. Attamen si usor plus quam unus coetus membrum est, usor primarium coetus effectivum mutare potest.

Praesens effectivum primae sodalitatis ostendere potest, utens imperio uti potest Groups:

[root@server1 ~]# groups lisa
lisa : lisa account sales

Si usor hodiernans vult mutare primam coetus effectivam, ipse utetur imperio newgrpsequitur nomen sodalitatis, quam vult instituere ut novum coetus primarium efficax. Post per imperium newgrp prima coetus erit activae usque ad user intrat imperium exitus aut non sunt log.

Ex sequentibus patet quomodo linda utens hoc praecepto utitur, cum venditionibus ut coetus primarius;

lisa@server1 ~]$ groups
lisa account sales
[lisa@server1 ~]$ newgrp sales
[lisa@server1 ~]$ groups
sales lisa account
[lisa@server1 ~]$ touch file1
[lisa@server1 ~]$ ls -l
total 0
-rw-r--r--. 1 lisa sales 0 Feb 6 10:06 file1

Postquam coetus primarius effectivus mutato mutatur, omnes novae tabulae ab usore creatae illam globi ut possessorem globi habebunt. Ut revertatur ad principale coetus primarium occasum, utere exitus.

Posse uti mandatum newgrpusor debet esse membrum coetus uti volunt ut coetus primarius. Praeterea globus ignoro adhiberi potest pro grege mandato gpasswd. Si user utitur imperio newgrpsed membrum clypei non est, putamen pro tessera sodalitatis suggerit. Postquam tesseram rectam coetus intraveris, nova coetus effectivus primarius instituetur.

Iura fundamentale procuratio

Systema permissionis Linux in annis 1970 inventa est. Cum necessitates computandi his annis limitatae sunt, ratio permissionis fundamentalis satis limitata erat. Haec licentia systematis utitur tribus permissionibus quae ad lima et directoria applicari possunt. In hac sectione, has permissiones uti ac mutare disces.

Intellectus Lege, Scribe, et Permissionibus Fac

Tres permissiones fundamentales permittunt te legere, scribere, et facere files. Effectus harum permissionum differt cum applicatis ad lima vel directoria. Ad limam, permissio lecta tibi ius aperiendi legendi dat. Ergo contentum suum legere potes, sed computatrale tuum significat tabellam aperire ad aliquid faciendum cum eo.

Fasciculus programmatis ad bibliothecam aditum indiget, exempli gratia, accessum ad illam bibliothecam habere. Sequitur quod permissio legere est permissio fundamentalis quae opus est cum files operari.

Cum ad directorium applicatum est, lectio te permittit ut contenta illius directorii exhibeas. Scire debes hanc licentiam non te permittere ut tabellas in indicem legeres. Ratio permissionis Linux haereditatem non cognoscit, et una via ad limam legendi permissionum in illa fasciculo utendi est.

Ut probabiliter suspicari potes, licentia scribe, si ad limam applicata, tabellam scribendo permittit. Id est, permittit te contenta imaginum exsistentium mutare. Nihilominus, non permittit te novas tabulas creare vel delere vel permissiones fasciculi mutare. Ad hoc, licentiam scribendam dare debes in indicem ubi tabellam creare vis. In directoriis, haec licentia tibi permittit etiam novas subdirectorias creare ac delere.

Permissio est id quod debes tabella exequi. Numquam ex defalta instituetur, quae Linux a virus paene omnino immunem reddit. Licentiam exsequi potest solus aliquis cum licentias scribere in indicem adhibere.

Sequens summat usum permissionum fundamentalium;

per chmod

Praeceptum adhibetur ad permissiones regendas. chmod... utens chmod Licentias usoris (usoris), coetus (group) et alii (alii). Hoc praeceptum uti potes duobus modis: relativo modo et absoluto. Absolute modo tres digiti licentias fundamentales ponebant.

