🥇Atļaujas operētājsistēmā Linux (chown, chmod, SUID, GUID, sticky bit, ACL, umask)

Sveiki visiem. Šis ir raksta tulkojums no grāmatas RedHat RHCSA RHCE 7 RedHat Enterprise Linux 7 EX200 un EX300.

Spiediet: Ceru, ka raksts būs noderīgs ne tikai iesācējiem, bet arī palīdzēs pieredzējušākiem administratoriem pilnveidot savas zināšanas.

Tātad, ejam.

Lai piekļūtu failiem operētājsistēmā Linux, tiek izmantotas atļaujas. Šīs atļaujas ir piešķirtas trim objektiem: faila īpašniekam, grupas īpašniekam un citam objektam (tas ir, visiem pārējiem). Šajā rakstā jūs uzzināsit, kā piemērot atļaujas.

Šis raksts sākas ar pamatjēdzienu pārskatu, kam seko diskusija par īpašām atļaujām un piekļuves kontroles sarakstiem (ACL). Šī raksta beigās mēs aplūkojam noklusējuma atļauju iestatīšanu, izmantojot umask, kā arī paplašināto lietotāja atribūtu pārvaldību.

Failu īpašumtiesību pārvaldība

Pirms apspriest atļaujas, jums jāapzinās failu un direktoriju īpašnieka loma. Failu un direktoriju īpašumtiesības ir ļoti svarīgas, lai apstrādātu atļaujas. Šajā sadaļā jūs vispirms uzzināsit, kā jūs varat redzēt īpašnieku. Pēc tam jūs uzzināsit, kā mainīt grupas īpašnieku un lietotāju failiem un direktorijiem.

Tiek parādīts faila vai direktorija īpašnieks

Operētājsistēmā Linux katram failam un direktorijam ir divi īpašnieki: lietotājs un grupas īpašnieks.

Šie īpašnieki tiek iestatīti, izveidojot failu vai direktoriju. Lietotājs, kurš izveido failu, kļūst par šī faila īpašnieku, un primārā grupa, kurai pieder tas pats lietotājs, arī kļūst par šī faila īpašnieku. Lai noteiktu, vai jums kā lietotājam ir atļauja piekļūt failam vai direktorijam, apvalks pārbauda īpašumtiesības.

Tas notiek šādā secībā:

Apvalks pārbauda, vai esat faila, kuram vēlaties piekļūt, īpašnieks. Ja esat īpašnieks, jūs saņemat atļaujas un apvalks pārstāj pārbaudīt.
Ja neesat faila īpašnieks, apvalks pārbaudīs, vai esat grupas dalībnieks, kam ir atļaujas failam. Ja esat šīs grupas dalībnieks, failam piekļūsit ar grupas iestatītajām atļaujām, un apvalks pārtrauks pārbaudi.
Ja neesat ne grupas lietotājs, ne īpašnieks, jums tiek piešķirtas citu lietotāju tiesības (Other).

Lai skatītu pašreizējos īpašnieka uzdevumus, varat izmantot komandu ls-l. Šī komanda parāda grupas lietotāju un īpašnieku. Tālāk ir redzami direktoriju īpašnieka iestatījumi direktorijā /home.

[root@server1 home]# ls -l
total 8
drwx------. 3  bob            bob            74     Feb   6   10:13 bob
drwx------. 3  caroline       caroline       74     Feb   6   10:13 caroline
drwx------. 3  fozia          fozia          74     Feb   6   10:13 fozia
drwx------. 3  lara           lara           74     Feb   6   10:13 lara
drwx------. 5  lisa           lisa           4096   Feb   6   10:12 lisa
drwx------. 14 user           user           4096   Feb   5   10:35 user

Ar komandu ls jūs varat parādīt failu īpašnieku noteiktā direktorijā. Dažreiz var būt noderīgi iegūt sarakstu ar visiem sistēmā esošajiem failiem, kuru īpašnieks ir noteikts lietotājs vai grupa. Šim nolūkam jūs varat izmantot atrast. Arguments atrast lietotāju var izmantot šim nolūkam. Piemēram, šajā komandā ir uzskaitīti visi faili, kas pieder lietotājam linda:

find / -user linda

Varat arī izmantot atrast lai meklētu failus, kuru īpašnieks ir noteikta grupa.

Piemēram, šī komanda meklē visus grupai piederošos failus Lietotāji:

find / -group users

Īpašnieka maiņa

Lai piemērotu atbilstošās atļaujas, pirmā lieta, kas jāņem vērā, ir īpašumtiesības. Tam ir komanda chown. Šīs komandas sintakse ir viegli saprotama:

chown кто что

Piemēram, šī komanda maina direktorijas /home/account īpašnieku uz lietotāju linda:

chown linda /home/account

Komanda chown ir vairākas iespējas, no kurām viena ir īpaši noderīga: -R. Varat uzminēt, ko tas dara, jo šī opcija ir pieejama arī daudzām citām komandām. Tas ļauj rekursīvi iestatīt īpašnieku, kas ļauj iestatīt pašreizējā direktorija īpašnieku un visu tālāk norādīto. Šī komanda maina īpašumtiesības uz /home direktoriju un visu zem tā uz Linda lietotāju:

Tagad īpašnieki izskatās šādi:

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 account account 62 Sep 25 21:41 account
drwx------. 2 lisa    lisa    62 Sep 25 21:42 lisa

Daram:

[root@localhost ~]# chown -R lisa /home/account
[root@localhost ~]#

Tagad lietotājs Lisa ir kļuvis par konta direktorija īpašnieku:

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 lisa account 62 Sep 25 21:41 account
drwx------. 2 lisa lisa    62 Sep 25 21:42 lisa

Mainiet grupas īpašnieku

Ir divi veidi, kā mainīt grupas īpašumtiesības. To var izdarīt, izmantojot chown, bet ir īpaša komanda ar nosaukumu chgrpkas dara darbu. Ja vēlaties izmantot komandu chown, izmantojiet . vai : grupas nosaukuma priekšā.

