🥇Linux дээрх зөвшөөрөл (chown, chmod, SUID, GUID, наалттай бит, ACL, umask)

Сайн уу. Энэ бол RedHat RHCSA RHCE 7 RedHat Enterprise Linux 7 EX200 болон EX300 номын нийтлэлийн орчуулга юм.

Түлхэх: Нийтлэл нь зөвхөн эхлэгчдэд хэрэг болохоос гадна илүү туршлагатай администраторуудад мэдлэгээ сайжруулахад тусална гэж найдаж байна.

Тэгэхээр явцгаая.

Линукс дээрх файлуудад хандахын тулд зөвшөөрлийг ашигладаг. Эдгээр зөвшөөрлийг файл эзэмшигч, бүлгийн эзэмшигч болон өөр объект (өөрөөр хэлбэл бусад бүх хүмүүс) гэсэн гурван объектод хуваарилдаг. Энэ нийтлэлээс та зөвшөөрлийг хэрхэн ашиглах талаар сурах болно.

Энэ нийтлэл нь үндсэн ойлголтуудын тоймоор эхэлж, дараа нь Тусгай зөвшөөрөл ба Хандалтын Хяналтын Жагсаалт (ACLs)-ийн тухай хэлэлцэнэ. Энэ нийтлэлийн төгсгөлд бид umask-ээр дамжуулан анхдагч зөвшөөрлийг тохируулах, мөн өргөтгөсөн хэрэглэгчийн шинж чанаруудыг удирдах талаар авч үзэх болно.

Файл эзэмшигчийн удирдлага

Зөвшөөрлийн талаар ярихаасаа өмнө файл болон лавлах эзэмшигчийн үүргийг мэдэж байх ёстой. Зөвшөөрөлтэй ажиллахад файлууд болон лавлахуудыг эзэмших нь амин чухал юм. Энэ хэсэгт та эхлээд эзэмшигчийг хэрхэн харж болохыг олж мэдэх болно. Дараа нь та файл, лавлахын бүлгийн эзэмшигч болон хэрэглэгчийг хэрхэн өөрчлөх талаар сурах болно.

Файл эсвэл лавлах эзэмшигчийг харуулж байна

Линукс дээр файл, лавлах бүр хоёр эзэмшигчтэй байдаг: хэрэглэгч болон групп эзэмшигч.

Файл эсвэл лавлах үүсгэх үед эдгээр эзэмшигчийг тохируулдаг. Файлыг үүсгэсэн хэрэглэгч тухайн файлын эзэмшигч болох ба тухайн хэрэглэгчийн харьяалагддаг үндсэн бүлэг нь мөн тухайн файлын эзэмшигч болно. Хэрэглэгчийн хувьд та файл эсвэл лавлахад хандах зөвшөөрөлтэй эсэхийг тодорхойлохын тулд бүрхүүл өмчлөлийг шалгана.

Энэ нь дараах дарааллаар явагдана.

Бүрхүүл нь таныг хандахыг хүссэн файлын эзэмшигч мөн эсэхийг шалгадаг. Хэрэв та эзэмшигч бол зөвшөөрөл авч, бүрхүүл шалгахаа болино.
Хэрэв та файлын эзэмшигч биш бол бүрхүүл таныг тухайн файлын зөвшөөрөлтэй бүлгийн гишүүн эсэхийг шалгах болно. Хэрэв та энэ бүлгийн гишүүн бол тухайн бүлгийн тогтоосон зөвшөөрлөөр файлд хандах бөгөөд бүрхүүл шалгахаа болино.
Хэрэв та хэрэглэгч эсвэл бүлгийн эзэмшигч биш бол бусад хэрэглэгчдийн эрхийг танд олгоно (Бусад).

Одоогийн эзэмшигчийн даалгаврыг харахын тулд та тушаалыг ашиглаж болно л -л. Энэ тушаал нь тухайн бүлгийн хэрэглэгч болон эзэмшигчийг харуулдаг. Доор та /home лавлах директоруудын эзэмшигчийн тохиргоог харж болно.

[root@server1 home]# ls -l
total 8
drwx------. 3  bob            bob            74     Feb   6   10:13 bob
drwx------. 3  caroline       caroline       74     Feb   6   10:13 caroline
drwx------. 3  fozia          fozia          74     Feb   6   10:13 fozia
drwx------. 3  lara           lara           74     Feb   6   10:13 lara
drwx------. 5  lisa           lisa           4096   Feb   6   10:12 lisa
drwx------. 14 user           user           4096   Feb   5   10:35 user

тушаалаар ls та өгөгдсөн директор доторх файлын эзэмшигчийг харуулах боломжтой. Заримдаа энэ нь тухайн хэрэглэгч эсвэл бүлэг эзэмшигчтэй систем дээрх бүх файлын жагсаалтыг авах нь ашигтай байж болох юм. Үүний тулд та ашиглаж болно олох. Аргумент хэрэглэгч олох энэ зорилгоор ашиглаж болно. Жишээлбэл, дараах тушаал нь linda хэрэглэгчийн эзэмшдэг бүх файлуудыг жагсаав.

find / -user linda

Та бас ашиглаж болно олох тодорхой бүлэг эзэмшигчтэй файлуудыг хайх.

Жишээлбэл, дараах тушаал нь бүлэгт хамаарах бүх файлыг хайдаг хэрэглэгчид:

find / -group users

Эзэмшигчийн өөрчлөлт

Тохирох зөвшөөрлийг ашиглахын тулд хамгийн түрүүнд анхаарах зүйл бол өмчлөх явдал юм. Үүний тулд тушаал байдаг чагнасан. Энэ тушаалын синтаксийг ойлгоход хялбар:

chown кто что

Жишээлбэл, дараах тушаал нь /home/account лавлахын эзэмшигчийг хэрэглэгч linda болгон өөрчилнө:

chown linda /home/account

баг чагнасан хэд хэдэн сонголттой бөгөөд тэдгээрийн нэг нь ялангуяа ашигтай: -R. Энэ сонголт нь бусад олон командуудад бас боломжтой тул та юу хийдгийг таах боломжтой. Энэ нь эзэмшигчийг рекурсиваар тохируулах боломжийг олгодог бөгөөд энэ нь одоогийн лавлах болон доор байгаа бүх зүйлийн эзэмшигчийг тохируулах боломжийг олгодог. Дараах тушаал нь /home лавлах болон түүний доорх бүх зүйлийн өмчлөлийг linda хэрэглэгч болгон өөрчилнө:

Одоо эзэд нь дараах байдалтай байна.

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 account account 62 Sep 25 21:41 account
drwx------. 2 lisa    lisa    62 Sep 25 21:42 lisa

Хийцгээе:

[root@localhost ~]# chown -R lisa /home/account
[root@localhost ~]#

Одоо Лиза хэрэглэгч дансны лавлах эзэмшигч болжээ.