Cum permissionibus proficiscens, valorem quem debes computare. Si vis ponere legere/scribere/exigere pro usuario, lege/exigere pro coetu, ac pro aliis legere/exigere in / somefile tunc uteris sequenti mandato. chmod:

chmod 755 /somefile

Cum uteris chmod hoc modo, omnes venae permissiones per quas positos substituuntur.

Si vis mutare permissiones respectu hodierni permissionum, uti potes chmod relativo modo. utens chmod in modo relativo laboras cum tribus indicibus ut quid velis facere;

1. Primum nominas quem vis mutare permissiones pro. Ad hoc facere potes eligere inter usorem (u), group (g) et alii (o).
2. Propositione deinde uteris licentias addere vel removere ex hodierno modo, vel eas absolute pone.
3. In fine uteris r, w и xspecificare quas permissiones vis.

Cum mutandis permissionibus in modo relativo, "ad" partem transilire potes licentiam pro omnibus obiectis addere vel removere. Exempli gratia: hoc mandatum addit licentiam pro omnibus utentibus;

chmod +x somefile

Cum in modo relativo operando, etiam multiplicibus praeceptis uti potes. Exempli gratia, hoc mandatum addit licentiam scribendam ad coetum et licentiam pro aliis legere aufert;

chmod g+w,o-r somefile

cum usura chmod -R o+rx/data licentiam faciendam pro omnibus directoriis ac lima in directorio /notitiae constituis. Ut licentiam tantum pro directoriis et non pro lima, utere chmod -R o+ rX /data.

Loco X autocinetum efficit ut fasciculi licentiam non obtineant, nisi tabella iam licentiam aliqua obiecta exsequatur. Hoc X modo nitidiorem facit ad agendum licentias exsequendas; hanc licentiam in scriniis ponere ubi non opus erit, vitabit.

Iura extensa

Praeter licentias fundamentales quas modo legeris, Linux etiam licentias progressas habet. Hae non sunt permissiones quas per defaltam statuas, sed interdum utilem additionem praebent. In hac sectione, quae sint et quomodo ea constituantur scies.

Intellectus SUID, GUID et Sticky Bit Brief Permissionibus

Tres sunt permissiones provectae. Quarum prima est permissio ut user identifier (SUID). In quibusdam casibus specialibus, hanc licentiam adhibere potes ad files exsecutabiles. Defalta, user qui exsecutabile decurrit cum suis permissionibus.

Pro communibus utentibus, hoc plerumque significat usum programmatis circumscribi. In quibusdam tamen casibus usor eget permissionibus specialibus, solum ad munus specificum exercendum.

Puta, exempli gratia, condicionem in qua usor suam tesseram mutare debet. Ad hoc usor suam novam tesseram /etc/umbrationis fasciculi scribere debet. Sed hic fasciculus non est writable ab utentibus non-radicibus;

root@hnl ~]# ls -l /etc/shadow
----------. 1 root root 1184 Apr 30 16:54 /etc/shadow

Suid permissio solutionem huius problematis praebet. Usus /usr/bin/passwd hac licentia per defaltam utitur. Id significat, cum tesseram mutans, user ad tempus radicem esse, quae eum ad fasciculi /etc/umbram scribere sinit. Potes videre Suid permissione cum u l quam s loco ubi plerumque visurum x pro consuetudine permissionum;

[root@hnl ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 32680 Jan 28 2010 /usr/bin/passwd

Permissio SUID utilis (et in quibusdam casibus est) potest, sed simul in potentia periculosa est. Si non recte applicata, casualiter donare potes licentias radicem. Quare ea tantum summa diligentia commendo.

Plerique administratores numquam uti oportet; in nonnullis scriniis illud solum videbis ubi ratio operandi per defaltam eam ponet.

Secunda permissio specialis coetus identificantis est (SGID). Haec permissio duos habet effectus. Cum ad documentum exsecutabile applicatur, usori dat qui tabellam permissiones possessoris coetus tabellae dat. Sic SGID potest plus minusve idem facere quod SUID. Sed SGID ad hoc usus non est.

