🥇 په لینکس کې اجازې (chown، chmod، SUID، GUID، چپکونکی بټ، ACL، umask)

سلام و ټولو ته. دا د RedHat RHCSA RHCE 7 RedHat Enterprise Linux 7 EX200 او EX300 کتاب څخه د یوې مقالې ژباړه ده.

ټیله کول: زه امید لرم چې مقاله به نه یوازې د پیل کونکو لپاره ګټوره وي ، بلکه د نورو تجربه لرونکو مدیرانو سره به د دوی پوهه منظمولو کې هم مرسته وکړي.

نو راځئ چې لاړ شو.

په لینکس کې فایلونو ته د لاسرسي لپاره ، اجازې کارول کیږي. دا اجازې درې شیانو ته ټاکل شوي: د فایل مالک، د ګروپ مالک، او بل څیز (یعنې هرڅوک). پدې مقاله کې ، تاسو به زده کړئ چې څنګه د اجازې غوښتنه وکړئ.

دا مقاله د بنسټیزو مفاهیمو په نظر کې نیولو سره پیل کیږي، ورپسې د ځانګړو اجازو او د لاسرسي کنټرول لیستونو (ACLs) په اړه بحث کیږي. د دې مقالې په پای کې ، موږ د umask له لارې د ډیفالټ اجازې تنظیم کولو پوښښ کوو ، په بیله بیا د پراخه کارونکي ځانګړتیاو اداره کول.

د فایل ملکیت مدیریت

د اجازې په اړه بحث کولو دمخه، تاسو باید د فایل او لارښود مالک رول څخه خبر اوسئ. د فایلونو او لارښودونو ملکیت د اجازې سره معامله کولو لپاره حیاتي دی. پدې برخه کې، تاسو به لومړی زده کړئ چې تاسو څنګه مالک لیدلی شئ. بیا به تاسو زده کړئ چې څنګه د فایلونو او لارښودونو لپاره د ګروپ مالک او کارونکي بدل کړئ.

د فایل یا لارښود مالک ښودل

په لینکس کې، هر فایل او هر ډایرکټر دوه مالکین لري: یو کارن او د ګروپ مالک.

دا مالکین ټاکل کیږي کله چې فایل یا لارښود جوړ شي. هغه کارن چې فایل رامینځته کوي د دې فایل مالک کیږي ، او لومړنۍ ډله چې ورته کارونکي پورې اړه لري هم د دې فایل مالک کیږي. د دې لپاره چې دا معلومه کړي چې تاسو، د یو کاروونکي په توګه، فایل یا لارښود ته د لاسرسي اجازه لرئ، شیل د ملکیت لپاره چک کوي.

دا په لاندې ترتیب کې پیښیږي:

شیل چک کوي ترڅو وګوري چې ایا تاسو د هغه فایل مالک یاست چې تاسو یې لاسرسی غواړئ. که تاسو مالک یاست، تاسو اجازه ترلاسه کوئ او شیل چک کول ودروي.
که تاسو د فایل مالک نه یاست، شیل به وګوري چې ایا تاسو د یوې ډلې غړی یاست چې په فایل کې اجازه لري. که تاسو د دې ډلې غړی یاست، نو تاسو به د هغه اجازې سره فایل ته لاسرسی ومومئ چې ګروپ ټاکلی وي، او شیل به چک کول ودروي.
که تاسو نه کاروونکي یاست او نه د یوې ډلې مالک یاست، تاسو ته د نورو کاروونکو حقونه درکول کیږي (نور).

د اوسني مالک دندې لیدلو لپاره، تاسو کولی شئ کمانډ وکاروئ ls -l. دا کمانډ د ګروپ کارونکي او مالک ښیې. لاندې تاسو کولی شئ د / کور لارښود کې د لارښودونو لپاره د مالک تنظیمات وګورئ.

[root@server1 home]# ls -l
total 8
drwx------. 3  bob            bob            74     Feb   6   10:13 bob
drwx------. 3  caroline       caroline       74     Feb   6   10:13 caroline
drwx------. 3  fozia          fozia          74     Feb   6   10:13 fozia
drwx------. 3  lara           lara           74     Feb   6   10:13 lara
drwx------. 5  lisa           lisa           4096   Feb   6   10:12 lisa
drwx------. 14 user           user           4096   Feb   5   10:35 user

د امر سره ls تاسو کولی شئ په ورکړل شوي لارښود کې د فایلونو مالک وښایئ. ځینې وختونه دا ګټور وي چې په سیسټم کې د ټولو فایلونو لیست ترلاسه کړئ چې د مالک په توګه ورکړل شوی کارن یا ګروپ لري. د دې لپاره تاسو کارولی شئ پیدا. استدلال کارن موندنه د دې هدف لپاره کارول کیدی شي. د مثال په توګه، لاندې کمانډ ټول هغه فایلونه لیست کوي چې د کارن لینډا ملکیت دي:

find / -user linda

تاسو یې هم کارولی شئ پیدا د هغو فایلونو لټون کول چې د مالک په توګه یو مشخص ګروپ لري.