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 lisa account 62 Sep 25 21:41 account
drwx------. 2 lisa lisa    62 Sep 25 21:42 lisa

Бүлгийн эзэмшигчийг өөрчлөх

Бүлгийн өмчлөлийг өөрчлөх хоёр арга бий. Та үүнийг ашиглан хийж болно чагнасан, гэхдээ нэртэй тусгай тушаал байдаг chgrpэнэ нь ажлаа хийдэг. Хэрэв та тушаалыг ашиглахыг хүсвэл чагнасан, ашиглах . буюу : бүлгийн нэрний өмнө.

Дараах тушаал нь /home/account бүлгийн эзэмшигчийг дансны бүлэг болгон өөрчилнө:

chown .account /home/account

ашиглаж болно чагнасан хэрэглэгчийн болон/эсвэл бүлгийн эзэмшигчийг хэд хэдэн аргаар өөрчлөх. Энд зарим жишээ байна:

chown lisa myfile1 Lisa хэрэглэгчийг myfile1-ийн эзэмшигчээр тохируулдаг.
chown lisa.sales myfile Lisa хэрэглэгчийг myfile файлын эзэмшигчээр тохируулахаас гадна борлуулалтын бүлгийг ижил файлын эзэмшигчээр тохируулдаг.
chown lisa: борлуулалтын миний файл өмнөх тушаалтай адил.
chown .sales myfile хэрэглэгчийн эзэмшигчийг өөрчлөхгүйгээр борлуулалтын бүлгийг myfile-ийн эзэмшигчээр тохируулдаг.
chown: борлуулалтын миний файл өмнөх тушаалтай адил.

Та тушаалыг ашиглаж болно chgrpбүлгийн эзэмшигчийг өөрчлөх. Та ашиглаж болох дараах жишээг авч үзье chgrp дансны лавлах эзэмшигчийг борлуулалтын бүлэгт тохируулах:

chgrp .sales /home/account

Шиг чагнасан, та сонголтыг ашиглаж болно -R с chgrp, түүнчлэн бүлгийн эзэмшигчийг рекурсиваар өөрчлөх.

Өгөгдмөл эзэмшигчийг ойлгох

Хэрэглэгч файл үүсгэх үед өгөгдмөл эзэмшигчийн эрхийг хэрэгжүүлдэг болохыг та анзаарсан байх.
Файлыг үүсгэсэн хэрэглэгч автоматаар тухайн файлын эзэмшигч болох ба тухайн хэрэглэгчийн үндсэн бүлэг автоматаар тухайн файлын эзэмшигч болно. Энэ нь ихэвчлэн /etc/passwd файлд хэрэглэгчийн үндсэн бүлэгт бичигдсэн бүлэг юм. Гэсэн хэдий ч хэрэв хэрэглэгч нэгээс олон бүлгийн гишүүн бол хэрэглэгч үр дүнтэй үндсэн бүлгийг өөрчлөх боломжтой.

Одоогийн үр дүнтэй үндсэн бүлгийг харуулахын тулд хэрэглэгч тушаалыг ашиглаж болно бүлэг:

[root@server1 ~]# groups lisa
lisa : lisa account sales

Хэрэв одоогийн Линда хэрэглэгч үр дүнтэй үндсэн бүлгийг өөрчлөхийг хүсвэл тэр тушаалыг ашиглана newgrpараас нь шинэ үр дүнтэй анхдагч бүлэг болгохыг хүсэж буй бүлгийнхээ нэрийг бичнэ. Командыг ашигласны дараа newgrp хэрэглэгч тушаал оруулах хүртэл үндсэн бүлэг идэвхтэй байх болно гарах эсвэл гарахгүй.

Линда хэрэглэгч энэ командыг хэрхэн ашиглаж, борлуулалтыг үндсэн бүлэг болгон ашиглаж байгааг доор харуулав.

lisa@server1 ~]$ groups
lisa account sales
[lisa@server1 ~]$ newgrp sales
[lisa@server1 ~]$ groups
sales lisa account
[lisa@server1 ~]$ touch file1
[lisa@server1 ~]$ ls -l
total 0
-rw-r--r--. 1 lisa sales 0 Feb 6 10:06 file1

Үр дүнтэй үндсэн бүлгийг өөрчилсний дараа хэрэглэгчийн үүсгэсэн бүх шинэ файлууд тухайн бүлгийг бүлгийн эзэмшигч байх болно. Анхны бүлгийн тохиргоо руу буцахын тулд дараахыг ашиглана уу. гарах.

Командыг ашиглах боломжтой байх newgrp, хэрэглэгч нь үндсэн бүлэг болгон ашиглахыг хүсэж буй бүлгийн гишүүн байх ёстой. Үүнээс гадна бүлгийн нууц үгийг командыг ашиглан бүлэгт ашиглаж болно gpasswd. Хэрэв хэрэглэгч тушаалыг ашигладаг бол newgrpгэхдээ зорилтот бүлгийн гишүүн биш бол бүрхүүл нь бүлгийн нууц үгийг асуух болно. Бүлгийн нууц үгийг зөв оруулсны дараа шинэ үр дүнтэй үндсэн бүлэг байгуулагдах болно.

Үндсэн эрхийн менежмент

Линуксийн зөвшөөрлийн системийг 1970-аад онд зохион бүтээсэн. Тухайн жилүүдэд тооцоолох хэрэгцээ хязгаарлагдмал байсан тул үндсэн зөвшөөрлийн систем нэлээд хязгаарлагдмал байв. Энэхүү зөвшөөрлийн систем нь файл, лавлахад хэрэглэгдэх гурван зөвшөөрлийг ашигладаг. Энэ хэсэгт та эдгээр зөвшөөрлийг хэрхэн ашиглах, өөрчлөх талаар сурах болно.

Унших, бичих, гүйцэтгэх зөвшөөрлийн тухай ойлголт

Гурван үндсэн зөвшөөрөл нь файлуудыг унших, бичих, ажиллуулах боломжийг олгодог. Эдгээр зөвшөөрлийн үр нөлөө нь файл эсвэл лавлахад хэрэглэгдэх үед өөр өөр байдаг. Файлын хувьд унших зөвшөөрөл нь файлыг уншихаар нээх эрхийг танд олгоно. Тиймээс та түүний агуулгыг уншиж болно, гэхдээ энэ нь таны компьютер файлыг нээж, түүгээр ямар нэг зүйл хийх боломжтой гэсэн үг юм.

Номын санд хандах шаардлагатай програмын файл нь тухайн номын санд унших эрхтэй байх ёстой. Үүнээс үзэхэд унших зөвшөөрөл нь файлуудтай ажиллахад шаардлагатай хамгийн энгийн зөвшөөрөл юм.

Лавлахад хэрэглэх үед унших нь тухайн лавлахын агуулгыг харуулах боломжийг олгоно. Энэ зөвшөөрөл нь директор доторх файлуудыг уншихыг зөвшөөрөхгүй гэдгийг та мэдэж байх ёстой. Линуксийн зөвшөөрлийн систем нь өв залгамжлалыг мэддэггүй бөгөөд файлыг унших цорын ганц арга бол тухайн файл дээр унших зөвшөөрлийг ашиглах явдал юм.