Šī komanda maina jebkuru /home/account grupas īpašnieku uz kontu grupu:

chown .account /home/account

tu vari izmantot chown lai vairākos veidos mainītu lietotāja un/vai grupas īpašnieku. Šeit ir daži piemēri:

chown lisa mans fails1 iestata lietotāju lisa kā faila myfile1 īpašnieku.
chown lisa.sales myfile iestata lietotāju lisa kā faila myfile īpašnieku, kā arī iestata pārdošanas grupu kā tā paša faila īpašnieku.
chown lisa:sales myfile tāda pati kā iepriekšējā komanda.
chown .sales myfile iestata pārdošanas grupu kā myfile īpašnieku, nemainot lietotāja īpašnieku.
chown :sales myfile tāda pati kā iepriekšējā komanda.

Jūs varat izmantot komandu chgrplai mainītu grupas īpašnieku. Apsveriet šādu piemēru, kur varat izmantot chgrp iestatiet konta direktorijas īpašnieku pārdošanas grupai:

chgrp .sales /home/account

Kā ar chown, varat izmantot opciju -R с chgrp, kā arī rekursīvi mainīt grupas īpašnieku.

Izpratne par noklusējuma īpašnieku

Iespējams, esat pamanījis, ka lietotājam izveidojot failu, tiek piemērotas noklusējuma īpašumtiesības.
Lietotājs, kurš izveido failu, automātiski kļūst par šī faila īpašnieku, un šī lietotāja primārā grupa automātiski kļūst par šī faila īpašnieku. Parasti šī ir grupa, kas ir norādīta failā /etc/passwd kā lietotāja primārā grupa. Tomēr, ja lietotājs ir vairāk nekā vienas grupas dalībnieks, lietotājs var mainīt spēkā esošo primāro grupu.

Lai parādītu pašreizējo efektīvo primāro grupu, lietotājs var izmantot komandu grupas:

[root@server1 ~]# groups lisa
lisa : lisa account sales

Ja pašreizējais linda lietotājs vēlas mainīt efektīvo primāro grupu, viņš izmantos komandu jaungrpkam seko tās grupas nosaukums, kuru viņš vēlas iestatīt kā jauno efektīvo primāro grupu. Pēc komandas izmantošanas jaungrp primārā grupa būs aktīva, līdz lietotājs ievadīs komandu izeja vai neizrakstīties.

Tālāk ir parādīts, kā lietotājs linda izmanto šo komandu, un primārā grupa ir pārdošana:

lisa@server1 ~]$ groups
lisa account sales
[lisa@server1 ~]$ newgrp sales
[lisa@server1 ~]$ groups
sales lisa account
[lisa@server1 ~]$ touch file1
[lisa@server1 ~]$ ls -l
total 0
-rw-r--r--. 1 lisa sales 0 Feb 6 10:06 file1

Pēc spēkā esošās primārās grupas maiņas visiem jaunajiem lietotāja izveidotajiem failiem šī grupa būs grupas īpašnieks. Lai atgrieztos pie sākotnējās primārās grupas iestatījuma, izmantojiet izeja.

Lai varētu izmantot komandu jaungrp, lietotājam ir jābūt tās grupas dalībniekam, kuru viņš vēlas izmantot kā primāro grupu. Turklāt, izmantojot komandu, grupai var izmantot grupas paroli gpasswd. Ja lietotājs izmanto komandu jaungrpbet nav mērķa grupas dalībnieks, apvalks pieprasa grupas paroli. Pēc pareizās grupas paroles ievadīšanas tiks izveidota jauna efektīva primārā grupa.

Pamattiesību pārvaldība

Linux atļauju sistēma tika izgudrota 1970. gados. Tā kā tajos gados skaitļošanas vajadzības bija ierobežotas, pamata atļauju sistēma bija diezgan ierobežota. Šī atļauju sistēma izmanto trīs atļaujas, kuras var attiecināt uz failiem un direktorijiem. Šajā sadaļā jūs uzzināsit, kā izmantot un mainīt šīs atļaujas.

Izpratne par lasīšanas, rakstīšanas un izpildes atļaujām

Trīs pamata atļaujas ļauj lasīt, rakstīt un izpildīt failus. Šo atļauju ietekme atšķiras, ja tās tiek lietotas failiem vai direktorijiem. Failam lasīšanas atļauja dod tiesības atvērt failu lasīšanai. Tāpēc jūs varat lasīt tā saturu, taču tas nozīmē, ka jūsu dators var atvērt failu, lai ar to kaut ko darītu.

Programmas failam, kuram nepieciešama piekļuve bibliotēkai, ir jābūt, piemēram, lasīšanas piekļuvei šai bibliotēkai. No tā izriet, ka lasīšanas atļauja ir visvienkāršākā atļauja, kas nepieciešama darbam ar failiem.

