Sveiki visiem. Å is ir raksta tulkojums no grÄmatas RedHat RHCSA RHCE 7 RedHat Enterprise Linux 7 EX200 un EX300.
Spiediet: Ceru, ka raksts bÅ«s noderÄ«gs ne tikai iesÄcÄjiem, bet arÄ« palÄ«dzÄs pieredzÄjuÅ”Äkiem administratoriem pilnveidot savas zinÄÅ”anas.
TÄtad, ejam.
Lai piekļūtu failiem operÄtÄjsistÄmÄ Linux, tiek izmantotas atļaujas. Å Ä«s atļaujas ir pieŔķirtas trim objektiem: faila Ä«paÅ”niekam, grupas Ä«paÅ”niekam un citam objektam (tas ir, visiem pÄrÄjiem). Å ajÄ rakstÄ jÅ«s uzzinÄsit, kÄ piemÄrot atļaujas.
Å is raksts sÄkas ar pamatjÄdzienu pÄrskatu, kam seko diskusija par Ä«paÅ”Äm atļaujÄm un piekļuves kontroles sarakstiem (ACL). Å Ä« raksta beigÄs mÄs aplÅ«kojam noklusÄjuma atļauju iestatÄ«Å”anu, izmantojot umask, kÄ arÄ« paplaÅ”inÄto lietotÄja atribÅ«tu pÄrvaldÄ«bu.
Failu Ä«paÅ”umtiesÄ«bu pÄrvaldÄ«ba
Pirms apspriest atļaujas, jums jÄapzinÄs failu un direktoriju Ä«paÅ”nieka loma. Failu un direktoriju Ä«paÅ”umtiesÄ«bas ir ļoti svarÄ«gas, lai apstrÄdÄtu atļaujas. Å ajÄ sadaÄ¼Ä jÅ«s vispirms uzzinÄsit, kÄ jÅ«s varat redzÄt Ä«paÅ”nieku. PÄc tam jÅ«s uzzinÄsit, kÄ mainÄ«t grupas Ä«paÅ”nieku un lietotÄju failiem un direktorijiem.
Tiek parÄdÄ«ts faila vai direktorija Ä«paÅ”nieks
OperÄtÄjsistÄmÄ Linux katram failam un direktorijam ir divi Ä«paÅ”nieki: lietotÄjs un grupas Ä«paÅ”nieks.
Å ie Ä«paÅ”nieki tiek iestatÄ«ti, izveidojot failu vai direktoriju. LietotÄjs, kurÅ” izveido failu, kļūst par Ŕī faila Ä«paÅ”nieku, un primÄrÄ grupa, kurai pieder tas pats lietotÄjs, arÄ« kļūst par Ŕī faila Ä«paÅ”nieku. Lai noteiktu, vai jums kÄ lietotÄjam ir atļauja piekļūt failam vai direktorijam, apvalks pÄrbauda Ä«paÅ”umtiesÄ«bas.
Tas notiek Å”ÄdÄ secÄ«bÄ:
Apvalks pÄrbauda, āāvai esat faila, kuram vÄlaties piekļūt, Ä«paÅ”nieks. Ja esat Ä«paÅ”nieks, jÅ«s saÅemat atļaujas un apvalks pÄrstÄj pÄrbaudÄ«t.
Ja neesat faila Ä«paÅ”nieks, apvalks pÄrbaudÄ«s, vai esat grupas dalÄ«bnieks, kam ir atļaujas failam. Ja esat Ŕīs grupas dalÄ«bnieks, failam piekļūsit ar grupas iestatÄ«tajÄm atļaujÄm, un apvalks pÄrtrauks pÄrbaudi.
Ja neesat ne grupas lietotÄjs, ne Ä«paÅ”nieks, jums tiek pieŔķirtas citu lietotÄju tiesÄ«bas (Other).
Lai skatÄ«tu paÅ”reizÄjos Ä«paÅ”nieka uzdevumus, varat izmantot komandu ls-l. Å Ä« komanda parÄda grupas lietotÄju un Ä«paÅ”nieku. TÄlÄk ir redzami direktoriju Ä«paÅ”nieka iestatÄ«jumi direktorijÄ /home.
[root@server1 home]# ls -l
total 8
drwx------. 3 bob bob 74 Feb 6 10:13 bob
drwx------. 3 caroline caroline 74 Feb 6 10:13 caroline
drwx------. 3 fozia fozia 74 Feb 6 10:13 fozia
drwx------. 3 lara lara 74 Feb 6 10:13 lara
drwx------. 5 lisa lisa 4096 Feb 6 10:12 lisa
drwx------. 14 user user 4096 Feb 5 10:35 user
Ar komandu ls jÅ«s varat parÄdÄ«t failu Ä«paÅ”nieku noteiktÄ direktorijÄ. Dažreiz var bÅ«t noderÄ«gi iegÅ«t sarakstu ar visiem sistÄmÄ esoÅ”ajiem failiem, kuru Ä«paÅ”nieks ir noteikts lietotÄjs vai grupa. Å im nolÅ«kam jÅ«s varat izmantot atrast. Arguments atrast lietotÄju var izmantot Å”im nolÅ«kam. PiemÄram, Å”ajÄ komandÄ ir uzskaitÄ«ti visi faili, kas pieder lietotÄjam linda:
find / -user linda
Varat arÄ« izmantot atrast lai meklÄtu failus, kuru Ä«paÅ”nieks ir noteikta grupa.
PiemÄram, Ŕī komanda meklÄ visus grupai piederoÅ”os failus LietotÄji:
find / -group users
ÄŖpaÅ”nieka maiÅa
Lai piemÄrotu atbilstoÅ”Äs atļaujas, pirmÄ lieta, kas jÄÅem vÄrÄ, ir Ä«paÅ”umtiesÄ«bas. Tam ir komanda chown. Å Ä«s komandas sintakse ir viegli saprotama:
chown ŠŗŃŠ¾ ŃŃŠ¾
PiemÄram, Ŕī komanda maina direktorijas /home/account Ä«paÅ”nieku uz lietotÄju linda:
chown linda /home/account
Komanda chown ir vairÄkas iespÄjas, no kurÄm viena ir Ä«paÅ”i noderÄ«ga: -R. Varat uzminÄt, ko tas dara, jo Ŕī opcija ir pieejama arÄ« daudzÄm citÄm komandÄm. Tas ļauj rekursÄ«vi iestatÄ«t Ä«paÅ”nieku, kas ļauj iestatÄ«t paÅ”reizÄjÄ direktorija Ä«paÅ”nieku un visu tÄlÄk norÄdÄ«to. Å Ä« komanda maina Ä«paÅ”umtiesÄ«bas uz /home direktoriju un visu zem tÄ uz Linda lietotÄju:
Tagad Ä«paÅ”nieki izskatÄs Å”Ädi:
[root@localhost ~]# ls -l /home
total 0
drwx------. 2 account account 62 Sep 25 21:41 account
drwx------. 2 lisa lisa 62 Sep 25 21:42 lisa
Daram:
[root@localhost ~]# chown -R lisa /home/account
[root@localhost ~]#
Tagad lietotÄjs Lisa ir kļuvis par konta direktorija Ä«paÅ”nieku:
[root@localhost ~]# ls -l /home
total 0
drwx------. 2 lisa account 62 Sep 25 21:41 account
drwx------. 2 lisa lisa 62 Sep 25 21:42 lisa
Mainiet grupas īpaŔnieku
Ir divi veidi, kÄ mainÄ«t grupas Ä«paÅ”umtiesÄ«bas. To var izdarÄ«t, izmantojot chown, bet ir Ä«paÅ”a komanda ar nosaukumu chgrpkas dara darbu. Ja vÄlaties izmantot komandu chown, izmantojiet . vai : grupas nosaukuma priekÅ”Ä.