د مثال په توګه، لاندې کمانډ د ګروپ پورې اړوند ټولو فایلونو لټون کوي کارنان:

find / -group users

د مالک بدلون

د مناسبو اجازو پلي کولو لپاره، لومړی شی چې په پام کې ونیسئ ملکیت دی. د دې لپاره یو حکم شتون لري ډوب شو. د دې کمانډ ترکیب د پوهیدو لپاره اسانه دی:

chown кто что

د مثال په توګه، لاندې کمانډ د کارن لینډا ته د / کور/اکاؤنټ ډایرکټر مالک بدلوي:

chown linda /home/account

ټیم ډوب شو ډیری اختیارونه لري، چې یو یې په ځانګړې توګه ګټور دی: -R. تاسو اټکل کولی شئ دا څه کوي ځکه چې دا اختیار د ډیری نورو امرونو لپاره هم شتون لري. دا تاسو ته اجازه درکوي په تکراري ډول مالک تنظیم کړئ ، کوم چې تاسو ته اجازه درکوي د اوسني لارښود مالک او لاندې هرڅه تنظیم کړئ. لاندې کمانډ د / کور ډایرکټر ملکیت او د هغې لاندې هرڅه د لینډا کارونکي ته بدلوي:

اوس مالکین داسې ښکاري:

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 account account 62 Sep 25 21:41 account
drwx------. 2 lisa    lisa    62 Sep 25 21:42 lisa

راځئ چې:

[root@localhost ~]# chown -R lisa /home/account
[root@localhost ~]#

اوس کارن لیزا د حساب لارښود مالک شو:

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 lisa account 62 Sep 25 21:41 account
drwx------. 2 lisa lisa    62 Sep 25 21:42 lisa

د یوې ډلې مالک بدل کړئ

د یوې ډلې ملکیت بدلولو لپاره دوه لارې شتون لري. تاسو کولی شئ دا په کارولو سره ترسره کړئ ډوب شو، مګر دلته یو ځانګړی قومانده شتون لري چې نوم یې دی chgrpدا کار کوي. که تاسو غواړئ کمانډ وکاروئ ډوب شو، کارول . او یا : د ډلې نوم مخې ته.

لاندې کمانډ د / کور / حساب ګروپ هر مالک د حساب ګروپ ته بدلوي:

chown .account /home/account

تاسو یې کارولی شئ ډوب شو د یو کارونکي او/یا ګروپ مالک په څو لارو بدل کړئ. دلته ځینې مثالونه دي:

chown lisa myfile1 کارن لیزا د myfile1 د مالک په توګه تنظیموي.
chown lisa.sales myfile کارن لیزا د مای فایل فایل مالک په توګه ټاکي، او د پلور ګروپ هم د ورته فایل مالک په توګه ټاکي.
chown lisa: sales myfile د پخوانۍ کمانډ په څیر.
chown .sales myfile د پلور ګروپ د مای فایل مالک په توګه ټاکي پرته له دې چې د کارونکي مالک بدل کړي.
chown:sales myfile د پخوانۍ کمانډ په څیر.

تاسو کولی شئ کمانډ وکاروئ chgrpد ګروپ مالک بدلولو لپاره. لاندې مثال ته پام وکړئ، چیرې چې تاسو یې کارولی شئ chgrp د حساب لارښود مالک د پلور ګروپ ته تنظیم کړئ:

chgrp .sales /home/account

لکه څنګه چې سره ډوب شو، تاسو کولی شئ اختیار وکاروئ -R с chgrp، او همدارنګه په تکراري ډول د ډلې مالک بدل کړئ.

د ډیفالټ مالک پوهیدل

تاسو شاید لیدلي وي چې کله یو کاروونکي فایل رامینځته کوي، اصلي ملکیت پلي کیږي.
هغه کارن چې فایل رامینځته کوي په اوتومات ډول د دې فایل مالک کیږي ، او د هغه کارونکي لومړنۍ ډله په اوتومات ډول د دې فایل مالک کیږي. دا معمولا هغه ډله ده چې په /etc/passwd فایل کې د کارونکي لومړني ګروپ په توګه لیست شوي. په هرصورت، که چیرې کاروونکي له یوې څخه د ډیرو ګروپونو غړی وي، کاروونکي کولی شي اغیزمن ابتدايي ګروپ بدل کړي.