Lietojot direktorijā, lasīšana ļauj parādīt šī direktorija saturu. Ņemiet vērā, ka šī atļauja neļauj lasīt direktorijā esošos failus. Linux atļauju sistēma nezina mantojumu, un vienīgais veids, kā lasīt failu, ir izmantot šī faila lasīšanas atļaujas.

Kā jūs droši vien nojaušat, rakstīšanas atļauja, ja tā tiek piemērota failam, ļauj rakstīt failā. Citiem vārdiem sakot, tas ļauj mainīt esošo failu saturu. Tomēr tas neļauj izveidot vai dzēst jaunus failus vai mainīt failu atļaujas. Lai to izdarītu, jums ir jāpiešķir rakstīšanas atļauja direktorijam, kurā vēlaties izveidot failu. Katalogos šī atļauja ļauj arī izveidot un dzēst jaunus apakšdirektorijus.

Izpildes atļauja ir tā, kas jums nepieciešama faila izpildei. Tas nekad netiks instalēts pēc noklusējuma, kas padara Linux gandrīz pilnībā imūnu pret vīrusiem. Tikai persona, kurai ir rakstīšanas atļaujas direktorijā, var izmantot izpildes atļauju.

Tālāk ir sniegts kopsavilkums par pamata atļauju izmantošanu.

Izmantojot chmod

Komanda tiek izmantota, lai pārvaldītu atļaujas. chmod... Izmantojot chmod varat iestatīt atļaujas lietotājam (lietotājam), grupām (grupai) un citiem (citiem). Šo komandu var izmantot divos režīmos: relatīvajā režīmā un absolūtajā režīmā. Absolūtajā režīmā pamata atļauju iestatīšanai tiek izmantoti trīs cipari.

Iestatot atļaujas, aprēķiniet nepieciešamo vērtību. Ja vēlaties iestatīt lasīt/rakstīt/izpildīt lietotājam, lasīt/izpildīt grupai un lasīt/izpildīt citiem failā /somefile, tad izmantojiet šo komandu chmod:

chmod 755 /somefile

Kad lietojat chmod šādā veidā visas pašreizējās atļaujas tiek aizstātas ar jūsu iestatītajām atļaujām.

Ja vēlaties mainīt atļaujas attiecībā pret pašreizējām atļaujām, varat izmantot chmod relatīvā režīmā. Izmantojot chmod relatīvajā režīmā jūs strādājat ar trim indikatoriem, lai norādītu, ko vēlaties darīt:

Vispirms norādiet, kam vēlaties mainīt atļaujas. Lai to izdarītu, varat izvēlēties starp lietotāja (u), grupa (g) un citi (o).
Pēc tam izmantojiet paziņojumu, lai pievienotu vai noņemtu atļaujas no pašreizējā režīma vai iestatītu tās pilnībā.
Beigās jūs izmantojat r, w и xlai norādītu, kuras atļaujas vēlaties iestatīt.

Mainot atļaujas relatīvajā režīmā, varat izlaist daļu "uz", lai pievienotu vai noņemtu atļauju visiem objektiem. Piemēram, šī komanda pievieno izpildes atļauju visiem lietotājiem:

chmod +x somefile

Strādājot relatīvajā režīmā, varat izmantot arī sarežģītākas komandas. Piemēram, šī komanda pievieno rakstīšanas atļauju grupai un noņem lasīšanas atļauju citiem:

chmod g+w,o-r somefile

Lietojot chmod -R o+rx /dati jūs iestatāt izpildes atļauju visiem direktorijiem, kā arī failiem direktorijā /data. Lai iestatītu izpildes atļauju tikai direktorijiem, nevis failiem, izmantojiet chmod -R o+ rX /dati.

Lielais burts X nodrošina, ka faili nesaņem izpildes atļauju, ja vien fails jau nav iestatījis izpildes atļauju dažiem objektiem. Tas padara X par gudrāku veidu, kā rīkoties ar izpildes atļaujām; tas ļaus izvairīties no šīs atļaujas iestatīšanas failiem, kur tā nav nepieciešama.

Paplašinātas tiesības

Papildus pamata atļaujām, par kurām tikko lasījāt, Linux ir arī papildu atļauju kopa. Šīs nav atļaujas, kuras iestatāt pēc noklusējuma, taču dažreiz tās nodrošina noderīgu papildinājumu. Šajā sadaļā jūs uzzināsit, kas tie ir un kā tos iestatīt.

Izpratne par SUID, GUID un Sticky Bit paplašinātajām atļaujām

Ir trīs papildu atļaujas. Pirmā no tām ir atļauja iestatīt lietotāja identifikatoru (SUID). Dažos īpašos gadījumos šo atļauju varat lietot izpildāmajiem failiem. Pēc noklusējuma lietotājs, kurš palaiž izpildāmo failu, palaiž šo failu ar savām atļaujām.

Parastajiem lietotājiem tas parasti nozīmē, ka programmas izmantošana ir ierobežota. Tomēr dažos gadījumos lietotājam ir nepieciešamas īpašas atļaujas tikai konkrēta uzdevuma veikšanai.