Šī komanda maina jebkuru /home/account grupas īpaŔnieku uz kontu grupu:
chown .account /home/account
tu vari izmantot chown lai vairÄkos veidos mainÄ«tu lietotÄja un/vai grupas Ä«paÅ”nieku. Å eit ir daži piemÄri:
chown lisa mans fails1 iestata lietotÄju lisa kÄ faila myfile1 Ä«paÅ”nieku.
chown lisa.sales myfile iestata lietotÄju lisa kÄ faila myfile Ä«paÅ”nieku, kÄ arÄ« iestata pÄrdoÅ”anas grupu kÄ tÄ paÅ”a faila Ä«paÅ”nieku.
chown lisa:sales myfile tÄda pati kÄ iepriekÅ”ÄjÄ komanda.
chown :sales myfile tÄda pati kÄ iepriekÅ”ÄjÄ komanda.
JÅ«s varat izmantot komandu chgrplai mainÄ«tu grupas Ä«paÅ”nieku. Apsveriet Å”Ädu piemÄru, kur varat izmantot chgrp iestatiet konta direktorijas Ä«paÅ”nieku pÄrdoÅ”anas grupai:
chgrp .sales /home/account
KÄ ar chown, varat izmantot opciju -R Ń chgrp, kÄ arÄ« rekursÄ«vi mainÄ«t grupas Ä«paÅ”nieku.
Izpratne par noklusÄjuma Ä«paÅ”nieku
IespÄjams, esat pamanÄ«jis, ka lietotÄjam izveidojot failu, tiek piemÄrotas noklusÄjuma Ä«paÅ”umtiesÄ«bas.
LietotÄjs, kurÅ” izveido failu, automÄtiski kļūst par Ŕī faila Ä«paÅ”nieku, un Ŕī lietotÄja primÄrÄ grupa automÄtiski kļūst par Ŕī faila Ä«paÅ”nieku. Parasti Ŕī ir grupa, kas ir norÄdÄ«ta failÄ /etc/passwd kÄ lietotÄja primÄrÄ grupa. TomÄr, ja lietotÄjs ir vairÄk nekÄ vienas grupas dalÄ«bnieks, lietotÄjs var mainÄ«t spÄkÄ esoÅ”o primÄro grupu.
Lai parÄdÄ«tu paÅ”reizÄjo efektÄ«vo primÄro grupu, lietotÄjs var izmantot komandu grupas:
[root@server1 ~]# groups lisa
lisa : lisa account sales
Ja paÅ”reizÄjais linda lietotÄjs vÄlas mainÄ«t efektÄ«vo primÄro grupu, viÅÅ” izmantos komandu jaungrpkam seko tÄs grupas nosaukums, kuru viÅÅ” vÄlas iestatÄ«t kÄ jauno efektÄ«vo primÄro grupu. PÄc komandas izmantoÅ”anas jaungrp primÄrÄ grupa bÅ«s aktÄ«va, lÄ«dz lietotÄjs ievadÄ«s komandu izeja vai neizrakstÄ«ties.
TÄlÄk ir parÄdÄ«ts, kÄ lietotÄjs linda izmanto Å”o komandu, un primÄrÄ grupa ir pÄrdoÅ”ana:
lisa@server1 ~]$ groups
lisa account sales
[lisa@server1 ~]$ newgrp sales
[lisa@server1 ~]$ groups
sales lisa account
[lisa@server1 ~]$ touch file1
[lisa@server1 ~]$ ls -l
total 0
-rw-r--r--. 1 lisa sales 0 Feb 6 10:06 file1
PÄc spÄkÄ esoÅ”Äs primÄrÄs grupas maiÅas visiem jaunajiem lietotÄja izveidotajiem failiem Ŕī grupa bÅ«s grupas Ä«paÅ”nieks. Lai atgrieztos pie sÄkotnÄjÄs primÄrÄs grupas iestatÄ«juma, izmantojiet izeja.
Lai varÄtu izmantot komandu jaungrp, lietotÄjam ir jÄbÅ«t tÄs grupas dalÄ«bniekam, kuru viÅÅ” vÄlas izmantot kÄ primÄro grupu. TurklÄt, izmantojot komandu, grupai var izmantot grupas paroli gpasswd. Ja lietotÄjs izmanto komandu jaungrpbet nav mÄrÄ·a grupas dalÄ«bnieks, apvalks pieprasa grupas paroli. PÄc pareizÄs grupas paroles ievadÄ«Å”anas tiks izveidota jauna efektÄ«va primÄrÄ grupa.
PamattiesÄ«bu pÄrvaldÄ«ba
Linux atļauju sistÄma tika izgudrota 1970. gados. TÄ kÄ tajos gados skaitļoÅ”anas vajadzÄ«bas bija ierobežotas, pamata atļauju sistÄma bija diezgan ierobežota. Å Ä« atļauju sistÄma izmanto trÄ«s atļaujas, kuras var attiecinÄt uz failiem un direktorijiem. Å ajÄ sadaÄ¼Ä jÅ«s uzzinÄsit, kÄ izmantot un mainÄ«t Ŕīs atļaujas.
Izpratne par lasÄ«Å”anas, rakstÄ«Å”anas un izpildes atļaujÄm
TrÄ«s pamata atļaujas ļauj lasÄ«t, rakstÄ«t un izpildÄ«t failus. Å o atļauju ietekme atŔķiras, ja tÄs tiek lietotas failiem vai direktorijiem. Failam lasÄ«Å”anas atļauja dod tiesÄ«bas atvÄrt failu lasÄ«Å”anai. TÄpÄc jÅ«s varat lasÄ«t tÄ saturu, taÄu tas nozÄ«mÄ, ka jÅ«su dators var atvÄrt failu, lai ar to kaut ko darÄ«tu.