Таны таамаглаж байгаачлан бичих зөвшөөрөл, хэрэв файлд хэрэглэвэл файл руу бичихийг зөвшөөрдөг. Өөрөөр хэлбэл, энэ нь одоо байгаа файлуудын агуулгыг өөрчлөх боломжийг олгодог. Гэхдээ энэ нь танд шинэ файл үүсгэх, устгах, файлын зөвшөөрлийг өөрчлөхийг зөвшөөрөхгүй. Үүнийг хийхийн тулд та файл үүсгэхийг хүссэн директор руугаа бичих зөвшөөрөл өгөх хэрэгтэй. Лавлах сангуудад энэ зөвшөөрөл нь шинэ дэд санг үүсгэх, устгах боломжийг танд олгоно.

Гүйцэтгэх зөвшөөрөл нь файлыг ажиллуулахад шаардлагатай зүйл юм. Энэ нь анхдагчаар хэзээ ч суулгахгүй бөгөөд энэ нь Линуксыг вирусээс бараг бүрэн хамгаалдаг. Зөвхөн директор дээр бичих зөвшөөрөлтэй хүн л гүйцэтгэх зөвшөөрлийг ашиглах боломжтой.

Үндсэн зөвшөөрлийн ашиглалтыг дараах байдлаар нэгтгэн харуулав.

chmod ашиглаж байна

Энэ тушаалыг зөвшөөрлийг удирдахад ашигладаг. Chmod... Ашиглаж байна Chmod та хэрэглэгч (хэрэглэгч), бүлэг (бүлэг) болон бусад (бусад) зөвшөөрлийг тохируулах боломжтой. Та энэ командыг харьцангуй горим ба үнэмлэхүй горим гэсэн хоёр горимд ашиглаж болно. Үнэмлэхүй горимд үндсэн зөвшөөрлийг тохируулахын тулд гурван цифрийг ашигладаг.

Зөвшөөрлийг тохируулахдаа шаардлагатай утгыг тооцоол. Хэрэв та /somefile дотор хэрэглэгчдэд унших/бичих/гүйцэтгэх, бүлэгт унших/гүйцэтгэх, бусдад унших/гүйцэтгэхийг тохируулахыг хүсвэл дараах командыг ашиглана. Chmod:

chmod 755 /somefile

Ашиглахдаа Chmod ийм байдлаар одоогийн бүх зөвшөөрлүүд таны тохируулсан зөвшөөрлүүдээр солигдоно.

Хэрэв та одоогийн зөвшөөрлүүдтэй харьцуулахад зөвшөөрлийг өөрчлөхийг хүсвэл ашиглаж болно Chmod харьцангуй горимд. Ашиглаж байна Chmod Харьцангуй горимд та юу хийхийг хүсч байгаагаа харуулах гурван үзүүлэлттэй ажилладаг:

Эхлээд та хэний зөвшөөрлийг өөрчлөхийг хүсч байгаагаа зааж өгнө үү. Үүнийг хийхийн тулд та хэрэглэгчийн хооронд сонголт хийх боломжтой (u), бүлэг (g) мөн бусад (o).
Дараа нь та одоогийн горимд зөвшөөрөл нэмэх, хасах эсвэл тэдгээрийг бүрэн тохируулахын тулд мэдэгдлийг ашиглана.
Эцсийн эцэст та ашигладаг r, w и xямар зөвшөөрлийг тохируулахыг хүсч байгаагаа зааж өгөх.

Харьцангуй горимд зөвшөөрлийг өөрчлөхдөө бүх объектын зөвшөөрлийг нэмэх эсвэл хасахын тулд "to" хэсгийг алгасаж болно. Жишээлбэл, энэ тушаал нь бүх хэрэглэгчдэд гүйцэтгэх зөвшөөрлийг нэмдэг:

chmod +x somefile

Харьцангуй горимд ажиллахдаа илүү төвөгтэй командуудыг ашиглаж болно. Жишээлбэл, энэ тушаал нь бүлэгт бичих зөвшөөрлийг нэмж, бусад хүмүүсийн унших зөвшөөрлийг устгана:

chmod g+w,o-r somefile

Хэрэглэхдээ chmod -R o+rx /өгөгдөл Та /өгөгдлийн сан дахь бүх лавлах болон файлуудад гүйцэтгэх зөвшөөрлийг тохируулна. Гүйцэтгэх зөвшөөрлийг файлд бус зөвхөн директоруудад тохируулахын тулд ашиглана уу chmod -R o+ rX /өгөгдөл.

Том үсгээр X нь файл нь зарим объектын гүйцэтгэх зөвшөөрлийг аль хэдийн тохируулаагүй бол файлуудыг гүйцэтгэх зөвшөөрөл авахгүй байхыг баталгаажуулдаг. Энэ нь X-г гүйцэтгэх зөвшөөрлийг шийдвэрлэх илүү ухаалаг арга болгодог; Энэ нь шаардлагагүй файлуудад энэ зөвшөөрлийг тохируулахаас зайлсхийх болно.

Өргөтгөсөн эрх

Таны дөнгөж сая уншсан үндсэн зөвшөөрлүүдээс гадна Линукс нь олон тооны нэмэлт зөвшөөрлүүдтэй. Эдгээр нь таны өгөгдмөл байдлаар тохируулсан зөвшөөрөл биш боловч заримдаа ашигтай нэмэлтийг өгдөг. Энэ хэсэгт та тэдгээр нь юу болох, тэдгээрийг хэрхэн тохируулах талаар сурах болно.

SUID, GUID болон наалттай битийн өргөтгөсөн зөвшөөрлийг ойлгох

Гурван дэвшилтэт зөвшөөрөл байдаг. Эдгээрийн эхнийх нь хэрэглэгчийн танигч (SUID) тохируулах зөвшөөрөл юм. Зарим онцгой тохиолдолд та энэ зөвшөөрлийг гүйцэтгэх боломжтой файлуудад хэрэглэж болно. Анхдагч байдлаар, гүйцэтгэгдэх файлыг ажиллуулдаг хэрэглэгч тухайн файлыг өөрийн зөвшөөрлөөр ажиллуулдаг.

Энгийн хэрэглэгчдийн хувьд энэ нь ихэвчлэн програмын хэрэглээ хязгаарлагдмал гэсэн үг юм. Гэсэн хэдий ч зарим тохиолдолд хэрэглэгч зөвхөн тодорхой ажлыг гүйцэтгэхийн тулд тусгай зөвшөөрөл авах шаардлагатай байдаг.