Ut permissu SUID, SGID ad aliquas tabulas systematis applicatur ut default occasus.

Cum ad directorium applicantur, SGID utilis esse potest quia ea uti potes ut dominus coetus default pro lima et subdirectoria in directorio illo creatos ponat. Defalta, cum usura limam creat, primarius eorum coetus efficax ponitur sicut dominus coetus illius fasciculi.

Id non semper valde utile est, praesertim cum Red Hat/CentOS utentes habeant suam primariam catervam ad coetum cognominem utentis, et cuius usor unicum membrum est. Ita, defalta, fasciculi quos usor creat, in mole participabuntur.

Finge condicionem ubi users linda et lori operantur in ratione et membra coetus sunt propter. Defalta, hi utentes membra sunt coetus privati ​​cuius solum membrum sunt. Uterque tamen utentes membra coetus rationis sunt, sed etiam ut secundarius coetus parametri.

Defectus condicionis est quod, cum quilibet ex his utentibus limam crearet, primarius coetus dominus fit. Ergo, defalta, linda non potest accedere ad lima a lori creata, et vice versa. Autem, si directorium coetus communicatum creas (dico /groups/rationis) et ut permissio SGID ad directorium applicatur et ratio coetus constituatur sicut coetus possessoris illius directorii, omnes fasciculi in illo directorio creati et omnia de subdirectoriis suis, etiam rationem coetus obtineat sicut coetus possessoris per defaltam.

Quam ob rem permissio SGID valde utilis est licentia ut directores coetus publici constituendi sint.

SGID ostensum est in output permission u l quam s ad locum ubi soles invenire licentiam communem;

[root@hnl data]# ls -ld account
drwxr-sr-x. 2 root account 4096 Apr 30 21:28 account

Tertium specialium licentiarum est viscum mandit. Haec permissio utilis est ad tabulas tuendas a deletione accidentali in ambitu in quo plures users accessum habent ad idem presul. Si frenum glutinosum adhibetur, usor solum limam delere potest si possessoris usoris sunt tabellae vel directorium qui tabellam continet. Quam ob rem, ut licentia default directorii /tmp directorii et usui esse potest etiam directoriis coetus publici.

Sine frenum, si usor lima in indicem creare potest, tabellas quoque ex directorio delere possunt. In ambitu publico, hoc molestus esse potest. Finge usores linda et lori, qui et licentias scribentes ad directorium /datorum/actionem habent et eas licentias per membra coetus rationis obtinent. Ergo linda lima a lori creata et vice versa delere potest.

Cum tenacem frenum applicas, usura tantum limas delere potest si unus ex sequentibus conditionibus verus est:

• Usor tabellae dominus est;
• Usor est dominus indicem ubi tabella sita est.

cum usura u lPotes videre lentum frenum as t in eo loco ubi videris executionem aliorum;

[root@hnl data]# ls -ld account/
drwxr-sr-t. 2 root account 4096 Apr 30 21:28 account/

Secundum iura extensa

Adhibere SUID, frenum SGID et lentum etiam uti potes chmod. SUID valorem numericum 4, SGID valorem numericum 2 habet, et frenum glutinosum valorem numericum 1 habet.

Si has permissiones adhibere vis, quattuor digiti argumenti addere debes chmodcuius prima nota pertinet ad speciales permissiones. Sequens linea, exempli gratia, licentiam SGID addet directorii et rwx pro usuario et rx pro caterva et aliis pone;

chmod 2755 /somedir

Hoc magis impossibilium est si videre debes permissiones hodiernas quae anteponuntur cum operando chmod absolute modo. (Periculo licentiae overscriptionis si non facis.) Commendo igitur modum relativum currendi si quaslibet permissiones speciales adhibere debes;

1. Nam Suid usus chmod u+s.
2. Nam usus SGID chmod g+s.
3. Nam lentum frenum usu chmod + tsequitur nomen tabella seu directorium pro quibus licentias ponendi vis.