Programmas failam, kuram nepiecieÅ”ama piekļuve bibliotÄkai, ir jÄbÅ«t, piemÄram, lasÄ«Å”anas piekļuvei Å”ai bibliotÄkai. No tÄ izriet, ka lasÄ«Å”anas atļauja ir visvienkÄrÅ”ÄkÄ atļauja, kas nepiecieÅ”ama darbam ar failiem.
Lietojot direktorijÄ, lasÄ«Å”ana ļauj parÄdÄ«t Ŕī direktorija saturu. Å emiet vÄrÄ, ka Ŕī atļauja neļauj lasÄ«t direktorijÄ esoÅ”os failus. Linux atļauju sistÄma nezina mantojumu, un vienÄ«gais veids, kÄ lasÄ«t failu, ir izmantot Ŕī faila lasÄ«Å”anas atļaujas.
KÄ jÅ«s droÅ”i vien nojauÅ”at, rakstÄ«Å”anas atļauja, ja tÄ tiek piemÄrota failam, ļauj rakstÄ«t failÄ. Citiem vÄrdiem sakot, tas ļauj mainÄ«t esoÅ”o failu saturu. TomÄr tas neļauj izveidot vai dzÄst jaunus failus vai mainÄ«t failu atļaujas. Lai to izdarÄ«tu, jums ir jÄpieŔķir rakstÄ«Å”anas atļauja direktorijam, kurÄ vÄlaties izveidot failu. Katalogos Ŕī atļauja ļauj arÄ« izveidot un dzÄst jaunus apakÅ”direktorijus.
Izpildes atļauja ir tÄ, kas jums nepiecieÅ”ama faila izpildei. Tas nekad netiks instalÄts pÄc noklusÄjuma, kas padara Linux gandrÄ«z pilnÄ«bÄ imÅ«nu pret vÄ«rusiem. Tikai persona, kurai ir rakstÄ«Å”anas atļaujas direktorijÄ, var izmantot izpildes atļauju.
TÄlÄk ir sniegts kopsavilkums par pamata atļauju izmantoÅ”anu.
Izmantojot chmod
Komanda tiek izmantota, lai pÄrvaldÄ«tu atļaujas. chmod... Izmantojot chmod varat iestatÄ«t atļaujas lietotÄjam (lietotÄjam), grupÄm (grupai) un citiem (citiem). Å o komandu var izmantot divos režīmos: relatÄ«vajÄ režīmÄ un absolÅ«tajÄ režīmÄ. AbsolÅ«tajÄ režīmÄ pamata atļauju iestatÄ«Å”anai tiek izmantoti trÄ«s cipari.
Iestatot atļaujas, aprÄÄ·iniet nepiecieÅ”amo vÄrtÄ«bu. Ja vÄlaties iestatÄ«t lasÄ«t/rakstÄ«t/izpildÄ«t lietotÄjam, lasÄ«t/izpildÄ«t grupai un lasÄ«t/izpildÄ«t citiem failÄ /somefile, tad izmantojiet Å”o komandu chmod:
chmod 755 /somefile
Kad lietojat chmod Å”ÄdÄ veidÄ visas paÅ”reizÄjÄs atļaujas tiek aizstÄtas ar jÅ«su iestatÄ«tajÄm atļaujÄm.
Ja vÄlaties mainÄ«t atļaujas attiecÄ«bÄ pret paÅ”reizÄjÄm atļaujÄm, varat izmantot chmod relatÄ«vÄ režīmÄ. Izmantojot chmod relatÄ«vajÄ režīmÄ jÅ«s strÄdÄjat ar trim indikatoriem, lai norÄdÄ«tu, ko vÄlaties darÄ«t:
Vispirms norÄdiet, kam vÄlaties mainÄ«t atļaujas. Lai to izdarÄ«tu, varat izvÄlÄties starp lietotÄja (u), grupa (g) un citi (o).
PÄc tam izmantojiet paziÅojumu, lai pievienotu vai noÅemtu atļaujas no paÅ”reizÄjÄ režīma vai iestatÄ«tu tÄs pilnÄ«bÄ.
BeigÄs jÅ«s izmantojat r, w Šø xlai norÄdÄ«tu, kuras atļaujas vÄlaties iestatÄ«t.
Mainot atļaujas relatÄ«vajÄ režīmÄ, varat izlaist daļu "uz", lai pievienotu vai noÅemtu atļauju visiem objektiem. PiemÄram, Ŕī komanda pievieno izpildes atļauju visiem lietotÄjiem:
chmod +x somefile
StrÄdÄjot relatÄ«vajÄ režīmÄ, varat izmantot arÄ« sarežģītÄkas komandas. PiemÄram, Ŕī komanda pievieno rakstÄ«Å”anas atļauju grupai un noÅem lasÄ«Å”anas atļauju citiem:
chmod g+w,o-r somefile
Lietojot chmod -R o+rx /dati jÅ«s iestatÄt izpildes atļauju visiem direktorijiem, kÄ arÄ« failiem direktorijÄ /data. Lai iestatÄ«tu izpildes atļauju tikai direktorijiem, nevis failiem, izmantojiet chmod -R o+ rX /dati.
Lielais burts X nodroÅ”ina, ka faili nesaÅem izpildes atļauju, ja vien fails jau nav iestatÄ«jis izpildes atļauju dažiem objektiem. Tas padara X par gudrÄku veidu, kÄ rÄ«koties ar izpildes atļaujÄm; tas ļaus izvairÄ«ties no Ŕīs atļaujas iestatÄ«Å”anas failiem, kur tÄ nav nepiecieÅ”ama.
PaplaÅ”inÄtas tiesÄ«bas
Papildus pamata atļaujÄm, par kurÄm tikko lasÄ«jÄt, Linux ir arÄ« papildu atļauju kopa. Å Ä«s nav atļaujas, kuras iestatÄt pÄc noklusÄjuma, taÄu dažreiz tÄs nodroÅ”ina noderÄ«gu papildinÄjumu. Å ajÄ sadaÄ¼Ä jÅ«s uzzinÄsit, kas tie ir un kÄ tos iestatÄ«t.
Izpratne par SUID, GUID un Sticky Bit paplaÅ”inÄtajÄm atļaujÄm
Ir trÄ«s papildu atļaujas. PirmÄ no tÄm ir atļauja iestatÄ«t lietotÄja identifikatoru (SUID). Dažos Ä«paÅ”os gadÄ«jumos Å”o atļauju varat lietot izpildÄmajiem failiem. PÄc noklusÄjuma lietotÄjs, kurÅ” palaiž izpildÄmo failu, palaiž Å”o failu ar savÄm atļaujÄm.
Parastajiem lietotÄjiem tas parasti nozÄ«mÄ, ka programmas izmantoÅ”ana ir ierobežota. TomÄr dažos gadÄ«jumos lietotÄjam ir nepiecieÅ”amas Ä«paÅ”as atļaujas tikai konkrÄta uzdevuma veikÅ”anai.