Жишээлбэл, хэрэглэгч нууц үгээ солих шаардлагатай нөхцөл байдлыг авч үзье. Үүний тулд хэрэглэгч /etc/shadow файлд шинэ нууц үгээ бичих ёстой. Гэсэн хэдий ч, энэ файлыг root бус хэрэглэгчид бичих боломжгүй:

root@hnl ~]# ls -l /etc/shadow
----------. 1 root root 1184 Apr 30 16:54 /etc/shadow

SUID зөвшөөрөл нь энэ асуудлыг шийдэх шийдлийг санал болгодог. /usr/bin/passwd хэрэгсэл нь энэ зөвшөөрлийг анхдагчаар ашигладаг. Энэ нь нууц үгээ солих үед хэрэглэгч түр хугацаанд root болж, /etc/shadow файл руу бичих боломжтой гэсэн үг юм. Та SUID зөвшөөрлийг харах боломжтой л -л хэрхэн s ердийн үед харахыг хүлээж байсан байрлалд x тусгай зөвшөөрлийн хувьд:

[root@hnl ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 32680 Jan 28 2010 /usr/bin/passwd

SUID зөвшөөрөл нь ашигтай (зарим тохиолдолд тийм) мэт санагдаж болох ч тэр үед аюултай байж болзошгүй. Хэрэв зөв ашиглаагүй бол та санамсаргүйгээр root зөвшөөрлийг өгөх боломжтой. Тиймээс би үүнийг зөвхөн маш болгоомжтой ашиглахыг зөвлөж байна.

Ихэнх администраторууд үүнийг хэзээ ч ашиглах шаардлагагүй болно; Та үүнийг үйлдлийн систем анхдагчаар тохируулах ёстой зарим файлд л харах болно.

Хоёрдахь тусгай зөвшөөрөл бол бүлгийн танигч (SGID) юм. Энэ зөвшөөрөл нь хоёр нөлөөтэй. Гүйцэтгэх боломжтой файлд хэрэглэх үед энэ нь файлыг ажиллуулж буй хэрэглэгчдэд тухайн файлын бүлгийн эзэмшигчийн зөвшөөрлийг олгоно. Тиймээс SGID нь SUID-тэй ижил зүйлийг хийж чадна. Гэсэн хэдий ч SGID-ийг энэ зорилгоор бараг ашигладаггүй.

SUID зөвшөөрлийн нэгэн адил SGID-г зарим системийн файлуудад өгөгдмөл тохиргоо болгон ашигладаг.

Лавлахад ашиглах үед SGID нь ашигтай байж болно, учир нь та үүнийг ашиглан тухайн директор дотор үүсгэсэн файлууд болон дэд директоруудын өгөгдмөл бүлгийн эзэмшигчийг тохируулах боломжтой. Анхдагч байдлаар, хэрэглэгч файл үүсгэх үед тэдгээрийн үр дүнтэй үндсэн бүлгийг тухайн файлын бүлгийн эзэмшигчээр тохируулдаг.

Ялангуяа Red Hat/CentOS-ийн хэрэглэгчид үндсэн бүлгээ хэрэглэгчтэй ижил нэртэй бүлэгт тохируулж, хэрэглэгч нь цорын ганц гишүүн байдаг тул энэ нь тийм ч ашигтай байдаггүй. Тиймээс анхдагчаар хэрэглэгчийн үүсгэсэн файлуудыг бөөнөөр нь хуваалцах болно.

Хэрэглэгч Линда, Лори нар нягтлан бодох бүртгэлийн чиглэлээр ажилладаг бөгөөд бүлгийн гишүүд байдаг нөхцөл байдлыг төсөөлөөд үз дээ данс. Өгөгдмөл байдлаар, эдгээр хэрэглэгчид нь зөвхөн гишүүн байдаг хувийн бүлгийн гишүүд юм. Гэсэн хэдий ч хэрэглэгчид хоёулаа дансны бүлгийн гишүүд боловч хоёрдогч бүлгийн параметр юм.

Өгөгдмөл нөхцөл нь эдгээр хэрэглэгчдийн аль нэг нь файл үүсгэх үед үндсэн бүлэг нь эзэмшигч болдог. Тиймээс, анхдагч байдлаар, linda нь lori-ийн үүсгэсэн файлуудад хандах боломжгүй ба эсрэгээр. Гэсэн хэдий ч, хэрэв та хуваалцсан бүлгийн лавлах (/groups/account гэж хэлье) үүсгээд, SGID зөвшөөрлийг тухайн директорт хэрэглэж, бүлгийн бүртгэлийг тухайн лавлахын бүлгийн эзэмшигчээр тохируулсан эсэхийг шалгавал тухайн директорт үүсгэсэн бүх файлууд болон дэд лавлахаас өгөгдмөлөөр бүлгийн эзэмшигчийн хувьд бүлгийн бүртгэлийг авна уу.

Ийм учраас SGID зөвшөөрөл нь нийтийн бүлгийн лавлахууд дээр тохируулахад маш хэрэгтэй зөвшөөрөл юм.

SGID зөвшөөрлийг гаралт дээр харуулав л -л хэрхэн s Та бүлгийг гүйцэтгэх зөвшөөрлийг ихэвчлэн олж авдаг байрлалд:

[root@hnl data]# ls -ld account
drwxr-sr-x. 2 root account 4096 Apr 30 21:28 account

Тусгай зөвшөөрлийн гурав дахь нь наалдамхай бит юм. Энэ зөвшөөрөл нь нэг директор руу олон хэрэглэгч бичих эрхтэй орчинд файлуудыг санамсаргүйгээр устгахаас хамгаалахад хэрэгтэй. Хэрэв наалттай бит ашигласан бол тухайн файлыг агуулсан файл эсвэл директорийн эзэмшигч нь хэрэглэгч зөвхөн тухайн файлыг устгах боломжтой. Ийм учраас үүнийг /tmp лавлахын өгөгдмөл зөвшөөрөл болгон ашигладаг бөгөөд нийтийн бүлгийн лавлахуудад ч хэрэг болно.

Наалдамхай битгүйгээр хэрэглэгч директор дотор файл үүсгэж чадвал тэр лавлахаас файл устгах боломжтой. Олон нийтийн бүлгийн орчинд энэ нь ядаргаатай байж болно. Линда, Лори хоёр /data/account санд бичих зөвшөөрөлтэй бөгөөд дансны бүлгийн гишүүн болсноор эдгээр зөвшөөрлийг авна гэж төсөөлөөд үз дээ. Тиймээс, linda нь lori-ийн үүсгэсэн файлуудыг устгах боломжтой ба эсрэгээр.

Таныг наалдамхай бит хэрэглэх үед хэрэглэгч зөвхөн дараах нөхцлүүдийн аль нэг нь үнэн бол файлуудыг устгах боломжтой.

Хэрэглэгч нь файлын эзэмшигч;
Хэрэглэгч нь тухайн файл байгаа директорийн эзэмшигч юм.