Apsveriet, piemēram, situāciju, kad lietotājam ir jāmaina parole. Lai to izdarītu, lietotājam ir jāieraksta sava jaunā parole failā /etc/shadow. Tomēr šo failu nevar rakstīt lietotāji, kas nav root lietotāji:

root@hnl ~]# ls -l /etc/shadow
----------. 1 root root 1184 Apr 30 16:54 /etc/shadow

SUID atļauja piedāvā šīs problēmas risinājumu. Utilīta /usr/bin/passwd pēc noklusējuma izmanto šo atļauju. Tas nozīmē, ka, mainot paroli, lietotājs uz laiku kļūst par root, kas ļauj rakstīt failā /etc/shadow. Jūs varat redzēt SUID atļauju ar ls-l kā s tādā pozīcijā, ko jūs parasti varētu redzēt x pielāgotām atļaujām:

[root@hnl ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 32680 Jan 28 2010 /usr/bin/passwd

SUID atļauja var izskatīties noderīga (un dažos gadījumos tā ir), taču tajā pašā laikā tā ir potenciāli bīstama. Ja tas netiek lietots pareizi, varat nejauši piešķirt root atļaujas. Tāpēc iesaku to lietot tikai ar vislielāko piesardzību.

Lielākajai daļai administratoru tas nekad nebūs jāizmanto; jūs to redzēsit tikai dažos failos, kur operētājsistēmai tas ir jāiestata pēc noklusējuma.

Otrā īpašā atļauja ir grupas identifikators (SGID). Šai atļaujai ir divi efekti. Lietojot izpildāmam failam, tas lietotājam, kurš izpilda failu, piešķir faila grupas īpašnieka atļaujas. Tātad SGID var darīt vairāk vai mazāk to pašu, ko SUID. Tomēr SGID šim nolūkam praktiski neizmanto.

Tāpat kā ar SUID atļauju, SGID tiek lietots dažiem sistēmas failiem kā noklusējuma iestatījums.

Lietojot direktorijā, SGID var būt noderīgs, jo varat to izmantot, lai iestatītu noklusējuma grupas īpašnieku failiem un apakšdirektorijiem, kas izveidoti šajā direktorijā. Pēc noklusējuma, kad lietotājs izveido failu, tā faktiskā primārā grupa tiek iestatīta kā šī faila grupas īpašnieks.

Tas ne vienmēr ir ļoti noderīgi, jo īpaši tāpēc, ka Red Hat/CentOS lietotājiem primārā grupa ir iestatīta uz grupu ar tādu pašu nosaukumu kā lietotājam un kurā lietotājs ir vienīgais dalībnieks. Tādējādi pēc noklusējuma lietotāja izveidotie faili tiks kopīgoti lielapjomā.

Iedomājieties situāciju, kad lietotāji Linda un Lori strādā grāmatvedībā un ir grupas dalībnieki konts. Pēc noklusējuma šie lietotāji ir privātas grupas dalībnieki, kurā viņi ir vienīgie dalībnieki. Tomēr abi lietotāji ir kontu grupas dalībnieki, bet arī kā sekundārais grupas parametrs.

Noklusējuma situācija ir tāda, ka tad, kad kāds no šiem lietotājiem izveido failu, galvenā grupa kļūst par īpašnieku. Tāpēc pēc noklusējuma linda nevar piekļūt lori izveidotajiem failiem un otrādi. Tomēr, ja izveidojat koplietotu grupas direktoriju (piemēram, /groups/account) un nodrošina, ka šim direktorijam tiek piemērota SGID atļauja un ka grupas konts ir iestatīts kā šī direktorija grupas īpašnieks, visi šajā direktorijā izveidotie faili un visi apakšdirektorijiem, pēc noklusējuma iegūstiet arī grupas kontu kā grupas īpašnieku.

Šī iemesla dēļ SGID atļauja ir ļoti noderīga atļauja iestatīt publiskos grupu direktorijos.

SGID atļauja parādīta izvadē ls-l kā s vietā, kur parasti atrastu atļauju izpildīt grupu:

[root@hnl data]# ls -ld account
drwxr-sr-x. 2 root account 4096 Apr 30 21:28 account

Trešā no īpašajām atļaujām ir lipīgais bits. Šī atļauja ir noderīga, lai aizsargātu failus no nejaušas dzēšanas vidē, kurā vairākiem lietotājiem ir rakstīšanas piekļuve vienam un tam pašam direktorijam. Ja tiek izmantots lipīgais bits, lietotājs var izdzēst failu tikai tad, ja viņš ir faila vai direktorija, kurā atrodas fails, lietotāja īpašnieks. Šī iemesla dēļ tā tiek izmantota kā noklusējuma atļauja /tmp direktorijam un var būt noderīga arī publisko grupu direktorijiem.

Bez lipīgā bita, ja lietotājs var izveidot failus direktorijā, viņš var arī izdzēst failus no šī direktorija. Publiskās grupas vidē tas var būt kaitinoši. Iedomājieties lietotājus Lindu un Lori, kuriem abiem ir rakstīšanas atļaujas direktorijā /data/account un kuri iegūst šīs atļaujas, esot kontu grupas dalībnieki. Tāpēc linda var izdzēst lori izveidotos failus un otrādi.

Lietojot lipīgo bitu, lietotājs var izdzēst failus tikai tad, ja ir spēkā viens no šiem nosacījumiem:

Lietotājs ir faila īpašnieks;
Lietotājs ir direktorija, kurā atrodas fails, īpašnieks.

Lietojot ls-l, jūs varat redzēt lipīgo bitu kā t pozīcijā, kurā jūs parasti redzētu izpildes atļauju citiem:

[root@hnl data]# ls -ld account/
drwxr-sr-t. 2 root account 4096 Apr 30 21:28 account/

Paplašināto tiesību piemērošana

Varat arī izmantot SUID, SGID un lipīgo uzgali chmod. SUID skaitliskā vērtība ir 4, SGID skaitliskā vērtība ir 2, bet lipīgajam bitam ir skaitliskā vērtība 1.