Mensa omnia summat quae scire debes de permissionibus specialibus administrandis.

Exemplum operandi cum iuribus specialibus

In hoc exemplo, specialibus permissionibus uteris, quo facilius membra sodalium coetus ad participes imaginis in directorio coetus communium recipias. Partem ID parti constituto sodalitati ID tum visco frenum assignas, et vides semel positas, lineamenta additae sunt ut facilius membra coetus operantur.

1. Aperi terminum ubi tu es linda usor. User creare potes cum imperio LindaAdd password passwd Linda.
2. Creare directorium indicium in radice et venditio subdirectoriae cum imperio mkdir -p /data/sales. Complete cd /data/salesut ad venditionesque presul. Complete tactus linda1 и tactus linda2linda inanis files duos creare amet.
3. Curre su-lisa currentem usorem mutandi ad lisam usoris, qui etiam membrum coetus venditionis est.
4. Curre cd /data/sales et ex directorio exequie u l. Duo fasciculi videbis quae ab usore Linda creata sunt et ad coetus lindae pertinent. Complete rm -f- linda *. Hoc utrumque files tollet.
5. Curre tactus lisa1 и tactus lisa2creare duos fasciculos qui possidentur lisa usoris.
6. Curre su- privilegiis vestris ad ele- vandum .
7. Curre chmod g+s, o+t /data/salesut coetus identifier (GUID) frenum ac tenacem frenum in directorio communitatis constituat.
8. Curre su-linda. tum do tactus linda3 и tactus linda4. Nunc videre debes duas tabellas quas creasti possideri ab coetus venditionis, quod est dominus globi indicis /data/venditio.
9. Curre rm -rf Lisa *. Tenax frenum impedit ne deleantur pro usore linda, cum dominus harum imaginum non es. Nota quod si linda user dominus directorii /data/venalium est, possunt has tabulas usquam delere!

ACL procuratio (setfacl, getfacl) in Linux .

Licet licentias supra delatas delatae utiles functiones ad modum Linux facultates permittentes addant, non plus quam unum usorem vel coetus in eodem fasciculo licentiam concedere non permittit.

Accessus potestates tabulae hoc pluma offerunt. Insuper administratoribus permittunt facultates defectus in complexu ponere, ubi statutae licentiae variari possunt ex directorio ad presul.

intellectus ACLs

Etsi subsystem ACL subsystem officiationi vestrae magnam addit, unum incommodum habet: non omnes utilitates sustinent. Propterea, ACL occasus tuos amittere licet, cum te imitari vel movere files, et software tergum tuum ACL occasus potest deficere.

Tarus utilitas non sustinet ACLs. Fac ACL occasus non pereunt cum tergum creas, utere stella, pro bitumine. stella, cum isdem bene ac tar; sicut ACL occasus subsidium addit.

ACLs cum redire potes etiam getfaclque restitui possunt per setfacl mandatum. Ad creare tergum, utere getfacl -R /directory > file.acls. Ut occasus tergum lima ex restituet, usus setfacl --restituo=file.acl.

Defectus subsidii a quibusdam instrumentis quaestio esse non debet. ACLs saepe ad directoriis ut mensura structurae potius quam ad singulas tabulas applicantur.
Ergo non multi, sed pauci, in locis tabellae callosis applicata. Ergo, restituens originale ACLs quam operatus es cum facili est, etiam si software tergum tuum eas non adiuvat.

AcLs tabellae parandi ratio

Priusquam cum ACLs operari incipias, ratio documenti documenti parandi ACLs sustinendi debes. Quia metadata lima ratio ampliari debet, non semper subsidium default pro ACLs in ratio tabellariorum est. Si "operatio non sustinetur" nuntium accipis cum ACLs pro ratio lima, ratio documenti tui ACLs non sustinet.

Hoc figere debes addere optionem acl montem in /etc/fstab ut schedula annectitur cum ACL auxilio defalta.