Хэрэглэхдээ л -л, та наалдамхай битийг харж болно t бусдад гүйцэтгэх зөвшөөрлийг ихэвчлэн хардаг байрлалд:

[root@hnl data]# ls -ld account/
drwxr-sr-t. 2 root account 4096 Apr 30 21:28 account/

Өргөтгөсөн эрх хэрэглэх

SUID, SGID болон наалдамхай битийг хэрэглэхийн тулд та бас ашиглаж болно Chmod. SUID нь 4 тоон утгатай, SGID нь 2 тоон утгатай, наалдамхай бит нь 1 гэсэн тоон утгатай байна.

Хэрэв та эдгээр зөвшөөрлийг ашиглахыг хүсвэл дөрвөн оронтой аргумент нэмэх хэрэгтэй Chmod, эхний цифр нь тусгай зөвшөөрлийг илэрхийлнэ. Жишээлбэл, дараах мөр нь санд SGID зөвшөөрлийг нэмж, хэрэглэгчдэд rwx, бүлэг болон бусад хүмүүст rx-г тохируулах болно:

chmod 2755 /somedir

Хэрэв та ажиллахын өмнө тохируулсан одоогийн зөвшөөрлийг харах шаардлагатай бол энэ нь тийм ч боломжгүй юм Chmod үнэмлэхүй горимд. (Үгүй бол та зөвшөөрлийг дарж бичих эрсдэлтэй.) Тиймээс хэрэв та тусгай зөвшөөрлүүдийн аль нэгийг ашиглах шаардлагатай бол харьцангуй горимд ажиллахыг зөвлөж байна:

SUID-д зориулагдсан chmod u+s.
SGID ашиглахад зориулагдсан chmod g+s.
Наалдамхай хэсэг хэрэглэхэд зориулагдсан chmod + t, дараа нь зөвшөөрлийг тохируулахыг хүсэж буй файл эсвэл директорийн нэрийг оруулна.

Тус хүснэгтэд тусгай зөвшөөрлийг удирдах талаар мэдэх шаардлагатай бүх зүйлийг нэгтгэн харуулав.

Тусгай эрхтэйгээр ажиллах жишээ

Энэ жишээнд та бүлгийн гишүүдэд хуваалцсан группын лавлах доторх файлуудыг хуваалцахад хялбар болгохын тулд тусгай зөвшөөрлийг ашигладаг. Та ID битийг тогтоосон бүлгийн ID болон наалдамхай битэд оноож өгөх бөгөөд тэдгээрийг тохируулсны дараа бүлгийн гишүүд хамтран ажиллахад хялбар болгох үүднээс функцууд нэмэгддэг болохыг та харж байна.

Линда хэрэглэгч болсон терминалыг нээнэ үү. Та тушаалаар хэрэглэгч үүсгэж болно хэрэглэгч Линда нэмсэн, нууц үг нэмнэ үү Линдаг дамжуулсан.
Уг тушаалд /data лавлах болон /data/sales дэд директорийг үүсгэнэ mkdir -p / өгөгдөл / борлуулалт. Бүрэн cd /өгөгдөл/борлуулалтборлуулалтын лавлах руу очих. Бүрэн Линда1-д хүр и Линда2-д хүрЛиндагийн эзэмшдэг хоёр хоосон файл үүсгэх.
Гүйцэтгэх су-лиса одоогийн хэрэглэгчийг борлуулалтын бүлгийн гишүүн хэрэглэгч lisa руу шилжүүлэх.
Гүйцэтгэх cd /өгөгдөл/борлуулалт мөн тэр лавлахаас ажиллуулна л -л. Та linda хэрэглэгчийн үүсгэсэн, linda бүлэгт хамаарах хоёр файлыг харах болно. Бүрэн rm -f линда*. Энэ нь хоёр файлыг устгах болно.
Гүйцэтгэх lisa1-д хүрнэ үү и lisa2-д хүрнэ үүlisa хэрэглэгчийн эзэмшдэг хоёр файл үүсгэх.
Гүйцэтгэх су- root эрхээ дээшлүүлэхийн тулд.
Гүйцэтгэх chmod g+s,o+t /өгөгдөл/борлуулалтбүлгийн танигч (GUID) болон хуваалцсан группын лавлах дахь наалттай битийг тохируулах.
Гүйцэтгэх су-линда. Дараа нь хий Линда3-д хүр и Линда4-д хүр. Таны үүсгэсэн хоёр файлыг /data/sales лавлахын бүлгийн эзэмшигч болох борлуулалтын бүлэг эзэмшдэг болохыг та одоо харах ёстой.
Гүйцэтгэх rm -rf lisa*. Наалдамхай бит нь эдгээр файлыг linda хэрэглэгчийн нэрийн өмнөөс устгахаас сэргийлдэг, учир нь та эдгээр файлын эзэмшигч биш юм. Линда хэрэглэгч нь /өгөгдөл/борлуулалтын лавлахын эзэмшигч бол ямар ч байсан эдгээр файлыг устгах боломжтой гэдгийг анхаарна уу!

Линукс дээрх ACL менежмент (setfacl, getfacl).

Хэдийгээр дээр дурдсан өргөтгөсөн зөвшөөрлүүд нь Линукс нь зөвшөөрлийг зохицуулах аргад ашигтай функцийг нэмж өгдөг ч энэ нь танд нэг файл дахь нэгээс олон хэрэглэгч эсвэл бүлэгт зөвшөөрөл олгохыг зөвшөөрдөггүй.

Хандалтын хяналтын жагсаалт нь энэ боломжийг санал болгодог. Нэмж дурдахад тэдгээр нь администраторуудад анхдагч зөвшөөрлийг нарийн төвөгтэй байдлаар тохируулах боломжийг олгодог бөгөөд үүнд тохируулсан зөвшөөрөл нь лавлахаас өөр өөр байж болно.

ACL-ийн тухай ойлголт

Хэдийгээр ACL дэд систем нь таны серверт гайхалтай функцийг нэмж өгдөг ч энэ нь нэг сул талтай: бүх хэрэгслүүд үүнийг дэмждэггүй. Тиймээс та файл хуулах, зөөх үед ACL тохиргоогоо алдаж болзошгүй бөгөөд нөөцлөх программ хангамж нь таны ACL тохиргоог нөөцөлж чадахгүй байж болзошгүй.

Tar хэрэгсэл нь ACL-ийг дэмждэггүй. Нөөцлөлт үүсгэх үед ACL тохиргоо алдагдахгүй байгаа эсэхийг шалгахын тулд ашиглана уу од давирхайн оронд. од tar-тай ижил сонголттой ажилладаг; Энэ нь зүгээр л ACL тохиргооны дэмжлэгийг нэмдэг.

Та мөн ACL-ийг ашиглан нөөцлөх боломжтой getfacl, үүнийг setfacl командыг ашиглан сэргээж болно. Нөөцлөлт үүсгэхийн тулд ашиглана уу getfacl -R / директор > file.acls. Нөөц файлаас тохиргоог сэргээхийн тулд ашиглана уу setfacl --restore=file.acl.