د اوسني اغیزمن لومړني ګروپ ښودلو لپاره، کاروونکي کولی شي کمانډ وکاروي ډلو:

[root@server1 ~]# groups lisa
lisa : lisa account sales

که چیرې د لینډا اوسنی کاروونکي وغواړي چې اغیزمن لومړني ګروپ بدل کړي، نو هغه به کمانډ وکاروي newgrpد هغه ډلې نوم تعقیبوي چې هغه غواړي د نوي اغیزمن لومړني ګروپ په توګه وټاکي. د کمانډ کارولو وروسته newgrp لومړنۍ ډله به فعاله وي تر هغه چې کاروونکي کمانډ ته ننوځي د وتلو یا نه ننوتل.

لاندې ښیې چې څنګه کارن لینډا دا کمانډ کاروي ، د لومړني ګروپ په توګه د پلور سره:

lisa@server1 ~]$ groups
lisa account sales
[lisa@server1 ~]$ newgrp sales
[lisa@server1 ~]$ groups
sales lisa account
[lisa@server1 ~]$ touch file1
[lisa@server1 ~]$ ls -l
total 0
-rw-r--r--. 1 lisa sales 0 Feb 6 10:06 file1

د مؤثره لومړني ګروپ بدلولو وروسته، د کارونکي لخوا رامینځته شوي ټول نوي فایلونه به دا ګروپ د ګروپ مالک په توګه ولري. د وتلو.

د قوماندې کارولو وړتیا لپاره newgrp، کارن باید د هغه ګروپ غړی وي چې دوی غواړي د لومړني ګروپ په توګه وکاروي. سربیره پردې ، د کمانډ په کارولو سره د یوې ډلې لپاره د ګروپ پاسورډ کارول کیدی شي gpasswd. که کارن کمانډ کاروي newgrpمګر د هدف ګروپ غړی نه دی، شیل د ګروپ پټنوم ته هڅوي. وروسته له دې چې تاسو سم ګروپ پټنوم دننه کړئ، یو نوی اغیزمن لومړنی ګروپ به تاسیس شي.

د بنسټیزو حقونو مدیریت

د لینکس اجازې سیسټم په 1970s کې اختراع شو. څرنګه چې په دې کلونو کې د کمپیوټر اړتیاوې محدودې وې، د اجازې لومړني سیسټم خورا محدود و. دا د اجازې سیسټم درې اجازې کاروي چې په فایلونو او لارښودونو کې پلي کیدی شي. پدې برخه کې، تاسو به د دې اجازې کارولو او بدلولو څرنګوالی زده کړئ.

د لوستلو ، لیکلو او اجرا کولو اجازې پوهیدل

درې اساسي اجازې تاسو ته د فایلونو لوستلو، لیکلو او اجرا کولو اجازه درکوي. د دې اجازې اغیز توپیر لري کله چې په فایلونو یا لارښودونو کې پلي کیږي. د فایل لپاره ، د لوستلو اجازه تاسو ته د لوستلو لپاره د فایل خلاصولو حق درکوي. له همدې امله، تاسو کولی شئ د هغې مینځپانګه ولولئ، مګر دا پدې مانا ده چې ستاسو کمپیوټر کولی شي د دې سره یو څه کولو لپاره فایل خلاص کړي.

د پروګرام فایل چې کتابتون ته لاسرسی ته اړتیا لري، د بیلګې په توګه، هغه کتابتون ته د لوستلو لاسرسی ولري. دا تعقیبوي چې د لوستلو اجازه ترټولو اساسي اجازه ده چې تاسو د فایلونو سره کار کولو ته اړتیا لرئ.

کله چې په لارښود کې پلي کیږي ، لوستل تاسو ته اجازه درکوي د دې لارښود مینځپانګې ښکاره کړئ. تاسو باید خبر اوسئ چې دا اجازه تاسو ته اجازه نه ورکوي چې په لارښود کې فایلونه ولولئ. د لینکس اجازې سیسټم میراث نه پیژني ، او د فایل لوستلو یوازینۍ لار په دې فایل کې د لوستلو اجازې کارول دي.

لکه څنګه چې تاسو شاید اټکل کولی شئ، د لیکلو اجازه، که په فایل کې پلي شي، فایل ته د لیکلو اجازه ورکوي. په بل عبارت، دا تاسو ته اجازه درکوي د موجوده فایلونو مینځپانګې بدل کړئ. په هرصورت، دا تاسو ته اجازه نه ورکوي چې نوي فایلونه جوړ یا حذف کړئ یا د فایل اجازې بدل کړئ. د دې کولو لپاره ، تاسو اړتیا لرئ لارښود ته د لیکلو اجازه ورکړئ چیرې چې تاسو غواړئ فایل رامینځته کړئ. په لارښودونو کې، دا اجازه تاسو ته اجازه درکوي چې نوي فرعي لارښودونه جوړ او حذف کړئ.