Change and viewing ACL settings with setfacl and getfacl

Ut in ACL vos postulo mandatum setfacl. ACL current videre occasus, vos postulo getfacl. Team u l nullum existens ACLs; tantum + ostendit post indicem permissionis, quae indicat ACLs tabellam quoque applicare.

Ante ACLs constituere, semper utilem monstrare currenti ACL occasus cum getfacl. In exemplo infra, permissiones hodiernas videre potes, ut cum ostensum est u lac etiam ut ostensum est getfacl. Si satis diligenter inspicias, eadem prorsus indicata videbis.

[root@server1 /]# ls -ld /dir
drwxr-xr-x. 2 root root 6 Feb 6 11:28 /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

Ex quo mandatum getfacl infra videre potes licentias ostensas esse pro tribus diversis obiectis: usuario, coetu et aliis. Nunc addamus ACL ad legendum et faciendas permissiones etiam coetus venditionis. hoc mandatum setfacl -mg:sales:rx /dir. Hic dolor -m indicat hodiernam ACL occasus mutari necesse esse. deinde g:Sales: rx ACL jubente legere, faciat ut narrat (rx) For the group (g) Venditio. Infra videre potes quid mandatum simile est, tum mandatum output de getfacl mutato currenti ACL occasus.

[root@server1 /]# setfacl -m g:sales:rx /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
group:sales:r-x
mask::r-x
other::r-x

Nunc ut intelligas quomodo globo ACL constituere, facile est intelligere ACLs pro usoribus et aliis usoribus. Exempli gratia, mandatum setfacl -mu:linda:rwx /data dat licentias linda usoris in /repertorio data sine possessore faciendo vel mutando assignationem possessoris currentis.

bigas setfacl multas lineas et optiones habet. Una optio maximi momenti est, modulus -R. Si adhibita, optio facit ACL positas pro omnibus fasciculis et subdirectorias quae nunc sunt in indicem ubi ACL statuis. Commendatur ut hac optione semper utaris cum ACLs mutando pro directoriis existentibus.

Default ACLs opus est

Una beneficiorum ACLs utendi est quod permissiones dare potes pluribus usoribus vel coetibus in directorio. Aliud beneficium est ut hereditatem possis efficere per defaltam acLs operando.

Defectum ACL ponendo, licentias quae pro omnibus novis elementis in indicem creatarum ponentur, decernis. Scias defaltam ACL permissiones non mutare in files exsistentibus et subdirectorias. Mutare, debes etiam ACL normalem addere!

Hoc scire interest. Si vis uti ACL ad plures usores vel coetus configurare ad idem presul accedere, bis ACL constitues. Primum usus setfacl -R -mmutandi ACL pro current files. tum uti setfacl-md;curare omnia nova elementa quae etiam creabuntur.

ACL default ut vos iustus postulo ut addere per optionem d post optionem -m (Ordo rerum!). Ita utere setfacl -md:g:sales:rx /datasi vis coetus venditionesque legere et facere quidquid usquam in directorio /notitiae creatum est.

Cum default ACLs utens, utilis quoque esse potest pro aliis ACLs ponendi. Hoc plerumque non multum sensum efficit, quia etiam mutare potes permissiones aliorum utendi chmod. Sed quod facere non potes? chmodest specificare iura quae aliis usoribus concedenda sunt pro singulis novis fasciculis, quae semper creantur. Si vis prohibere alios licentias in re / data exempli gratia usus setfacl -md:o::- /data.

ACLs et permissiones normales non semper bene integrantur. Problemata oriri possunt si defaltam ACL ad directorium applicaveris, tunc additae sunt ad illam directorium, ac deinde permissiones normales mutare conantur. Mutationes quae ad permissiones normales applicandas in ACL perspectivo non bene reflectuntur. Ad problemata vitanda, licentias normales pone primum, deinde defaltam ACLs pone (et postea eas iterum mutare non coneris).