Ja vēlaties lietot šīs atļaujas, jums jāpievieno četrciparu arguments chmod, kura pirmais cipars attiecas uz īpašām atļaujām. Piemēram, šajā rindā tiks pievienota SGID atļauja direktorijam un iestatīta rwx lietotājam un rx grupai un citiem:

chmod 2755 /somedir

Tas ir diezgan nepraktiski, ja jums ir nepieciešams redzēt pašreizējās atļaujas, kas ir iestatītas pirms darba chmod absolūtā režīmā. (Ja to nedarīsiet, jūs riskējat pārrakstīt atļaujas.) Tāpēc es iesaku palaist relatīvajā režīmā, ja jums ir jāpiemēro kāda no īpašajām atļaujām:

SUID lietošanai chmod u+s.
SGID lietošanai chmod g+s.
Lipīgo uzgaļu lietošanai chmod +t, kam seko faila vai direktorija nosaukums, kuram vēlaties iestatīt atļaujas.

Tabulā ir apkopots viss, kas jums jāzina par īpašo atļauju pārvaldību.

Piemērs darbam ar īpašām tiesībām

Šajā piemērā jūs izmantojat īpašas atļaujas, lai grupas dalībniekiem būtu vieglāk koplietot failus koplietotās grupas direktorijā. Jūs piešķirat ID bitu iestatītajam grupas ID, kā arī lipīgajam bitam, un redzat, ka, tiklīdz tie ir iestatīti, tiek pievienotas funkcijas, lai grupas dalībniekiem būtu vieglāk strādāt kopā.

Atveriet termināli, kurā esat Linda lietotājs. Jūs varat izveidot lietotāju ar komandu pievienot Lindu, pievienojiet paroli passwd Linda.
Izveidojiet /data direktoriju saknē un /data/sales apakšdirektoriju ar komandu mkdir -p /data/pārdošana. Pabeigts cd /data/pārdošanalai dotos uz pārdošanas direktoriju. Pabeigts pieskarties Lindai1 и pieskarties Lindai2lai izveidotu divus tukšus failus, kas pieder Lindai.
Izpildīt su-lisa lai pārslēgtu pašreizējo lietotāju uz lietotāju Lisa, kurš arī ir pārdošanas grupas dalībnieks.
Izpildīt cd /data/pārdošana un no šī direktorija izpildiet ls-l. Jūs redzēsiet divus failus, kurus izveidoja linda lietotājs un kas pieder grupai linda. Pabeigts rm -f Linda*. Tas noņems abus failus.
Izpildīt touch lisa1 и touch lisa2lai izveidotu divus failus, kas pieder lietotājam lisa.
Izpildīt su- lai paaugstinātu savas privilēģijas uz root.
Izpildīt chmod g+s,o+t /dati/pārdošanalai koplietotajā grupas direktorijā iestatītu grupas identifikatora (GUID) bitu, kā arī lipīgo bitu.
Izpildīt su-linda. Tad dari pieskarties Lindai3 и pieskarties Lindai4. Tagad jums vajadzētu redzēt, ka divi izveidotie faili pieder pārdošanas grupai, kas ir direktorija /data/sales grupas īpašnieks.
Izpildīt rm -rf lisa*. Lipīgais bits neļauj dzēst šos failus Linda lietotāja vārdā, jo jūs neesat šo failu īpašnieks. Ņemiet vērā: ja Linda lietotājs ir direktorijas /data/sales īpašnieks, viņš tik un tā var izdzēst šos failus!

ACL pārvaldība (setfacl, getfacl) operētājsistēmā Linux

Lai gan iepriekš apspriestās paplašinātās atļaujas pievieno noderīgu funkcionalitāti tam, kā Linux apstrādā atļaujas, tas neļauj piešķirt atļaujas vairāk nekā vienam lietotājam vai grupai vienā failā.

Piekļuves kontroles saraksti piedāvā šo funkciju. Turklāt tie ļauj administratoriem sarežģītā veidā iestatīt noklusējuma atļaujas, kur iestatītās atļaujas var atšķirties atkarībā no direktorija.

ACL izpratne

Lai gan ACL apakšsistēma jūsu serverim pievieno lielisku funkcionalitāti, tai ir viens trūkums: ne visas utilītas to atbalsta. Tāpēc, kopējot vai pārvietojot failus, varat zaudēt ACL iestatījumus, un dublēšanas programmatūrai var neizdoties dublēt ACL iestatījumus.

Tar utilīta neatbalsta ACL. Lai, veidojot dublējumu, ACL iestatījumi netiktu zaudēti, izmantojiet zvaigzne darvas vietā. zvaigzne darbojas ar tādām pašām opcijām kā darva; tas tikai pievieno atbalstu ACL iestatījumiem.

Varat arī dublēt ACL ar getfacl, kuru var atjaunot, izmantojot komandu setfacl. Lai izveidotu dublējumu, izmantojiet getfacl -R /direktorijs > fails.acls. Lai atjaunotu iestatījumus no dublējuma faila, izmantojiet setfacl --restore=file.acl.

Dažu rīku atbalsta trūkumam nevajadzētu būt problēmai. ACL bieži tiek lietoti direktorijiem kā strukturāls pasākums, nevis atsevišķiem failiem.
Tāpēc to nebūs daudz, bet tikai daži, kas pielietoti viedās failu sistēmas vietās. Tāpēc sākotnējo ACL, ar kuru strādājāt, atjaunošana ir salīdzinoši vienkārša, pat ja jūsu dublēšanas programmatūra tos neatbalsta.