Зарим хэрэгсэлд дэмжлэг үзүүлэхгүй байх нь асуудал биш байх ёстой. ACL-ийг ихэвчлэн тусдаа файлд бус бүтцийн хэмжүүр болгон сангуудад ашигладаг.
Тиймээс тэдгээр нь олон биш, харин цөөхөн хэд нь файлын системийн ухаалаг газруудад хэрэглэгдэх болно. Тиймээс, таны ажиллаж байсан анхны ACL-ийг сэргээх нь таны нөөц програм хангамж дэмждэггүй байсан ч харьцангуй хялбар байдаг.

ACL-д зориулсан файлын системийг бэлтгэж байна

Та ACL-тэй ажиллаж эхлэхээсээ өмнө файлын системээ ACL-ийг дэмжихэд бэлтгэх хэрэгтэй. Файлын системийн мета өгөгдлийг өргөтгөх шаардлагатай байдаг тул файлын систем дэх ACL-ийн үндсэн дэмжлэг үргэлж байдаггүй. Хэрэв та файлын системд ACL-г тохируулах үед "үйл ажиллагаа дэмжигдээгүй" гэсэн мессежийг хүлээн авбал таны файлын систем ACL-ийг дэмжихгүй байж магадгүй.

Үүнийг засахын тулд та сонголтыг нэмэх хэрэгтэй acl холбох /etc/fstab доторх файлын систем нь анхдагчаар ACL дэмжлэгтэйгээр холбогдсон байна.

Setfacl болон getfacl ашиглан ACL тохиргоог өөрчлөх, үзэх

ACL тохируулахын тулд танд тушаал хэрэгтэй setfacl. Одоогийн ACL тохиргоог харахын тулд танд хэрэгтэй getfacl. Баг л -л одоо байгаа ACL-г харуулдаггүй; Энэ нь зөвхөн зөвшөөрлийн жагсаалтын дараа + тэмдэгтийг харуулах бөгөөд энэ нь ACL-ууд файлд мөн хамааралтай болохыг харуулж байна.

ACL-ийг тохируулахын өмнө одоогийн ACL тохиргоог харуулах нь зүйтэй getfacl. Доорх жишээн дээр үзүүлсэн шиг одоогийн зөвшөөрлийг харж болно л -л, мөн түүнчлэн харуулсан шиг getfacl. Хэрэв та хангалттай сайн ажиглавал харуулсан мэдээлэл яг адилхан байгааг харах болно.

[root@server1 /]# ls -ld /dir
drwxr-xr-x. 2 root root 6 Feb 6 11:28 /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

Тушаалыг гүйцэтгэсний үр дүнд getfacl доороос хэрэглэгч, бүлэг болон бусад гурван өөр объектын зөвшөөрлийг харуулж байгааг харж болно. Одоо борлуулалтын бүлэгт унших, гүйцэтгэх зөвшөөрлийг өгөхийн тулд ACL нэмье. Үүний тулд тушаал setfacl -mg: борлуулалт: rx /дир. Энэ багт -m одоогийн ACL тохиргоог өөрчлөх шаардлагатайг харуулж байна. Үүний дараа g:борлуулалт:rx Унших-гүйцэтгэх ACL-г тохируулах командыг хэлдэг (rx) бүлгийн хувьд (g) борлуулалт. Доороос та тушаал ямар харагдахыг, мөн одоогийн ACL тохиргоог өөрчилсний дараа getfacl командын гаралтыг харж болно.

[root@server1 /]# setfacl -m g:sales:rx /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
group:sales:r-x
mask::r-x
other::r-x

Одоо та бүлгийн ACL-ийг хэрхэн тохируулахыг ойлгосон тул хэрэглэгчид болон бусад хэрэглэгчдэд зориулсан ACL-ийг ойлгоход хялбар боллоо. Жишээлбэл, тушаал setfacl -mu:linda:rwx / өгөгдөл linda хэрэглэгчийг эзэмшигч болгох эсвэл одоогийн эзэмшигчийн даалгаврыг өөрчлөхгүйгээр /өгөгдлийн санд зөвшөөрөл өгдөг.

баг setfacl олон онцлог, сонголттой. Нэг сонголт нь ялангуяа чухал, параметр юм -R. Хэрэв ашигласан бол энэ сонголт нь таны ACL-г тохируулсан директор дотор байгаа бүх файл болон дэд директоруудын ACL тохиргоог хийнэ. Одоо байгаа лавлахуудын ACL-г өөрчлөхдөө энэ сонголтыг үргэлж ашиглахыг зөвлөж байна.

Өгөгдмөл ACL-тэй ажиллах

ACL ашиглахын нэг давуу тал нь лавлах дахь олон хэрэглэгч эсвэл бүлэгт зөвшөөрөл олгох явдал юм. Өөр нэг давуу тал нь та өгөгдмөл ACL-тэй ажиллах замаар өв залгамжлалыг идэвхжүүлж болно.

Өгөгдмөл ACL-ийг тохируулснаар та лавлахад үүсгэсэн бүх шинэ зүйлд тохируулагдах зөвшөөрлийг тодорхойлно. Анхдагч ACL нь одоо байгаа файлууд болон дэд директоруудын зөвшөөрлийг өөрчлөхгүй гэдгийг анхаарна уу. Тэдгээрийг өөрчлөхийн тулд та ердийн ACL нэмэх хэрэгтэй!

Үүнийг мэдэх нь чухал. Хэрэв та олон хэрэглэгч эсвэл бүлгийг нэг директорт хандахаар тохируулахын тулд ACL ашиглахыг хүсвэл ACL-ийг хоёр удаа тохируулах ёстой. Эхний хэрэглээ setfacl -R -mОдоогийн файлуудын ACL-ийг өөрчлөх. Дараа нь хэрэглэнэ setfacl-md:Мөн бий болох бүх шинэ элементүүдэд анхаарал тавих.

Анхдагч ACL-ийг тохируулахын тулд та зүгээр л сонголтыг нэмэх хэрэгтэй d сонголтын дараа -m (захиалга чухал!). Тиймээс ашигла setfacl -md:g: борлуулалт: rx / өгөгдөлХэрэв та бүлгийн борлуулалтыг /өгөгдлийн санд үүсгэсэн бүх зүйлийг уншиж, гүйцэтгэхийг хүсвэл.

Өгөгдмөл ACL-г ашиглах үед бусад хүмүүст ACL-ийг тохируулах нь ашигтай байж болох юм. Энэ нь ихэвчлэн утгагүй байдаг, учир нь та бусад хүмүүсийн зөвшөөрлийг өөрчилж болно Chmod. Гэсэн хэдий ч та юу хийж чадахгүй Chmod, гэдэг нь шинээр үүсгэгдсэн файл бүрт бусад хэрэглэгчдэд олгох ёстой эрхийг зааж өгөх явдал юм. Хэрэв та /өгөгдөл дээр үүсгэсэн аливаа зүйлд бусад хүмүүс ямар нэгэн зөвшөөрөл авахаас сэргийлэхийг хүсвэл жишээ нь setfacl -md:o::- /өгөгдөл.