Exemplum de iure elevato ACLs utens Management

In hoc exemplo, tute perges directoriis /data/rationis et /data/ventionibus quas antea creasti. In praecedentibus exemplis confirmasti quod coetus venditionum permissiones /data/venditio et coetus rationis habet permissiones in /datis/actionibus.

Primum, fac coetus rationis permissiones in directorio venditio et / indicem venditionum et coetus venditionum legere permissiones in directorio /datis/rationis accipit.

Tunc default ACLs pones ut omnes novas tabulas fac ut venias rectas pro omnibus novis elementis habeas.

1. Aperire terminum.
2. Curre setfacl -mg:ob: rx / data/sales и setfacl -mg:sales:rx /data/account.
3. Curre getfacllicentias quas volebas fac fac.
4. Curre setfacl -md:g:account:rwx,g:sales:rx /data/salesut default ACL ad venditionesque presul.
5. Addere default ACL ad / data / ratio Directory utens setfacl -md:g:sales:rwx,g:ratione:rx /data/ration.
6. Comproba ACL occasus in effectu esse addito novo fasciculo ad /data/sales. Complete tactus / data/sales/newfile et faciatis getfacl/data/sales/newfile ut reprehendo vena permissiones.

Profecta default permissiones cum umask

Superius didicisti defaltam ACLs laborare. Si ACL non uteris, optio testa est quae decernit permissiones default quas accipies: umask (Reverse persona). In hac sectione, disces quomodo permissiones default mutare cum umask.

Animadvertere licet quod cum novam fasciculum creas, aliquas permissiones defaltas pones. Hae facultates ab occasu determinantur umask. Haec testa occasus omnibus usoribus ad logon applicatur. In parametri umask valor numericus adhibetur, qui maximis permissionibus subtrahitur quae tabella automatice positae sunt; Maxima tabulariorum occasus est 666 et pro directoriis est 777 .

Sed circa hanc regulam sunt aliquae exceptiones applicabiles. Invenire potes completam contemplationem occasus umask infra in mensa.

De numero in umasksicut patet in argumentis numerorum ad imperium chmodprimum digitum ad permissiones utentis refert, digitus secundus ad permissiones sodalitatis refertur, et postremus ad permissiones defaltas aliis destinatas refert. Meaning umask default 022 dat 644 pro omnibus novis documentis et 755 pro omnibus directoriis novis in servo tuo creatis.

Complete overview omnium valorum numerorum umask eorumque proventus in tabula infra.

Facilis via est perspiciendi quomodo opera umask occasus haec est: incipe cum licentias tabellae defectibus 666 pone et umask detrahe ut permissiones efficaces obtineant. Idem fac pro directorio et licentias ejus defalta 777 .

Dupliciter mutandi umask occasum: pro omnibus utentibus et singulis utentibus. Si vis umask pro omnibus usoribus constituere, debes curare ut umask occasus ratio habeatur cum schedularum testarum ambitus incipiendo, de quibus in /etc/profile. Rectus accessus est scriptorium umask.sh in /etc/profile.d in indice /etc/profile.s creare concha creare et umask exprimere vis in scriptura illa concha uti. Si umask in hoc documento mutatur, omnibus usoribus applicatur postquam colligationem in servo.

Vel potest ponere umask per /etc/profile et paginas cognatas, ubi applicatur omnibus usoribus logging in, est mutare umask occasus in tabella vocata .profile quod in cuiusque usoris domi presul creatum est.

Loca in hoc documento applicata solum ad unumquemque usum pertinent; hinc bona ratio est, si planius eges. Ego personaliter placet hoc pluma mutare default umask pro utentis radicis 027 dum usores normales currunt cum defectu umask 022.

Opus extensum user attributa

Haec est sectio finalis de permissionibus Linux.