د اجرا کولو اجازه هغه څه دي چې تاسو یې د فایل اجرا کولو ته اړتیا لرئ. دا به هیڅکله د ډیفالټ لخوا نصب نشي، کوم چې لینوکس تقریبا په بشپړ ډول د ویروسونو څخه خوندي کوي. یوازې هغه څوک چې په لارښود کې د لیکلو اجازه لري کولی شي د اجرا اجازه غوښتنه وکړي.

لاندې د اساسي اجازو کارول لنډیز کوي:

د chmod کارول

کمانډ د اجازې اداره کولو لپاره کارول کیږي. کروم... کارول کروم تاسو کولی شئ د کارونکي (کارونکي)، ګروپونو (ګروپ) او نورو (نورو) لپاره اجازې تنظیم کړئ. تاسو کولی شئ دا کمانډ په دوه حالتونو کې وکاروئ: نسبي حالت او مطلق حالت. په مطلق حالت کې، درې عددونه د اساسي اجازو د ټاکلو لپاره کارول کیږي.

کله چې اجازې تنظیم کړئ، هغه ارزښت محاسبه کړئ چې تاسو ورته اړتیا لرئ. که تاسو غواړئ د کارونکي لپاره لوستل / لیکل / اجرا کول تنظیم کړئ ، د ګروپ لپاره ولولئ / اجرا کړئ ، او په /somefile کې د نورو لپاره ولولئ / اجرا کړئ نو تاسو لاندې کمانډ وکاروئ کروم:

chmod 755 /somefile

کله چې تاسو کاروئ کروم په دې توګه، ټول اوسني اجازې د هغه اجازو سره بدلیږي چې تاسو یې ټاکلي دي.

که تاسو غواړئ د اوسني اجازې په پرتله اجازې بدل کړئ، تاسو کولی شئ وکاروئ کروم په نسبي حالت کې. کارول کروم په نسبي حالت کې تاسو د دریو شاخصونو سره کار کوئ ترڅو وښیې چې تاسو څه کول غواړئ:

لومړی تاسو مشخص کړئ چې تاسو د چا لپاره اجازه بدلول غواړئ. د دې کولو لپاره، تاسو کولی شئ د کاروونکي ترمنځ انتخاب وکړئ (uګروپ (g) او نور (o).
تاسو بیا د اوسني حالت څخه اجازې اضافه کولو یا لرې کولو لپاره بیان وکاروئ ، یا یې په بشپړ ډول تنظیم کړئ.
په پای کې تاسو کاروئ r, w и xد مشخص کولو لپاره چې تاسو غواړئ کوم اجازې تنظیم کړئ.

کله چې په نسبي حالت کې اجازې بدل کړئ ، تاسو کولی شئ د ټولو شیانو لپاره اجازې اضافه یا لرې کولو لپاره "تر" برخه پریږدئ. د مثال په توګه، دا کمانډ د ټولو کاروونکو لپاره د اجرا کولو اجازه اضافه کوي:

chmod +x somefile

کله چې په نسبي حالت کې کار کوئ، تاسو کولی شئ ډیر پیچلي کمانډونه هم وکاروئ. د مثال په توګه، دا کمانډ یوې ډلې ته د لیکلو اجازه اضافه کوي او د نورو لپاره د لوستلو اجازه لیرې کوي:

chmod g+w,o-r somefile

کله چې کارول chmod -R o+rx /ډاټا تاسو د ټولو لارښودونو او همدارنګه فایلونو لپاره د اجرا کولو اجازه ترتیب کړئ /ډاټا ډایرکټر کې. یوازې د لارښودونو لپاره د اجرا کولو اجازه تنظیم کولو لپاره نه د فایلونو لپاره ، وکاروئ chmod -R o + rX / ډاټا.

لوی لاس X ډاډ ورکوي چې فایلونه د اجرا کولو اجازه نه ترلاسه کوي پرته لدې چې فایل دمخه د ځینې شیانو لپاره د اجرا کولو اجازه جوړه کړې وي. دا X د اجرا کولو اجازې سره معامله کولو لپاره یو هوښیار لاره جوړوي؛ دا به په فایلونو کې د دې اجازې تنظیم کولو مخه ونیسي چیرې چې ورته اړتیا نه وي.

پراخ شوي حقوق

د اساسي اجازو سربیره چې تاسو یې په اړه لوستل شوي، لینکس هم د پرمختللو اجازو سیټ لري. دا هغه اجازې ندي چې تاسو یې د ډیفالټ په واسطه تنظیم کړئ ، مګر ځینې وختونه دوی ګټور اضافه چمتو کوي. پدې برخه کې، تاسو به زده کړئ چې دوی څه دي او څنګه یې تنظیم کړئ.