Failu sistēmas sagatavošana ACL

Pirms sākat strādāt ar ACL, iespējams, būs jāsagatavo failu sistēma ACL atbalstam. Tā kā failu sistēmas metadati ir jāpaplašina, failu sistēmā ne vienmēr ir noklusējuma atbalsts ACL. Ja, iestatot failu sistēmas ACL, tiek parādīts ziņojums "darbība netiek atbalstīta", iespējams, jūsu failu sistēma neatbalsta ACL.

Lai to labotu, jāpievieno opcija acl stiprinājums mapē /etc/fstab, lai failu sistēma pēc noklusējuma tiktu uzstādīta ar ACL atbalstu.

ACL iestatījumu maiņa un skatīšana, izmantojot setfacl un getfacl

Lai iestatītu ACL, jums ir nepieciešama komanda setfacl. Lai redzētu pašreizējos ACL iestatījumus, jums ir nepieciešams getfacl. Komanda ls-l nerāda esošus ACL; tas tikai parāda + pēc atļauju saraksta, kas norāda, ka ACL attiecas arī uz failu.

Pirms ACL iestatīšanas vienmēr ir ieteicams parādīt pašreizējos ACL iestatījumus ar getfacl. Tālāk esošajā piemērā varat redzēt pašreizējās atļaujas, kā parādīts ar ls-l, un arī kā parādīts ar getfacl. Ja paskatās pietiekami uzmanīgi, jūs redzēsit, ka parādītā informācija ir tieši tāda pati.

[root@server1 /]# ls -ld /dir
drwxr-xr-x. 2 root root 6 Feb 6 11:28 /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

Komandas izpildes rezultātā getfacl zemāk var redzēt, ka atļaujas tiek rādītas trim dažādiem objektiem: lietotājam, grupai un citiem. Tagad pievienosim ACL, lai arī pārdošanas grupai piešķirtu lasīšanas un izpildes atļaujas. komanda par to setfacl -mg:sales:rx /dir. Šajā komandā -m norāda, ka ir jāmaina pašreizējie ACL iestatījumi. Pēc tam g:sales:rx liek komandai iestatīt lasīšanas un izpildes ACL (rx) grupai (g) pārdošana. Zemāk varat redzēt, kā komanda izskatās, kā arī komandas getfacl izvadi pēc pašreizējo ACL iestatījumu maiņas.

[root@server1 /]# setfacl -m g:sales:rx /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
group:sales:r-x
mask::r-x
other::r-x

Tagad, kad saprotat, kā iestatīt grupas ACL, lietotājiem un citiem lietotājiem ir viegli saprast ACL. Piemēram, komanda setfacl -mu:linda:rwx /data piešķir atļaujas linda lietotājam /data direktorijā, nepadarot to par īpašnieku un nemainot pašreizējā īpašnieka piešķiršanu.

Komanda setfacl ir daudz funkciju un iespēju. Viena iespēja ir īpaši svarīga, parametrs -R. Ja tiek izmantota, šī opcija padara ACL iestatītu visiem failiem un apakšdirektorijiem, kas pašlaik atrodas direktorijā, kurā iestatāt ACL. Ieteicams vienmēr izmantot šo opciju, mainot esošo direktoriju ACL.

Darbs ar noklusējuma ACL

Viena no ACL izmantošanas priekšrocībām ir tā, ka varat piešķirt atļaujas vairākiem lietotājiem vai grupām direktorijā. Vēl viena priekšrocība ir tā, ka varat iespējot mantošanu, strādājot ar noklusējuma ACL.

Iestatot noklusējuma ACL, jūs nosakāt atļaujas, kas tiks iestatītas visiem jaunajiem direktorijā izveidotajiem vienumiem. Ņemiet vērā, ka noklusējuma ACL nemaina esošo failu un apakšdirektoriju atļaujas. Lai tos mainītu, jāpievieno arī parasts ACL!

Tas ir svarīgi zināt. Ja vēlaties izmantot ACL, lai konfigurētu vairākus lietotājus vai grupas, lai piekļūtu vienam un tam pašam direktorijam, ACL ir jāiestata divreiz. Pirmā lietošana setfacl -R -mlai mainītu pašreizējo failu ACL. Pēc tam izmantojiet setfacl-md:parūpēties par visiem jaunajiem elementiem, kas arī tiks izveidoti.

Lai iestatītu noklusējuma ACL, jums vienkārši jāpievieno opcija d pēc opcijas -m (kārtībai ir nozīme!). Tātad izmantojiet setfacl -md:g:sales:rx /dataja vēlaties, lai grupas pārdošana lasītu un izpildītu visu, kas jebkad ir izveidots direktorijā /data.

Izmantojot noklusējuma ACL, var būt noderīgi arī iestatīt ACL citiem. Parasti tam nav lielas jēgas, jo jūs varat arī mainīt citu lietotāju atļaujas chmod. Tomēr ar ko jūs nevarat darīt chmod, ir norādīt tiesības, kas jāpiešķir citiem lietotājiem katram jaunajam failam, kas jebkad tiek izveidots. Ja vēlaties neļaut citiem iegūt jebkādas atļaujas visam, kas izveidots mapē /data, piemēram, izmantojiet setfacl -md:o::- /data.