Cum permissionibus operando, semper relatio est inter obiectum usoris vel coetus et facultates quae obiecti usoris vel coetus in documento vel indicem habent. Vel methodus imaginum conservandi in Linux server cum attributis laborare est.
Propria suum officium faciunt cuiuscumque utentis tabella accessu.

Ut cum ACLs, attributa fasciculi optionem includere possunt mount.

Hoc est optio user_xattr. Si "operatio non sustinetur" nuntium accipias cum operariis cum attributis usoris extensis, scito modulum apponere mount in /etc/fstab.

Multa attributa documenta sunt. Quaedam attributa sunt in promptu, sed tamen non implentur. Non uteris illis; non te aliquid afferent.

Infra sunt utilia attributa quae potes adhibere;

A Hoc attributum efficit ut tempus accessum tabellae non mutet.
De more, quoties fasciculus aperitur, tempus accessus tabellae in metadata tabella notari debet. Hoc negative impactum est ad effectum; ita pro lima, quae regulariter accessed, attributum A haec factura disable adhiberi potest.

a Hoc attributum permittit tibi addere, sed limam non auferre.

c Si systema fasciculi uteris quae compressionem voluminis graduum sustinet, haec passio efficit ut tabella primum compressionis mechanismi possit comprimere.

D Hoc attributum efficit ut mutationes tabellariorum scribuntur statim potius quam primum conditivo. Hoc attributum utile est in magnis fasciculis datorum ut caveant ne deperditas inter cella schedulae et coegi ferreus.

d Hoc attributum efficit ut tabella in tergum servabitur ubi utilitas TUBER adhibetur.

I Hoc attributum dat index indicem in quo possit. Hoc celerius lima accessum praebet ad filesystematum primitivum sicut Ext3 quod datorum B lignorum ad accessum festinanter non utuntur.

i Hoc proprium tabella immutabilem facit. Ideo nullae mutationes tabellae fieri possunt, quae utiles sunt pro lima, quae praesidio addito indigent.

j Hoc attributum efficit ut, ext3 lima in systemate, tabella primum ephemeride scripta sit, deinde ad notitias in orbem rigidum.

s Rescribe cuneos in quibus tabella servata est ad 0s deleta tabella. Hoc efficit ut tabella semel deleta restitui non possit.

u Hoc attributum addit informationem de deletione. Hoc tibi permittit ut utilitatem elaborem quae cum hac notitia operatur ut lima deleta eruas.

Si attributa vis adhibere, imperio uti potes garrire. Exempli gratia chattr + s somefilesomefile attributa adhibere. Oportet removere attributum? tum uti chattr -s somefileet tolletur. Ad recognitionem omnium attributorum quae nunc applicantur, utere imperio lsattr.

summary

In hoc articulo, permissionibus didicisti operari. Leges de tribus permissionibus fundamentalibus, permissionibus provectis, et quomodo ACLs in systemate lima adhibere. Etiam didicisti optione umask uti ad permissiones default applicandas. In fine huius articuli, didicisti uti attributis extensis utentis, ut additionis tabulae systematis securitatis apponatur.

Si hanc translationem placebat, tunc scribes de ea in comment. Plures causae erunt ad translationes utiles faciendae.

Correxerunt nonnullos typos et errores grammaticales in articulo. Aliquot paragraphos plenas reducuntur in minores meliores readability.

Loco " Solus aliquis cum iuribus administrativis in directorium applicare potest licentiam exsecutioni mandandam." certum est "Solus aliquis cum licentias scribere in indicem scribere potest licentiam exsecutioni mandare.", quod rectius esset.

Gratias pro commentaria berez.

Repositum:
Si dominus utentis non es, testa reprehendo videre si coetus membrum es, etiam notus ut fasciculi coetus.

In:
Si tabellae dominus non es, testa reprehendo videre si membrum coetus es qui in tabella licentias habet. Si membrum huius sodalitatis es, tabellam accesseris cum permissionibus quas coetus posuit, et testa inhibere desinet.

Tibi gratias ago pro comment CryptoPirate

Source: www.habr.com