د SUID، GUID، او سټیکي بټ پراخ شوي اجازې پوهیدل

درې پرمختللي اجازې شتون لري. د دې څخه لومړی د کارونکي پیژندونکي (SUID) تنظیم کولو اجازه ده. په ځینو ځانګړو قضیو کې، تاسو کولی شئ دا اجازه د اجرا وړ فایلونو لپاره پلي کړئ. په ډیفالټ ، یو کارن چې د اجرا وړ چلوي دا فایل د دوی د اجازې سره چلوي.

د عادي کاروونکو لپاره، دا معمولا پدې معنی ده چې د برنامه کارول محدود دي. په هرصورت، په ځینو مواردو کې، کاروونکي ځانګړي اجازې ته اړتیا لري، یوازې د یو ځانګړي کار ترسره کولو لپاره.

په پام کې ونیسئ، د بیلګې په توګه، یو وضعیت چیرې چې یو کاروونکي اړتیا لري خپل پټنوم بدل کړي. د دې کولو لپاره، کاروونکي باید خپل نوی پټنوم د /etc/shadow فایل ته ولیکي. په هرصورت، دا فایل د غیر روټ کاروونکو لخوا د لیکلو وړ ندی:

root@hnl ~]# ls -l /etc/shadow
----------. 1 root root 1184 Apr 30 16:54 /etc/shadow

د SUID اجازه د دې ستونزې حل وړاندې کوي. د /usr/bin/passwd یوټیلیټ دا اجازه په ډیفالټ کاروي. دا پدې مانا ده چې کله د پټنوم بدلول، کاروونکي په موقتي توګه روټ کیږي، کوم چې هغه ته اجازه ورکوي چې /etc/shadow فایل ته ولیکي. تاسو کولی شئ د SUID اجازې سره وګورئ ls -l څنګه s په داسې موقعیت کې چیرې چې تاسو معمولا د لیدو تمه لرئ x د دودیز اجازې لپاره:

[root@hnl ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 32680 Jan 28 2010 /usr/bin/passwd

د SUID اجازه ممکن ګټور ښکاري (او په ځینو مواردو کې دا وي)، مګر په ورته وخت کې دا احتمالي خطرناک دی. که په سمه توګه نه پلي کیږي، تاسو کولی شئ په ناڅاپي توګه د روټ اجازه ورکړئ. له همدې امله ، زه وړاندیز کوم چې دا یوازې په خورا احتیاط سره وکاروئ.

ډیری مدیران به هیڅکله د دې کارولو ته اړتیا ونه لري؛ تاسو به دا یوازې په ځینو فایلونو کې وګورئ چیرې چې عملیاتي سیسټم باید دا په ډیفالټ تنظیم کړي.

دوهم ځانګړی اجازه د ګروپ پیژندونکی (SGID) دی. دا اجازه دوه اغیزې لري. کله چې د اجرا وړ فایل کې پلي کیږي، دا کارونکي ته ورکوي چې فایل اجرا کوي د فایل ګروپ مالک ته اجازه ورکوي. نو SGID کولی شي د SUID په څیر ډیر یا لږ ورته کار وکړي. په هرصورت، SGID په عملي توګه د دې هدف لپاره نه کارول کیږي.

لکه څنګه چې د SUID اجازې سره، SGID په ځینې سیسټم فایلونو کې د ډیفالټ ترتیب په توګه پلي کیږي.

کله چې په ډایرکټر کې پلي کیږي، SGID ګټور کیدی شي ځکه چې تاسو کولی شئ دا په هغه ډایرکټر کې رامینځته شوي فایلونو او فرعي ډایرکټرونو لپاره د ډیفالټ ګروپ مالک تنظیم کولو لپاره وکاروئ. د ډیفالټ په واسطه، کله چې یو کاروونکي فایل رامینځته کوي، د دوی اغیزمن ابتدايي ډله د دې فایل لپاره د ګروپ مالک په توګه ټاکل کیږي.

دا تل خورا ګټور نه وي، په ځانګړې توګه له هغه وخته چې د Red Hat/CentOS کاروونکي د دوی لومړنۍ ډله د کارونکي په څیر ورته نوم سره یوې ډلې ته جوړه کړې، او له هغې څخه کارن یوازینی غړی دی. په دې توګه، د ډیفالټ په واسطه، هغه فایلونه چې کاروونکي یې جوړوي په لویه کچه شریک شي.

د داسې وضعیت تصور وکړئ چیرې چې کاروونکي لینډا او لوری په محاسبه کې کار کوي او د یوې ډلې غړي دي ګڼون. په ډیفالټ ، دا کارونکي د یوې خصوصي ډلې غړي دي چې دوی یې یوازینی غړي دي. په هرصورت، دواړه کاروونکي د حساب ګروپ غړي دي، مګر د ثانوي ګروپ پیرامیټر په توګه هم.