ACL un parastās atļaujas ne vienmēr ir labi integrētas. Problēmas var rasties, ja direktorijam lietojat noklusējuma ACL, pēc tam šim direktorijam tiek pievienoti vienumi un pēc tam mēģināt mainīt parastās atļaujas. Izmaiņas, kas attiecas uz parastajām atļaujām, netiks labi atspoguļotas ACL pārskatā. Lai izvairītos no problēmām, vispirms iestatiet parastās atļaujas, pēc tam iestatiet noklusējuma ACL (un pēc tam mēģiniet tās vairs nemainīt).

Paaugstināto tiesību pārvaldības piemērs, izmantojot ACL

Šajā piemērā jūs turpināsiet ar /data/account un /data/sales direktorijiem, ko izveidojāt iepriekš. Iepriekšējos piemēros jūs nodrošinājāt, ka pārdošanas grupai ir /data/sales atļaujas un kontu grupai ir /data/account atļaujas.

Vispirms pārliecinieties, vai kontu grupa saņem lasīšanas atļaujas direktorijā /data/sales un pārdošanas grupa saņem lasīšanas atļaujas direktorijā /data/account.

Pēc tam iestatāt noklusējuma ACL, lai pārliecinātos, ka visiem jaunajiem failiem ir iestatītas pareizās atļaujas visiem jaunajiem vienumiem.

Atveriet termināli.
Izpildīt setfacl -mg:account:rx /data/sales и setfacl -mg:sales:rx /data/konts.
Izpildīt getfacllai pārliecinātos, ka atļaujas ir iestatītas tā, kā vēlaties.
Izpildīt setfacl -md:g:account:rwx,g:sales:rx /data/saleslai iestatītu noklusējuma ACL pārdošanas direktorijam.
Pievienojiet noklusējuma ACL direktorijam /data/account, izmantojot setfacl -md:g:sales:rwx,g:account:rx /data/account.
Pārbaudiet, vai ACL iestatījumi ir spēkā, pievienojot jaunu failu mapei /data/sales. Pabeigts pieskarieties /data/sales/newfile un izpildīt getfacl /data/sales/newfile lai pārbaudītu pašreizējās atļaujas.

Noklusējuma atļauju iestatīšana ar umask

Iepriekš jūs uzzinājāt, kā strādāt ar noklusējuma ACL. Ja neizmantojat ACL, ir čaulas opcija, kas nosaka noklusējuma atļaujas, kuras saņemsit: umask (reversā maska). Šajā sadaļā jūs uzzināsit, kā mainīt noklusējuma atļaujas ar umask.

Iespējams, esat ievērojuši, ka, veidojot jaunu failu, tiek iestatītas dažas noklusējuma atļaujas. Šīs atļaujas nosaka iestatījums umask. Šis čaulas iestatījums attiecas uz visiem lietotājiem pieteikšanās laikā. Parametrā umask tiek izmantota skaitliska vērtība, kas tiek atņemta no maksimālajām atļaujām, kuras failam var automātiski iestatīt; maksimālais iestatījums failiem ir 666 un direktorijiem ir 777.

Tomēr šim noteikumam attiecas daži izņēmumi. Jūs varat atrast pilnīgu iestatījumu pārskatu umask zemāk esošajā tabulā.

No skaitļiem, kas izmantoti umask, tāpat kā komandas skaitlisko argumentu gadījumā chmod, pirmais cipars attiecas uz lietotāja atļaujām, otrais cipars attiecas uz grupas atļaujām, bet pēdējais attiecas uz noklusējuma atļaujām, kas iestatītas citiem. Nozīme umask noklusējuma 022 dod 644 visiem jaunajiem failiem un 755 visiem jaunajiem direktorijiem, kas izveidoti jūsu serverī.

Pilnīgs visu skaitlisko vērtību pārskats umask un to rezultātus tabulā zemāk.

Vienkāršs veids, kā redzēt, kā darbojas umask iestatījums, ir šāds: sāciet ar faila noklusējuma atļaujām, kas iestatītas uz 666, un atņemiet umask, lai iegūtu efektīvas atļaujas. Dariet to pašu ar direktoriju un tā noklusējuma atļaujām 777.

Ir divi veidi, kā mainīt umask iestatījumu: visiem lietotājiem un atsevišķiem lietotājiem. Ja vēlaties iestatīt umask visiem lietotājiem, jums ir jānodrošina, lai umask iestatījums tiktu ņemts vērā, startējot čaulas vides failus, kā norādīts failā /etc/profile. Pareizā pieeja ir izveidot čaulas skriptu ar nosaukumu umask.sh direktorijā /etc/profile.d un norādīt umask, kuru vēlaties izmantot šajā čaulas skriptā. Ja šajā failā tiek mainīts umask, tas tiek lietots visiem lietotājiem pēc pieteikšanās serverī.

Alternatīva umask iestatīšanai, izmantojot /etc/profile un saistītos failus, kur tas attiecas uz visiem lietotājiem, kas piesakās, ir mainīt umask iestatījumus failā ar nosaukumu .profile, kas tiek izveidots katra lietotāja mājas direktorijā.

Šajā failā lietotie iestatījumi attiecas tikai uz atsevišķu lietotāju; tāpēc šī ir laba metode, ja nepieciešama sīkāka informācija. Man personīgi patīk šī funkcija, lai mainītu root lietotāja noklusējuma umask uz 027, kamēr parastie lietotāji darbojas ar noklusējuma umask 022.

Darbs ar paplašinātiem lietotāja atribūtiem

Šī ir pēdējā sadaļa par Linux atļaujām.