Apsveriet, piemÄram, situÄciju, kad lietotÄjam ir jÄmaina parole. Lai to izdarÄ«tu, lietotÄjam ir jÄieraksta sava jaunÄ parole failÄ /etc/shadow. TomÄr Å”o failu nevar rakstÄ«t lietotÄji, kas nav root lietotÄji:
SUID atļauja piedÄvÄ Å”Ä«s problÄmas risinÄjumu. UtilÄ«ta /usr/bin/passwd pÄc noklusÄjuma izmanto Å”o atļauju. Tas nozÄ«mÄ, ka, mainot paroli, lietotÄjs uz laiku kļūst par root, kas ļauj rakstÄ«t failÄ /etc/shadow. JÅ«s varat redzÄt SUID atļauju ar ls-l kÄ s tÄdÄ pozÄ«cijÄ, ko jÅ«s parasti varÄtu redzÄt x pielÄgotÄm atļaujÄm:
[root@hnl ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 32680 Jan 28 2010 /usr/bin/passwd
SUID atļauja var izskatÄ«ties noderÄ«ga (un dažos gadÄ«jumos tÄ ir), taÄu tajÄ paÅ”Ä laikÄ tÄ ir potenciÄli bÄ«stama. Ja tas netiek lietots pareizi, varat nejauÅ”i pieŔķirt root atļaujas. TÄpÄc iesaku to lietot tikai ar vislielÄko piesardzÄ«bu.
LielÄkajai daļai administratoru tas nekad nebÅ«s jÄizmanto; jÅ«s to redzÄsit tikai dažos failos, kur operÄtÄjsistÄmai tas ir jÄiestata pÄc noklusÄjuma.
OtrÄ Ä«paÅ”Ä atļauja ir grupas identifikators (SGID). Å ai atļaujai ir divi efekti. Lietojot izpildÄmam failam, tas lietotÄjam, kurÅ” izpilda failu, pieŔķir faila grupas Ä«paÅ”nieka atļaujas. TÄtad SGID var darÄ«t vairÄk vai mazÄk to paÅ”u, ko SUID. TomÄr SGID Å”im nolÅ«kam praktiski neizmanto.
TÄpat kÄ ar SUID atļauju, SGID tiek lietots dažiem sistÄmas failiem kÄ noklusÄjuma iestatÄ«jums.
Lietojot direktorijÄ, SGID var bÅ«t noderÄ«gs, jo varat to izmantot, lai iestatÄ«tu noklusÄjuma grupas Ä«paÅ”nieku failiem un apakÅ”direktorijiem, kas izveidoti Å”ajÄ direktorijÄ. PÄc noklusÄjuma, kad lietotÄjs izveido failu, tÄ faktiskÄ primÄrÄ grupa tiek iestatÄ«ta kÄ Å”Ä« faila grupas Ä«paÅ”nieks.
Tas ne vienmÄr ir ļoti noderÄ«gi, jo Ä«paÅ”i tÄpÄc, ka Red Hat/CentOS lietotÄjiem primÄrÄ grupa ir iestatÄ«ta uz grupu ar tÄdu paÅ”u nosaukumu kÄ lietotÄjam un kurÄ lietotÄjs ir vienÄ«gais dalÄ«bnieks. TÄdÄjÄdi pÄc noklusÄjuma lietotÄja izveidotie faili tiks kopÄ«goti lielapjomÄ.
IedomÄjieties situÄciju, kad lietotÄji Linda un Lori strÄdÄ grÄmatvedÄ«bÄ un ir grupas dalÄ«bnieki konts. PÄc noklusÄjuma Å”ie lietotÄji ir privÄtas grupas dalÄ«bnieki, kurÄ viÅi ir vienÄ«gie dalÄ«bnieki. TomÄr abi lietotÄji ir kontu grupas dalÄ«bnieki, bet arÄ« kÄ sekundÄrais grupas parametrs.
NoklusÄjuma situÄcija ir tÄda, ka tad, kad kÄds no Å”iem lietotÄjiem izveido failu, galvenÄ grupa kļūst par Ä«paÅ”nieku. TÄpÄc pÄc noklusÄjuma linda nevar piekļūt lori izveidotajiem failiem un otrÄdi. TomÄr, ja izveidojat koplietotu grupas direktoriju (piemÄram, /groups/account) un nodroÅ”ina, ka Å”im direktorijam tiek piemÄrota SGID atļauja un ka grupas konts ir iestatÄ«ts kÄ Å”Ä« direktorija grupas Ä«paÅ”nieks, visi Å”ajÄ direktorijÄ izveidotie faili un visi apakÅ”direktorijiem, pÄc noklusÄjuma iegÅ«stiet arÄ« grupas kontu kÄ grupas Ä«paÅ”nieku.
Å Ä« iemesla dÄļ SGID atļauja ir ļoti noderÄ«ga atļauja iestatÄ«t publiskos grupu direktorijos.
SGID atļauja parÄdÄ«ta izvadÄ ls-l kÄ s vietÄ, kur parasti atrastu atļauju izpildÄ«t grupu:
TreÅ”Ä no Ä«paÅ”ajÄm atļaujÄm ir lipÄ«gais bits. Å Ä« atļauja ir noderÄ«ga, lai aizsargÄtu failus no nejauÅ”as dzÄÅ”anas vidÄ, kurÄ vairÄkiem lietotÄjiem ir rakstÄ«Å”anas piekļuve vienam un tam paÅ”am direktorijam. Ja tiek izmantots lipÄ«gais bits, lietotÄjs var izdzÄst failu tikai tad, ja viÅÅ” ir faila vai direktorija, kurÄ atrodas fails, lietotÄja Ä«paÅ”nieks. Å Ä« iemesla dÄļ tÄ tiek izmantota kÄ noklusÄjuma atļauja /tmp direktorijam un var bÅ«t noderÄ«ga arÄ« publisko grupu direktorijiem.
Bez lipÄ«gÄ bita, ja lietotÄjs var izveidot failus direktorijÄ, viÅÅ” var arÄ« izdzÄst failus no Ŕī direktorija. PubliskÄs grupas vidÄ tas var bÅ«t kaitinoÅ”i. IedomÄjieties lietotÄjus Lindu un Lori, kuriem abiem ir rakstÄ«Å”anas atļaujas direktorijÄ /data/account un kuri iegÅ«st Ŕīs atļaujas, esot kontu grupas dalÄ«bnieki. TÄpÄc linda var izdzÄst lori izveidotos failus un otrÄdi.
Lietojot lipÄ«go bitu, lietotÄjs var izdzÄst failus tikai tad, ja ir spÄkÄ viens no Å”iem nosacÄ«jumiem:
LietotÄjs ir faila Ä«paÅ”nieks;
LietotÄjs ir direktorija, kurÄ atrodas fails, Ä«paÅ”nieks.