ډیفالټ حالت دا دی چې کله له دې کاروونکو څخه کوم یو فایل رامینځته کوي ، لومړنۍ ډله مالک کیږي. له همدې امله، په ډیفالټ، لینډا نشي کولی د لوری لخوا رامینځته شوي فایلونو ته لاسرسی ومومي، او برعکس. په هرصورت، که تاسو د ګډ ګروپ لارښود جوړ کړئ (وایئ / ګروپونه/اکاؤنټ) او ډاډ ترلاسه کړئ چې د SGID اجازه په دې ډایرکټر کې پلي کیږي او دا چې د ګروپ حساب د دې ډایرکټر لپاره د ګروپ مالک په توګه ټاکل شوی، ټول فایلونه په دې ډایرکټر کې جوړ شوي او ټول د دې فرعي لارښودونو څخه، د ګروپ حساب هم د ګروپ مالک په توګه په ډیفالټ ترلاسه کړئ.

د دې دلیل لپاره، د SGID اجازه د عامه ګروپ لارښودونو تنظیم کولو لپاره خورا ګټور اجازه ده.

د SGID اجازه په محصول کې ښودل شوې ls -l څنګه s په هغه ځای کې چیرې چې تاسو معمولا د یوې ډلې اجرا کولو اجازه ومومئ:

[root@hnl data]# ls -ld account
drwxr-sr-x. 2 root account 4096 Apr 30 21:28 account

د ځانګړو اجازو دریمه برخه چپچینی بټ دی. دا اجازه په داسې چاپیریال کې د ناڅاپه حذف کیدو څخه د فایلونو ساتنې لپاره ګټوره ده چیرې چې ډیری کارونکي ورته لارښود ته د لیکلو لاسرسی لري. که چیرې یو چپکونکی بټ کارول کیږي، یو کاروونکي کولی شي یوازې یو فایل ړنګ کړي که دوی د فایل یا لارښود کارونکي مالک وي چې فایل لري. د دې دلیل لپاره، دا د /tmp لارښود لپاره د ډیفالټ اجازې په توګه کارول کیږي او د عامه ګروپ لارښودونو لپاره هم ګټور کیدی شي.

د چپچینې بټ پرته، که کاروونکي کولی شي په ډایرکټر کې فایلونه جوړ کړي، دوی کولی شي د هغه ډایرکټر څخه فایلونه هم حذف کړي. په عامه ډله ایز چاپیریال کې، دا کیدی شي ځورونکي وي. د لینډا او لوری کاروونکو تصور وکړئ، چې دواړه د /data/account ډایرکټر ته د لیکلو اجازه لري او د حساب ګروپ غړي په توګه دا اجازه ترلاسه کوي. له همدې امله ، لینډا کولی شي د لوری لخوا رامینځته شوي فایلونه حذف کړي او برعکس.

کله چې تاسو چپچپا بټ پلي کړئ، کاروونکي کولی شي یوازې فایلونه حذف کړي که د لاندې شرایطو څخه یو ریښتیا وي:

کارن د دوتنې خاوند دی؛
کارن د هغه لارښود مالک دی چیرې چې فایل موقعیت لري.

کله چې کارول ls -l، تاسو کولی شئ د چپچینې بټ په څیر وګورئ t په هغه موقعیت کې چیرې چې تاسو به معمولا د نورو لپاره د اعدام اجازه وګورئ:

[root@hnl data]# ls -ld account/
drwxr-sr-t. 2 root account 4096 Apr 30 21:28 account/

د پراخو حقونو پلي کول

د SUID، SGID او چپکشی بټ پلي کولو لپاره تاسو هم کارولی شئ کروم. SUID د 4 عددي ارزښت لري، SGID د 2 عددي ارزښت لري، او سټیکي بټ د 1 عددي ارزښت لري.

که تاسو غواړئ دا اجازې پلي کړئ، تاسو اړتیا لرئ چې څلور عددي دلیل اضافه کړئ کروم، چې لومړی عدد یې ځانګړي اجازې ته اشاره کوي. لاندې کرښه، د بیلګې په توګه، به ډایرکټر ته د SGID اجازه اضافه کړي او د کارونکي لپاره rwx او د ګروپ او نورو لپاره rx ترتیب کړي:

chmod 2755 /somedir

دا خورا غیر عملي دی که تاسو اړتیا لرئ اوسني اجازې وګورئ چې د کار کولو دمخه تنظیم شوي کروم په مطلق حالت کې. (تاسو د اجازې د بیا لیکلو خطر پرمخ وړئ که تاسو نه کوئ.) نو زه وړاندیز کوم چې په نسبي حالت کې وګرځئ که تاسو اړتیا لرئ کوم ځانګړي اجازې پلي کړئ:

د SUID کارولو لپاره chmod u+s.
د SGID کارولو لپاره chmod g+s.
د چپچینې بټ کارولو لپاره chmod +t، د فایل یا لارښود نوم تعقیب کړئ د کوم لپاره چې تاسو غواړئ اجازې تنظیم کړئ.