ACL болон ердийн зөвшөөрлүүд нь үргэлж сайн нэгтгэгддэггүй. Хэрэв та лавлахад өгөгдмөл ACL-г ашигласны дараа тухайн лавлах руу зүйл нэмж оруулаад ердийн зөвшөөрлийг өөрчлөхийг оролдвол асуудал үүсч болно. Ердийн зөвшөөрөлд хамаарах өөрчлөлтүүд ACL тоймд сайн тусгагдахгүй. Асуудлаас зайлсхийхийн тулд эхлээд ердийн зөвшөөрлүүдийг тохируулж, дараа нь өгөгдмөл ACL-уудыг тохируулна уу (түүний дараа дахин өөрчлөхгүй байхыг хичээгээрэй).

ACL-ийг ашиглан өргөгдсөн эрхийн менежментийн жишээ

Энэ жишээнд та өмнө нь үүсгэсэн /data/account болон /data/sales лавлахуудыг үргэлжлүүлэн ашиглах болно. Өмнөх жишээнүүдэд та борлуулалтын бүлэгт /өгөгдөл/борлуулалт, дансны бүлэгт /өгөгдөл/акаунт дээр зөвшөөрөл байгаа эсэхийг баталгаажуулсан.

Нэгдүгээрт, дансны бүлэг /data/борлуулалтын лавлах, борлуулалтын бүлэг нь /data/account лавлахаас унших зөвшөөрөл авсан эсэхийг шалгаарай.

Дараа нь та бүх шинэ файлд бүх шинэ зүйлд тохируулсан зөв зөвшөөрөл байгаа эсэхийг шалгахын тулд анхдагч ACL-уудыг тохируулна уу.

Терминал нээх.
Гүйцэтгэх setfacl -mg: данс: rx / өгөгдөл / борлуулалт и setfacl -mg: борлуулалт: rx / өгөгдөл / данс.
Гүйцэтгэх getfaclзөвшөөрлүүд таны хүссэнээр тохируулагдсан эсэхийг шалгах.
Гүйцэтгэх setfacl -md:g:данс:rwx,g:борлуулалт:rx /дата/борлуулалтборлуулалтын лавлахын анхдагч ACL-г тохируулах.
ашиглан /өгөгдөл/акаунтын лавлахад өгөгдмөл ACL нэмнэ үү setfacl -md:g:борлуулалт:rwx,g:данс:rx /өгөгдөл/акаунт.
/data/sales-д шинэ файл нэмж ACL тохиргоо хүчинтэй байгаа эсэхийг шалгана уу. Бүрэн /өгөгдөл/борлуулалт/шинэ файлд хүрнэ үү болон гүйцэтгэх getfacl /data/sales/newfile одоогийн зөвшөөрлийг шалгах.

Umask ашиглан анхдагч зөвшөөрлийг тохируулж байна

Дээрээс та анхдагч ACL-тэй хэрхэн ажиллах талаар сурсан. Хэрэв та ACL ашиглаагүй бол таны авах үндсэн зөвшөөрлийг тодорхойлох бүрхүүлийн сонголт байна: умаск (урвуу маск). Энэ хэсэгт та үндсэн зөвшөөрлийг хэрхэн өөрчлөх талаар сурах болно умаск.

Шинэ файл үүсгэх үед зарим өгөгдмөл зөвшөөрлүүд тохируулагдсан байгааг та анзаарсан байх. Эдгээр зөвшөөрлийг тохиргоогоор тодорхойлно умаск. Энэхүү бүрхүүлийн тохиргоо нь нэвтрэх үед бүх хэрэглэгчдэд хамаарна. Параметрт умаск файлд автоматаар тохируулж болох хамгийн дээд зөвшөөрлөөс хасагдсан тоон утгыг ашигладаг; Файлын хамгийн дээд тохиргоо нь 666, директоруудын хувьд 777 байна.

Гэхдээ энэ дүрэмд зарим үл хамаарах зүйлүүд хамаарна. Та тохиргооны бүрэн тоймыг олох боломжтой умаск доорх хүснэгтэд.

Ашигласан тоонуудаас умаск, командын тоон аргументуудын нэгэн адил Chmod, эхний цифр нь хэрэглэгчийн зөвшөөрлийг, хоёр дахь цифр нь бүлгийн зөвшөөрлийг, сүүлчийнх нь бусад хүмүүст зориулсан анхдагч зөвшөөрлийг илэрхийлнэ. Утга умаск өгөгдмөл 022 нь бүх шинэ файлд 644, таны сервер дээр үүсгэсэн бүх шинэ лавлахад 755-г өгнө.

Бүх тоон утгуудын бүрэн тойм умаск ба тэдгээрийн үр дүнг доорх хүснэгтэд үзүүлэв.

Umask тохиргоо хэрхэн ажилладагийг харах хялбар арга бол дараах байдлаар байна: файлын өгөгдмөл зөвшөөрлийг 666 болгож эхэлж, үр дүнтэй зөвшөөрлийг авахын тулд umask-ыг хасна уу. Лавлах болон түүний өгөгдмөл 777 зөвшөөрлүүдэд мөн адил үйлдлийг хийнэ үү.

Umask тохиргоог өөрчлөх хоёр арга бий: бүх хэрэглэгчид болон хувь хүмүүст зориулагдсан. Хэрэв та бүх хэрэглэгчдэд umask тохируулахыг хүсвэл /etc/profile-д заасны дагуу бүрхүүлийн орчны файлуудыг эхлүүлэхдээ umask тохиргоог анхаарч үзэх хэрэгтэй. Зөв арга бол /etc/profile.d санд umask.sh нэртэй бүрхүүлийн скрипт үүсгэж, уг бүрхүүлийн скриптэд ашиглах umask-аа зааж өгөх явдал юм. Хэрэв энэ файлд umask өөрчлөгдсөн бол серверт нэвтэрсний дараа бүх хэрэглэгчдэд хэрэгжинэ.

Нэвтэрч буй бүх хэрэглэгчдэд хамаарах /etc/profile болон холбогдох файлуудаар дамжуулан umask-ыг тохируулах өөр нэг хувилбар бол хэрэглэгч бүрийн гэрийн лавлахад үүсгэсэн .profile нэртэй файлын umask тохиргоог өөрчлөх явдал юм.

Энэ файлд ашигласан тохиргоо нь зөвхөн хэрэглэгчдэд хамаарна; Хэрэв танд илүү дэлгэрэнгүй мэдээлэл хэрэгтэй бол энэ нь сайн арга юм. Энгийн хэрэглэгчид 027 гэсэн үндсэн утсаар ажиллаж байхад үндсэн хэрэглэгчийн үндсэн umask-ыг 022 болгож өөрчлөх энэ функц надад таалагдаж байна.

Өргөтгөсөн хэрэглэгчийн шинж чанаруудтай ажиллах

Энэ бол Линуксийн зөвшөөрлийн эцсийн хэсэг юм.