Lietojot ls-l, jÅ«s varat redzÄt lipÄ«go bitu kÄ t pozÄ«cijÄ, kurÄ jÅ«s parasti redzÄtu izpildes atļauju citiem:
Varat arÄ« izmantot SUID, SGID un lipÄ«go uzgali chmod. SUID skaitliskÄ vÄrtÄ«ba ir 4, SGID skaitliskÄ vÄrtÄ«ba ir 2, bet lipÄ«gajam bitam ir skaitliskÄ vÄrtÄ«ba 1.
Ja vÄlaties lietot Ŕīs atļaujas, jums jÄpievieno Äetrciparu arguments chmod, kura pirmais cipars attiecas uz Ä«paÅ”Äm atļaujÄm. PiemÄram, Å”ajÄ rindÄ tiks pievienota SGID atļauja direktorijam un iestatÄ«ta rwx lietotÄjam un rx grupai un citiem:
chmod 2755 /somedir
Tas ir diezgan nepraktiski, ja jums ir nepiecieÅ”ams redzÄt paÅ”reizÄjÄs atļaujas, kas ir iestatÄ«tas pirms darba chmod absolÅ«tÄ režīmÄ. (Ja to nedarÄ«siet, jÅ«s riskÄjat pÄrrakstÄ«t atļaujas.) TÄpÄc es iesaku palaist relatÄ«vajÄ režīmÄ, ja jums ir jÄpiemÄro kÄda no Ä«paÅ”ajÄm atļaujÄm:
SUID lietoŔanai chmod u+s.
SGID lietoŔanai chmod g+s.
LipÄ«go uzgaļu lietoÅ”anai chmod +t, kam seko faila vai direktorija nosaukums, kuram vÄlaties iestatÄ«t atļaujas.
TabulÄ ir apkopots viss, kas jums jÄzina par Ä«paÅ”o atļauju pÄrvaldÄ«bu.
PiemÄrs darbam ar Ä«paÅ”Äm tiesÄ«bÄm
Å ajÄ piemÄrÄ jÅ«s izmantojat Ä«paÅ”as atļaujas, lai grupas dalÄ«bniekiem bÅ«tu vieglÄk koplietot failus koplietotÄs grupas direktorijÄ. JÅ«s pieŔķirat ID bitu iestatÄ«tajam grupas ID, kÄ arÄ« lipÄ«gajam bitam, un redzat, ka, tiklÄ«dz tie ir iestatÄ«ti, tiek pievienotas funkcijas, lai grupas dalÄ«bniekiem bÅ«tu vieglÄk strÄdÄt kopÄ.
Atveriet terminÄli, kurÄ esat Linda lietotÄjs. JÅ«s varat izveidot lietotÄju ar komandu pievienot Lindu, pievienojiet paroli passwd Linda.
Izveidojiet /data direktoriju saknÄ un /data/sales apakÅ”direktoriju ar komandu mkdir -p /data/pÄrdoÅ”ana. Pabeigts cd /data/pÄrdoÅ”analai dotos uz pÄrdoÅ”anas direktoriju. Pabeigts pieskarties Lindai1 Šø pieskarties Lindai2lai izveidotu divus tukÅ”us failus, kas pieder Lindai.
IzpildÄ«t su-lisa lai pÄrslÄgtu paÅ”reizÄjo lietotÄju uz lietotÄju Lisa, kurÅ” arÄ« ir pÄrdoÅ”anas grupas dalÄ«bnieks.
IzpildÄ«t cd /data/pÄrdoÅ”ana un no Ŕī direktorija izpildiet ls-l. JÅ«s redzÄsiet divus failus, kurus izveidoja linda lietotÄjs un kas pieder grupai linda. Pabeigts rm -f Linda*. Tas noÅems abus failus.
IzpildÄ«t touch lisa1 Šø touch lisa2lai izveidotu divus failus, kas pieder lietotÄjam lisa.
IzpildÄ«t su- lai paaugstinÄtu savas privilÄÄ£ijas uz root.
IzpildÄ«t chmod g+s,o+t /dati/pÄrdoÅ”analai koplietotajÄ grupas direktorijÄ iestatÄ«tu grupas identifikatora (GUID) bitu, kÄ arÄ« lipÄ«go bitu.
IzpildÄ«t su-linda. Tad dari pieskarties Lindai3 Šø pieskarties Lindai4. Tagad jums vajadzÄtu redzÄt, ka divi izveidotie faili pieder pÄrdoÅ”anas grupai, kas ir direktorija /data/sales grupas Ä«paÅ”nieks.
IzpildÄ«t rm -rf lisa*. LipÄ«gais bits neļauj dzÄst Å”os failus Linda lietotÄja vÄrdÄ, jo jÅ«s neesat Å”o failu Ä«paÅ”nieks. Å emiet vÄrÄ: ja Linda lietotÄjs ir direktorijas /data/sales Ä«paÅ”nieks, viÅÅ” tik un tÄ var izdzÄst Å”os failus!
ACL pÄrvaldÄ«ba (setfacl, getfacl) operÄtÄjsistÄmÄ Linux
Lai gan iepriekÅ” apspriestÄs paplaÅ”inÄtÄs atļaujas pievieno noderÄ«gu funkcionalitÄti tam, kÄ Linux apstrÄdÄ atļaujas, tas neļauj pieŔķirt atļaujas vairÄk nekÄ vienam lietotÄjam vai grupai vienÄ failÄ.
Piekļuves kontroles saraksti piedÄvÄ Å”o funkciju. TurklÄt tie ļauj administratoriem sarežģītÄ veidÄ iestatÄ«t noklusÄjuma atļaujas, kur iestatÄ«tÄs atļaujas var atŔķirties atkarÄ«bÄ no direktorija.
ACL izpratne
Lai gan ACL apakÅ”sistÄma jÅ«su serverim pievieno lielisku funkcionalitÄti, tai ir viens trÅ«kums: ne visas utilÄ«tas to atbalsta. TÄpÄc, kopÄjot vai pÄrvietojot failus, varat zaudÄt ACL iestatÄ«jumus, un dublÄÅ”anas programmatÅ«rai var neizdoties dublÄt ACL iestatÄ«jumus.
Tar utilÄ«ta neatbalsta ACL. Lai, veidojot dublÄjumu, ACL iestatÄ«jumi netiktu zaudÄti, izmantojiet zvaigzne darvas vietÄ. zvaigzne darbojas ar tÄdÄm paÅ”Äm opcijÄm kÄ darva; tas tikai pievieno atbalstu ACL iestatÄ«jumiem.
Varat arÄ« dublÄt ACL ar getfacl, kuru var atjaunot, izmantojot komandu setfacl. Lai izveidotu dublÄjumu, izmantojiet getfacl -R /direktorijs > fails.acls. Lai atjaunotu iestatÄ«jumus no dublÄjuma faila, izmantojiet setfacl --restore=file.acl.