جدول ټول هغه څه لنډیز کوي چې تاسو ورته اړتیا لرئ د ځانګړي اجازې اداره کولو په اړه پوه شئ.

د ځانګړو حقونو سره د کار کولو بیلګه

په دې مثال کې، تاسو ځانګړي اجازې کاروئ ترڅو د ګروپ غړو لپاره د شریک ګروپ لارښود کې فایلونه شریکول اسانه کړي. تاسو د ID بټ د ټاکل شوي ګروپ ID او همدارنګه سټیکي بټ ته ځانګړي کړئ ، او تاسو ګورئ چې یوځل چې دوی تنظیم شي ، ځانګړتیاوې اضافه کیږي ترڅو د ګروپ غړو لپاره یوځای کار کول اسانه کړي.

یو ټرمینل خلاص کړئ چیرې چې تاسو د لینډا کارونکي یاست. تاسو کولی شئ د کمانډ سره یو کارن جوړ کړئ لينداپاسورډ اضافه کړئ passwd لینډا.
په روټ کې /ډاټا ډایرکټرۍ او د کمانډ سره /ډاټا/سیل فرعي لارښود جوړ کړئ mkdir -p /data/sales. بشپړ cd/data/salesد پلور لارښود ته لاړ شئ. بشپړ لمس کول 1 и لمس کول 2د لیندا ملکیت دوه خالي فایلونه رامینځته کول.
چلول su-lisa د اوسني کارونکي لیزا ته بدلولو لپاره، چې د پلور ګروپ غړی هم دی.
چلول cd/data/sales او له هغه لارښود څخه اجرا کړئ ls -l. تاسو به دوه فایلونه وګورئ چې د لینډا کارونکي لخوا رامینځته شوي او د لینډا ګروپ پورې اړه لري. بشپړ rm -f لینډا*. دا به دواړه فایلونه لرې کړي.
چلول لمس ۱ и لمس ۱د دوه فایلونو رامینځته کولو لپاره چې د کارن لیزا ملکیت دي.
چلول su- ترڅو خپل امتیازات روټ ته لوړ کړي.
چلول chmod g+s,o+t /data/salesد ګروپ پیژندونکي (GUID) بټ او همدارنګه د شریک ګروپ لارښود کې چپچپا بټ تنظیم کولو لپاره.
چلول su-Linda. بیا یې وکړئ لمس کول 3 и لمس کول 4. تاسو باید اوس وګورئ چې دوه فایلونه چې تاسو جوړ کړي د پلور ګروپ ملکیت دي، کوم چې د /data/sales لارښود ګروپ مالک دی.
چلول rm -rf لیزا*. چپچن بټ د دې فایلونو د لیندا کارونکي په استازیتوب د حذف کیدو مخه نیسي ، ځکه چې تاسو د دې فایلونو مالک نه یاست. په یاد ولرئ چې که د لینډا کارونکي د /data/sales لارښود مالک وي، دوی کولی شي دا فایلونه په هر حال کې حذف کړي!

په لینکس کې د ACL مدیریت (setfacl، getfacl).

که څه هم پورته بحث شوي تمدید شوي اجازې د لینکس اجازې اداره کولو لارې ته ګټور فعالیت اضافه کوي ، دا تاسو ته اجازه نه ورکوي چې په ورته فایل کې له یو څخه ډیرو کاروونکو یا ډلې ته اجازه ورکړئ.

د لاسرسي کنټرول لیستونه دا ځانګړتیا وړاندې کوي. سربیره پردې ، دوی مدیرانو ته اجازه ورکوي چې په پیچلي ډول ډیفالټ اجازې تنظیم کړي ، چیرې چې ټاکل شوي اجازې ممکن له لارښود څخه لارښود ته توپیر ولري.

د ACLs درک کول

که څه هم د ACL فرعي سیسټم ستاسو سرور ته عالي فعالیت اضافه کوي ، دا یو زیان لري: ټولې اسانتیاوې یې ملاتړ نه کوي. له همدې امله، تاسو ممکن خپل د ACL ترتیبات له لاسه ورکړئ کله چې تاسو فایلونه کاپي یا حرکت کوئ، او ستاسو د بیک اپ سافټویر ممکن ستاسو د ACL ترتیبات بیک اپ کولو کې پاتې راشي.