Зөвшөөрөлтэй ажиллах үед хэрэглэгч эсвэл бүлгийн объект болон файл эсвэл директор дээрх хэрэглэгч эсвэл бүлгийн объектуудын зөвшөөрлүүдийн хооронд үргэлж хамааралтай байдаг. Линукс сервер дээрх файлуудыг хамгаалах өөр арга бол шинж чанаруудтай ажиллах явдал юм.
Аттрибутууд нь тухайн файлд хандаж буй хэрэглэгчээс үл хамааран үүргээ гүйцэтгэдэг.

ACL-ийн нэгэн адил файлын шинж чанаруудад сонголтыг оруулах шаардлагатай байж болно холбох.

Энэ бол сонголт юм user_xattr. Хэрэв та өргөтгөсөн хэрэглэгчийн шинж чанаруудтай ажиллахдаа "үйл ажиллагаа дэмжигдээгүй" гэсэн мессеж хүлээн авбал параметрийг тохируулахаа мартуузай. холбох /etc/fstab дотор.

Олон шинж чанаруудыг баримтжуулсан байдаг. Зарим шинж чанарууд байгаа боловч хараахан хэрэгжээгүй байна. Тэдгээрийг бүү ашигла; тэд чамд юу ч авчрахгүй.

Таны хэрэглэж болох хамгийн ашигтай шинж чанаруудыг доор харуулав.

A Энэ шинж чанар нь файлын файлд хандах хугацаа өөрчлөгдөхгүй байхыг баталгаажуулдаг.
Ихэвчлэн файлыг нээх бүрт файлын хандалтын хугацааг файлын мета өгөгдөлд бүртгэх ёстой. Энэ нь гүйцэтгэлд сөргөөр нөлөөлдөг; Тиймээс байнга ханддаг файлуудын хувьд атрибут A Энэ функцийг идэвхгүй болгоход ашиглаж болно.

a Энэ шинж чанар нь танд файл нэмэх боловч устгахгүй.

c Хэрэв та эзлэхүүний түвшний шахалтыг дэмждэг файлын системийг ашиглаж байгаа бол энэ файлын шинж чанар нь шахалтын механизмыг анх удаа идэвхжүүлсэн үед файлыг шахах боломжийг олгодог.

D Энэ шинж чанар нь файлын өөрчлөлтийг эхлээд кэш хийхээс илүүтэйгээр диск рүү шууд бичихийг баталгаажуулдаг. Энэ нь өгөгдлийн сангийн чухал файлуудад ашигтай шинж чанар бөгөөд тэдгээр нь файлын кэш болон хатуу дискний хооронд алдагдахгүй байх болно.

d Энэ шинж чанар нь dump хэрэгслийг ашигладаг нөөцлөлтөд файлыг хадгалахгүй байхыг баталгаажуулдаг.

I Энэ атрибут нь идэвхжүүлсэн лавлахдаа индексжүүлэх боломжийг олгодог. Энэ нь файлд хурдан хандахын тулд B-tree мэдээллийн санг ашигладаггүй Ext3 гэх мэт энгийн файлын системүүдэд илүү хурдан файлд хандах боломжийг олгодог.

i Энэ шинж чанар нь файлыг хувиршгүй болгодог. Тиймээс файлд өөрчлөлт оруулах боломжгүй бөгөөд энэ нь нэмэлт хамгаалалт шаардлагатай файлуудад хэрэгтэй.

j Энэ шинж чанар нь ext3 файлын системд файлыг эхлээд сэтгүүлд бичиж, дараа нь хатуу диск дээрх өгөгдлийн блокуудад бичдэг.

s Файлыг устгасны дараа 0-д хадгалагдсан блокуудыг дарж бичнэ үү. Энэ нь файлыг устгасны дараа сэргээх боломжгүй гэдгийг баталгаажуулдаг.

u Энэ шинж чанар нь устгалын талаарх мэдээллийг хадгалдаг. Энэ нь устгасан файлуудыг аврахын тулд энэ мэдээлэлтэй ажиллах хэрэгслийг хөгжүүлэх боломжийг танд олгоно.

Хэрэв та шинж чанаруудыг ашиглахыг хүсвэл тушаалыг ашиглаж болно Чатр. Жишээлбэл, ашиглах chattr +s зарим файлзарим файлд атрибут хэрэглэх. Атрибутыг устгах шаардлагатай юу? Дараа нь хэрэглэнэ chattr -s зарим файлмөн үүнийг арилгах болно. Одоо ашиглагдаж байгаа бүх шинж чанаруудын тоймыг авахын тулд тушаалыг ашиглана уу lsattr.

Хураангуй

Энэ нийтлэлээс та зөвшөөрөлтэй хэрхэн ажиллах талаар сурсан. Та үндсэн гурван зөвшөөрөл, нэмэлт зөвшөөрөл, файлын системд ACL-ийг хэрхэн ашиглах талаар уншина уу. Та мөн анхдагч зөвшөөрлийг ашиглахын тулд umask сонголтыг хэрхэн ашиглах талаар сурсан. Энэ нийтлэлийн төгсгөлд та файлын системийн аюулгүй байдлын нэмэлт давхаргыг ашиглахын тулд хэрэглэгчийн өргөтгөсөн шинж чанаруудыг хэрхэн ашиглах талаар олж мэдсэн.

Хэрэв танд энэ орчуулга таалагдсан бол энэ тухай коммент хэсэгт бичээрэй. Хэрэгтэй орчуулга хийх сэдэл нэмэгдэнэ.

Нийтлэл дэх зарим үсгийн алдаа, дүрмийн алдааг зассан. Уншихад илүү хялбар болгох үүднээс зарим том догол мөрүүдийг жижигрүүлсэн.

"Зөвхөн лавлахын захиргааны эрх бүхий хүн гүйцэтгэх зөвшөөрөл авах боломжтой" гэсний оронд. "Зөвхөн лавлах дээр бичих зөвшөөрөлтэй хүн гүйцэтгэх зөвшөөрөл хэрэглэж болно." гэж зассан нь илүү зөв байх болно.

Сэтгэгдэл бичсэнд баярлалаа Берез.

Солигдсон:
Хэрэв та хэрэглэгчийн эзэмшигч биш бол бүрхүүл таныг файлын бүлэг гэж нэрлэдэг бүлгийн гишүүн эсэхийг шалгах болно.

Асаалттай байна:
Хэрэв та файлын эзэмшигч биш бол бүрхүүл таныг тухайн файлын зөвшөөрөлтэй бүлгийн гишүүн эсэхийг шалгах болно. Хэрэв та энэ бүлгийн гишүүн бол тухайн бүлгийн тогтоосон зөвшөөрлөөр файлд хандах бөгөөд бүрхүүл шалгахаа болино.

Сэтгэгдэл бичсэнд баярлалаа CryptoPirate

Эх сурвалж: www.habr.com

Линукс дээрх зөвшөөрөл (chown, chmod, SUID, GUID, наалттай бит, ACL, umask)