Dažu rÄ«ku atbalsta trÅ«kumam nevajadzÄtu bÅ«t problÄmai. ACL bieži tiek lietoti direktorijiem kÄ strukturÄls pasÄkums, nevis atseviŔķiem failiem.
TÄpÄc to nebÅ«s daudz, bet tikai daži, kas pielietoti viedÄs failu sistÄmas vietÄs. TÄpÄc sÄkotnÄjo ACL, ar kuru strÄdÄjÄt, atjaunoÅ”ana ir salÄ«dzinoÅ”i vienkÄrÅ”a, pat ja jÅ«su dublÄÅ”anas programmatÅ«ra tos neatbalsta.
Failu sistÄmas sagatavoÅ”ana ACL
Pirms sÄkat strÄdÄt ar ACL, iespÄjams, bÅ«s jÄsagatavo failu sistÄma ACL atbalstam. TÄ kÄ failu sistÄmas metadati ir jÄpaplaÅ”ina, failu sistÄmÄ ne vienmÄr ir noklusÄjuma atbalsts ACL. Ja, iestatot failu sistÄmas ACL, tiek parÄdÄ«ts ziÅojums "darbÄ«ba netiek atbalstÄ«ta", iespÄjams, jÅ«su failu sistÄma neatbalsta ACL.
Lai to labotu, jÄpievieno opcija acl stiprinÄjums mapÄ /etc/fstab, lai failu sistÄma pÄc noklusÄjuma tiktu uzstÄdÄ«ta ar ACL atbalstu.
ACL iestatÄ«jumu maiÅa un skatÄ«Å”ana, izmantojot setfacl un getfacl
Lai iestatÄ«tu ACL, jums ir nepiecieÅ”ama komanda setfacl. Lai redzÄtu paÅ”reizÄjos ACL iestatÄ«jumus, jums ir nepiecieÅ”ams getfacl. Komanda ls-l nerÄda esoÅ”us ACL; tas tikai parÄda + pÄc atļauju saraksta, kas norÄda, ka ACL attiecas arÄ« uz failu.
Pirms ACL iestatÄ«Å”anas vienmÄr ir ieteicams parÄdÄ«t paÅ”reizÄjos ACL iestatÄ«jumus ar getfacl. TÄlÄk esoÅ”ajÄ piemÄrÄ varat redzÄt paÅ”reizÄjÄs atļaujas, kÄ parÄdÄ«ts ar ls-l, un arÄ« kÄ parÄdÄ«ts ar getfacl. Ja paskatÄs pietiekami uzmanÄ«gi, jÅ«s redzÄsit, ka parÄdÄ«tÄ informÄcija ir tieÅ”i tÄda pati.
[root@server1 /]# ls -ld /dir
drwxr-xr-x. 2 root root 6 Feb 6 11:28 /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
other::r-x
Komandas izpildes rezultÄtÄ getfacl zemÄk var redzÄt, ka atļaujas tiek rÄdÄ«tas trim dažÄdiem objektiem: lietotÄjam, grupai un citiem. Tagad pievienosim ACL, lai arÄ« pÄrdoÅ”anas grupai pieŔķirtu lasÄ«Å”anas un izpildes atļaujas. komanda par to setfacl -mg:sales:rx /dir. Å ajÄ komandÄ -m norÄda, ka ir jÄmaina paÅ”reizÄjie ACL iestatÄ«jumi. PÄc tam g:sales:rx liek komandai iestatÄ«t lasÄ«Å”anas un izpildes ACL (rx) grupai (g) pÄrdoÅ”ana. ZemÄk varat redzÄt, kÄ komanda izskatÄs, kÄ arÄ« komandas getfacl izvadi pÄc paÅ”reizÄjo ACL iestatÄ«jumu maiÅas.
Tagad, kad saprotat, kÄ iestatÄ«t grupas ACL, lietotÄjiem un citiem lietotÄjiem ir viegli saprast ACL. PiemÄram, komanda setfacl -mu:linda:rwx /data pieŔķir atļaujas linda lietotÄjam /data direktorijÄ, nepadarot to par Ä«paÅ”nieku un nemainot paÅ”reizÄjÄ Ä«paÅ”nieka pieŔķirÅ”anu.
Komanda setfacl ir daudz funkciju un iespÄju. Viena iespÄja ir Ä«paÅ”i svarÄ«ga, parametrs -R. Ja tiek izmantota, Ŕī opcija padara ACL iestatÄ«tu visiem failiem un apakÅ”direktorijiem, kas paÅ”laik atrodas direktorijÄ, kurÄ iestatÄt ACL. Ieteicams vienmÄr izmantot Å”o opciju, mainot esoÅ”o direktoriju ACL.
Darbs ar noklusÄjuma ACL
Viena no ACL izmantoÅ”anas priekÅ”rocÄ«bÄm ir tÄ, ka varat pieŔķirt atļaujas vairÄkiem lietotÄjiem vai grupÄm direktorijÄ. VÄl viena priekÅ”rocÄ«ba ir tÄ, ka varat iespÄjot mantoÅ”anu, strÄdÄjot ar noklusÄjuma ACL.
Iestatot noklusÄjuma ACL, jÅ«s nosakÄt atļaujas, kas tiks iestatÄ«tas visiem jaunajiem direktorijÄ izveidotajiem vienumiem. Å emiet vÄrÄ, ka noklusÄjuma ACL nemaina esoÅ”o failu un apakÅ”direktoriju atļaujas. Lai tos mainÄ«tu, jÄpievieno arÄ« parasts ACL!
Tas ir svarÄ«gi zinÄt. Ja vÄlaties izmantot ACL, lai konfigurÄtu vairÄkus lietotÄjus vai grupas, lai piekļūtu vienam un tam paÅ”am direktorijam, ACL ir jÄiestata divreiz. PirmÄ lietoÅ”ana setfacl -R -mlai mainÄ«tu paÅ”reizÄjo failu ACL. PÄc tam izmantojiet setfacl-md:parÅ«pÄties par visiem jaunajiem elementiem, kas arÄ« tiks izveidoti.
Lai iestatÄ«tu noklusÄjuma ACL, jums vienkÄrÅ”i jÄpievieno opcija d pÄc opcijas -m (kÄrtÄ«bai ir nozÄ«me!). TÄtad izmantojiet setfacl -md:g:sales:rx /dataja vÄlaties, lai grupas pÄrdoÅ”ana lasÄ«tu un izpildÄ«tu visu, kas jebkad ir izveidots direktorijÄ /data.