Strādājot ar atļaujām, vienmēr pastāv saistība starp lietotāja vai grupas objektu un atļaujām, kas lietotāja vai grupas objektiem ir failā vai direktorijā. Alternatīva metode failu aizsardzībai Linux serverī ir darbs ar atribūtiem.
Atribūti veic savu darbu neatkarīgi no tā, vai lietotājs piekļūst failam.

Tāpat kā ACL, failu atribūtos, iespējams, būs jāiekļauj šī opcija mount.

Šī ir iespēja user_xattr. Ja, strādājot ar paplašinātajiem lietotāja atribūtiem, tiek parādīts ziņojums "darbība netiek atbalstīta", noteikti iestatiet parametru mount mapē /etc/fstab.

Daudzi atribūti ir dokumentēti. Daži atribūti ir pieejami, bet vēl nav ieviesti. Nelietojiet tos; viņi tev neko neatnesīs.

Tālāk ir norādīti visnoderīgākie atribūti, ko varat lietot:

A Šis atribūts nodrošina, ka faila piekļuves laiks failam nemainās.
Parasti katru reizi, kad tiek atvērts fails, faila piekļuves laiks ir jāieraksta faila metadatos. Tas negatīvi ietekmē veiktspēju; tātad failiem, kuriem regulāri piekļūst, atribūts A var izmantot, lai atspējotu šo funkciju.

a Šis atribūts ļauj pievienot, bet ne noņemt failu.

c Ja izmantojat failu sistēmu, kas atbalsta apjoma līmeņa saspiešanu, šis faila atribūts nodrošina, ka fails tiek saspiests pirmo reizi, kad tiek iespējots saspiešanas mehānisms.

D Šis atribūts nodrošina, ka failu izmaiņas nekavējoties tiek ierakstītas diskā, nevis vispirms tiek saglabātas kešatmiņā. Šis ir noderīgs atribūts svarīgiem datu bāzes failiem, lai nodrošinātu, ka tie nepazūd starp failu kešatmiņu un cieto disku.

d Šis atribūts nodrošina, ka fails netiks saglabāts dublējumkopijās, kurās tiek izmantota izgāztuves utilīta.

I Šis atribūts ļauj indeksēt direktoriju, kurā tas ir iespējots. Tas nodrošina ātrāku piekļuvi failiem primitīvām failu sistēmām, piemēram, Ext3, kas neizmanto B-tree datu bāzi ātrai piekļuvei failiem.

i Šis atribūts padara failu nemainīgu. Tāpēc failā nevar veikt nekādas izmaiņas, kas ir noderīgi failiem, kuriem nepieciešama papildu aizsardzība.

j Šis atribūts nodrošina, ka ext3 failu sistēmā fails vispirms tiek ierakstīts žurnālā un pēc tam datu blokos cietajā diskā.

s Pēc faila dzēšanas pārrakstiet blokus, kuros fails tika saglabāts, līdz 0. Tas nodrošina, ka failu nevar atjaunot pēc tā dzēšanas.

u Šis atribūts saglabā informāciju par dzēšanu. Tas ļauj izstrādāt utilītu, kas darbojas ar šo informāciju, lai glābtu izdzēstos failus.

Ja vēlaties lietot atribūtus, varat izmantot komandu tērzēšanas. Piemēram, izmantojiet chattr +s kāds failslai kādam failam lietotu atribūtus. Vai ir jānoņem atribūts? Pēc tam izmantojiet chattr -s kāds failsun tas tiks noņemts. Lai iegūtu pārskatu par visiem pašlaik lietotajiem atribūtiem, izmantojiet komandu lsattr.

Kopsavilkums

Šajā rakstā jūs uzzinājāt, kā strādāt ar atļaujām. Jūs lasāt par trim pamata atļaujām, papildu atļaujām un to, kā lietot ACL failu sistēmā. Jūs arī uzzinājāt, kā izmantot opciju umask, lai lietotu noklusējuma atļaujas. Šī raksta beigās jūs uzzinājāt, kā izmantot lietotāja paplašinātos atribūtus, lai lietotu papildu failu sistēmas drošības slāni.

Ja jums patika šis tulkojums, lūdzu, rakstiet par to komentāros. Būs lielāka motivācija veikt noderīgus tulkojumus.

Rakstā izlabotas dažas drukas un gramatikas kļūdas. Dažas apjomīgas rindkopas ir samazinātas mazākās, lai nodrošinātu labāku lasāmību.

Tā vietā, lai "Izpildes atļauju var lietot tikai persona, kurai ir direktorija administratīvās tiesības". labots uz "Tikai persona, kurai ir rakstīšanas atļaujas direktorijā, var pieteikties izpildes atļaujai.", kas būtu pareizāk.

Paldies par komentāriem berez.

Aizstāts:
Ja neesat lietotāja īpašnieks, apvalks pārbaudīs, vai esat grupas dalībnieks, ko sauc arī par faila grupu.

Uz:
Ja neesat faila īpašnieks, apvalks pārbaudīs, vai esat grupas dalībnieks, kam ir atļaujas failam. Ja esat šīs grupas dalībnieks, failam piekļūsit ar grupas iestatītajām atļaujām, un apvalks pārtrauks pārbaudi.

Paldies par komentāru Kriptopirāts

Avots: www.habr.com

Atļaujas operētājsistēmā Linux (chown, chmod, SUID, GUID, sticky bit, ACL, umask)