Izmantojot noklusÄjuma ACL, var bÅ«t noderÄ«gi arÄ« iestatÄ«t ACL citiem. Parasti tam nav lielas jÄgas, jo jÅ«s varat arÄ« mainÄ«t citu lietotÄju atļaujas chmod. TomÄr ar ko jÅ«s nevarat darÄ«t chmod, ir norÄdÄ«t tiesÄ«bas, kas jÄpieŔķir citiem lietotÄjiem katram jaunajam failam, kas jebkad tiek izveidots. Ja vÄlaties neļaut citiem iegÅ«t jebkÄdas atļaujas visam, kas izveidots mapÄ /data, piemÄram, izmantojiet setfacl -md:o::- /data.
ACL un parastÄs atļaujas ne vienmÄr ir labi integrÄtas. ProblÄmas var rasties, ja direktorijam lietojat noklusÄjuma ACL, pÄc tam Å”im direktorijam tiek pievienoti vienumi un pÄc tam mÄÄ£inÄt mainÄ«t parastÄs atļaujas. IzmaiÅas, kas attiecas uz parastajÄm atļaujÄm, netiks labi atspoguļotas ACL pÄrskatÄ. Lai izvairÄ«tos no problÄmÄm, vispirms iestatiet parastÄs atļaujas, pÄc tam iestatiet noklusÄjuma ACL (un pÄc tam mÄÄ£iniet tÄs vairs nemainÄ«t).
PaaugstinÄto tiesÄ«bu pÄrvaldÄ«bas piemÄrs, izmantojot ACL
Å ajÄ piemÄrÄ jÅ«s turpinÄsiet ar /data/account un /data/sales direktorijiem, ko izveidojÄt iepriekÅ”. IepriekÅ”Äjos piemÄros jÅ«s nodroÅ”inÄjÄt, ka pÄrdoÅ”anas grupai ir /data/sales atļaujas un kontu grupai ir /data/account atļaujas.
Vispirms pÄrliecinieties, vai kontu grupa saÅem lasÄ«Å”anas atļaujas direktorijÄ /data/sales un pÄrdoÅ”anas grupa saÅem lasÄ«Å”anas atļaujas direktorijÄ /data/account.
PÄc tam iestatÄt noklusÄjuma ACL, lai pÄrliecinÄtos, ka visiem jaunajiem failiem ir iestatÄ«tas pareizÄs atļaujas visiem jaunajiem vienumiem.
Pievienojiet noklusÄjuma ACL direktorijam /data/account, izmantojot setfacl -md:g:sales:rwx,g:account:rx /data/account.
PÄrbaudiet, vai ACL iestatÄ«jumi ir spÄkÄ, pievienojot jaunu failu mapei /data/sales. Pabeigts pieskarieties /data/sales/newfile un izpildÄ«t getfacl /data/sales/newfile lai pÄrbaudÄ«tu paÅ”reizÄjÄs atļaujas.
NoklusÄjuma atļauju iestatÄ«Å”ana ar umask
IepriekÅ” jÅ«s uzzinÄjÄt, kÄ strÄdÄt ar noklusÄjuma ACL. Ja neizmantojat ACL, ir Äaulas opcija, kas nosaka noklusÄjuma atļaujas, kuras saÅemsit: umask (reversÄ maska). Å ajÄ sadaÄ¼Ä jÅ«s uzzinÄsit, kÄ mainÄ«t noklusÄjuma atļaujas ar umask.
IespÄjams, esat ievÄrojuÅ”i, ka, veidojot jaunu failu, tiek iestatÄ«tas dažas noklusÄjuma atļaujas. Å Ä«s atļaujas nosaka iestatÄ«jums umask. Å is Äaulas iestatÄ«jums attiecas uz visiem lietotÄjiem pieteikÅ”anÄs laikÄ. ParametrÄ umask tiek izmantota skaitliska vÄrtÄ«ba, kas tiek atÅemta no maksimÄlajÄm atļaujÄm, kuras failam var automÄtiski iestatÄ«t; maksimÄlais iestatÄ«jums failiem ir 666 un direktorijiem ir 777.
TomÄr Å”im noteikumam attiecas daži izÅÄmumi. JÅ«s varat atrast pilnÄ«gu iestatÄ«jumu pÄrskatu umask zemÄk esoÅ”ajÄ tabulÄ.
No skaitļiem, kas izmantoti umask, tÄpat kÄ komandas skaitlisko argumentu gadÄ«jumÄ chmod, pirmais cipars attiecas uz lietotÄja atļaujÄm, otrais cipars attiecas uz grupas atļaujÄm, bet pÄdÄjais attiecas uz noklusÄjuma atļaujÄm, kas iestatÄ«tas citiem. NozÄ«me umask noklusÄjuma 022 dod 644 visiem jaunajiem failiem un 755 visiem jaunajiem direktorijiem, kas izveidoti jÅ«su serverÄ«.
PilnÄ«gs visu skaitlisko vÄrtÄ«bu pÄrskats umask un to rezultÄtus tabulÄ zemÄk.
VienkÄrÅ”s veids, kÄ redzÄt, kÄ darbojas umask iestatÄ«jums, ir Å”Äds: sÄciet ar faila noklusÄjuma atļaujÄm, kas iestatÄ«tas uz 666, un atÅemiet umask, lai iegÅ«tu efektÄ«vas atļaujas. Dariet to paÅ”u ar direktoriju un tÄ noklusÄjuma atļaujÄm 777.
Ir divi veidi, kÄ mainÄ«t umask iestatÄ«jumu: visiem lietotÄjiem un atseviŔķiem lietotÄjiem. Ja vÄlaties iestatÄ«t umask visiem lietotÄjiem, jums ir jÄnodroÅ”ina, lai umask iestatÄ«jums tiktu Åemts vÄrÄ, startÄjot Äaulas vides failus, kÄ norÄdÄ«ts failÄ /etc/profile. PareizÄ pieeja ir izveidot Äaulas skriptu ar nosaukumu umask.sh direktorijÄ /etc/profile.d un norÄdÄ«t umask, kuru vÄlaties izmantot Å”ajÄ Äaulas skriptÄ. Ja Å”ajÄ failÄ tiek mainÄ«ts umask, tas tiek lietots visiem lietotÄjiem pÄc pieteikÅ”anÄs serverÄ«.
AlternatÄ«va umask iestatÄ«Å”anai, izmantojot /etc/profile un saistÄ«tos failus, kur tas attiecas uz visiem lietotÄjiem, kas piesakÄs, ir mainÄ«t umask iestatÄ«jumus failÄ ar nosaukumu .profile, kas tiek izveidots katra lietotÄja mÄjas direktorijÄ.
Å ajÄ failÄ lietotie iestatÄ«jumi attiecas tikai uz atseviŔķu lietotÄju; tÄpÄc Ŕī ir laba metode, ja nepiecieÅ”ama sÄ«kÄka informÄcija. Man personÄ«gi patÄ«k Ŕī funkcija, lai mainÄ«tu root lietotÄja noklusÄjuma umask uz 027, kamÄr parastie lietotÄji darbojas ar noklusÄjuma umask 022.
Darbs ar paplaÅ”inÄtiem lietotÄja atribÅ«tiem
Å Ä« ir pÄdÄjÄ sadaļa par Linux atļaujÄm.
StrÄdÄjot ar atļaujÄm, vienmÄr pastÄv saistÄ«ba starp lietotÄja vai grupas objektu un atļaujÄm, kas lietotÄja vai grupas objektiem ir failÄ vai direktorijÄ. AlternatÄ«va metode failu aizsardzÄ«bai Linux serverÄ« ir darbs ar atribÅ«tiem.
AtribÅ«ti veic savu darbu neatkarÄ«gi no tÄ, vai lietotÄjs piekļūst failam.
Å Ä« ir iespÄja user_xattr. Ja, strÄdÄjot ar paplaÅ”inÄtajiem lietotÄja atribÅ«tiem, tiek parÄdÄ«ts ziÅojums "darbÄ«ba netiek atbalstÄ«ta", noteikti iestatiet parametru mount mapÄ /etc/fstab.
Daudzi atribÅ«ti ir dokumentÄti. Daži atribÅ«ti ir pieejami, bet vÄl nav ieviesti. Nelietojiet tos; viÅi tev neko neatnesÄ«s.
TÄlÄk ir norÄdÄ«ti visnoderÄ«gÄkie atribÅ«ti, ko varat lietot:
A Å is atribÅ«ts nodroÅ”ina, ka faila piekļuves laiks failam nemainÄs.
Parasti katru reizi, kad tiek atvÄrts fails, faila piekļuves laiks ir jÄieraksta faila metadatos. Tas negatÄ«vi ietekmÄ veiktspÄju; tÄtad failiem, kuriem regulÄri piekļūst, atribÅ«ts A var izmantot, lai atspÄjotu Å”o funkciju.
a Å is atribÅ«ts ļauj pievienot, bet ne noÅemt failu.
c Ja izmantojat failu sistÄmu, kas atbalsta apjoma lÄ«meÅa saspieÅ”anu, Å”is faila atribÅ«ts nodroÅ”ina, ka fails tiek saspiests pirmo reizi, kad tiek iespÄjots saspieÅ”anas mehÄnisms.
D Å is atribÅ«ts nodroÅ”ina, ka failu izmaiÅas nekavÄjoties tiek ierakstÄ«tas diskÄ, nevis vispirms tiek saglabÄtas keÅ”atmiÅÄ. Å is ir noderÄ«gs atribÅ«ts svarÄ«giem datu bÄzes failiem, lai nodroÅ”inÄtu, ka tie nepazÅ«d starp failu keÅ”atmiÅu un cieto disku.
d Å is atribÅ«ts nodroÅ”ina, ka fails netiks saglabÄts dublÄjumkopijÄs, kurÄs tiek izmantota izgÄztuves utilÄ«ta.
I Å is atribÅ«ts ļauj indeksÄt direktoriju, kurÄ tas ir iespÄjots. Tas nodroÅ”ina ÄtrÄku piekļuvi failiem primitÄ«vÄm failu sistÄmÄm, piemÄram, Ext3, kas neizmanto B-tree datu bÄzi Ätrai piekļuvei failiem.
i Å is atribÅ«ts padara failu nemainÄ«gu. TÄpÄc failÄ nevar veikt nekÄdas izmaiÅas, kas ir noderÄ«gi failiem, kuriem nepiecieÅ”ama papildu aizsardzÄ«ba.
j Å is atribÅ«ts nodroÅ”ina, ka ext3 failu sistÄmÄ fails vispirms tiek ierakstÄ«ts žurnÄlÄ un pÄc tam datu blokos cietajÄ diskÄ.
s PÄc faila dzÄÅ”anas pÄrrakstiet blokus, kuros fails tika saglabÄts, lÄ«dz 0. Tas nodroÅ”ina, ka failu nevar atjaunot pÄc tÄ dzÄÅ”anas.
u Å is atribÅ«ts saglabÄ informÄciju par dzÄÅ”anu. Tas ļauj izstrÄdÄt utilÄ«tu, kas darbojas ar Å”o informÄciju, lai glÄbtu izdzÄstos failus.
Ja vÄlaties lietot atribÅ«tus, varat izmantot komandu tÄrzÄÅ”anas. PiemÄram, izmantojiet chattr +s kÄds failslai kÄdam failam lietotu atribÅ«tus. Vai ir jÄnoÅem atribÅ«ts? PÄc tam izmantojiet chattr -s kÄds failsun tas tiks noÅemts. Lai iegÅ«tu pÄrskatu par visiem paÅ”laik lietotajiem atribÅ«tiem, izmantojiet komandu lsattr.
Kopsavilkums
Å ajÄ rakstÄ jÅ«s uzzinÄjÄt, kÄ strÄdÄt ar atļaujÄm. JÅ«s lasÄt par trim pamata atļaujÄm, papildu atļaujÄm un to, kÄ lietot ACL failu sistÄmÄ. JÅ«s arÄ« uzzinÄjÄt, kÄ izmantot opciju umask, lai lietotu noklusÄjuma atļaujas. Å Ä« raksta beigÄs jÅ«s uzzinÄjÄt, kÄ izmantot lietotÄja paplaÅ”inÄtos atribÅ«tus, lai lietotu papildu failu sistÄmas droŔības slÄni.
Ja jums patika Å”is tulkojums, lÅ«dzu, rakstiet par to komentÄros. BÅ«s lielÄka motivÄcija veikt noderÄ«gus tulkojumus.
RakstÄ izlabotas dažas drukas un gramatikas kļūdas. Dažas apjomÄ«gas rindkopas ir samazinÄtas mazÄkÄs, lai nodroÅ”inÄtu labÄku lasÄmÄ«bu.
TÄ vietÄ, lai "Izpildes atļauju var lietot tikai persona, kurai ir direktorija administratÄ«vÄs tiesÄ«bas". labots uz "Tikai persona, kurai ir rakstÄ«Å”anas atļaujas direktorijÄ, var pieteikties izpildes atļaujai.", kas bÅ«tu pareizÄk.
AizstÄts:
Ja neesat lietotÄja Ä«paÅ”nieks, apvalks pÄrbaudÄ«s, vai esat grupas dalÄ«bnieks, ko sauc arÄ« par faila grupu.
Uz:
Ja neesat faila Ä«paÅ”nieks, apvalks pÄrbaudÄ«s, vai esat grupas dalÄ«bnieks, kam ir atļaujas failam. Ja esat Ŕīs grupas dalÄ«bnieks, failam piekļūsit ar grupas iestatÄ«tajÄm atļaujÄm, un apvalks pÄrtrauks pÄrbaudi.