د tar یوټیلیټ د ACLs ملاتړ نه کوي. د دې لپاره چې ډاډ ترلاسه کړئ چې د ACL تنظیمات له لاسه نه ورکول کیږي کله چې تاسو بیک اپ جوړ کړئ، وکاروئ ستوري د تورو پرځای. ستوري د ورته اختیارونو سره کار کوي لکه tar؛ دا یوازې د ACL تنظیماتو لپاره ملاتړ اضافه کوي.

تاسو کولی شئ د ACLs سره بیک اپ هم وکړئ getfacl، کوم چې د setfacl کمانډ په کارولو سره بحال کیدی شي. د بیک اپ جوړولو لپاره، وکاروئ getfacl -R /directory> file.acls. د بیک اپ فایل څخه تنظیمات بحالولو لپاره ، وکاروئ setfacl --restore=file.acl.

د ځینو وسیلو لخوا د ملاتړ نشتوالی باید ستونزه نه وي. ACLs اکثرا په لارښودونو کې د انفرادي فایلونو پرځای د ساختماني اندازې په توګه پلي کیږي.
له همدې امله، د دوی ډیری به نه وي، مګر یوازې یو څو، د فایل سیسټم په سمارټ ځایونو کې پلي شوي. له همدې امله، د اصلي ACLs بیا رغونه چې تاسو ورسره کار کړی نسبتا اسانه دی، حتی که ستاسو د بیک اپ سافټویر د دوی ملاتړ نه کوي.

د ACLs لپاره د فایل سیسټم چمتو کول

مخکې له دې چې تاسو د ACLs سره کار پیل کړئ، تاسو ممکن د ACLs مالتړ لپاره خپل د فایل سیسټم چمتو کولو ته اړتیا ولرئ. ځکه چې د فایل سیسټم میټاډاټا غزولو ته اړتیا لري، د فایل سیسټم کې د ACLs لپاره تل د ډیفالټ ملاتړ شتون نلري. که تاسو د فایل سیسټم لپاره د ACLs ترتیب کولو په وخت کې د "عمل ملاتړ نه کوي" پیغام ترلاسه کړئ، ستاسو د فایل سیسټم ممکن د ACLs ملاتړ ونه کړي.

د دې حل کولو لپاره تاسو اړتیا لرئ اختیار اضافه کړئ acl mount په /etc/fstab کې د دې لپاره چې د فایل سیسټم د ACL ملاتړ سره د ډیفالټ لخوا نصب شوی وي.

د setfacl او getfacl سره د ACL ترتیبات بدلول او لیدل

د ACL تنظیم کولو لپاره تاسو قوماندې ته اړتیا لرئ سیټفاکل. د اوسني ACL ترتیباتو لیدلو لپاره، تاسو اړتیا لرئ getfacl. ټیم ls -l هیڅ موجوده ACLs نه ښیې؛ دا یوازې د اجازې لیست وروسته + ښیې ، کوم چې دا په ګوته کوي چې ACLs هم په فایل کې پلي کیږي.

د ACLs ترتیب کولو دمخه، دا تل یو ښه نظر دی چې د اوسني ACL ترتیبات وښایئ getfacl. په لاندې مثال کې، تاسو کولی شئ اوسني اجازې وګورئ، لکه څنګه چې ښودل شوي ls -l، او همدارنګه لکه څنګه چې ښودل شوي getfacl. که تاسو نږدې نږدې وګورئ، تاسو به وګورئ چې ښودل شوي معلومات په سمه توګه ورته دي.

[root@server1 /]# ls -ld /dir
drwxr-xr-x. 2 root root 6 Feb 6 11:28 /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

د امر د اجرا کولو په پایله کې getfacl لاندې تاسو لیدلی شئ چې اجازه د دریو مختلفو شیانو لپاره ښودل شوي: کارن، ډله او نور. اوس راځئ چې د پلور ډلې ته د لوستلو او اجرا کولو اجازه ورکولو لپاره ACL اضافه کړو. د دې لپاره امر setfacl -mg:sales:rx/dir. په دې ټیم کې -m دا په ګوته کوي چې اوسني ACL ترتیبات باید بدل شي. وروسته لدې g:sales:rx د لوستلو اجرا کولو ACL تنظیم کولو قوماندې ته وايي (rxد ډلې لپاره (g) پلورل. لاندې تاسو کولی شئ وګورئ چې کمانډ څه ډول ښکاري، په بیله بیا د اوسني ACL ترتیباتو بدلولو وروسته د getfacl کمانډ محصول.

[root@server1 /]# setfacl -m g:sales:rx /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
group:sales:r-x
mask::r-x
other::r-x

اوس چې تاسو پوهیږئ چې څنګه د ACL ګروپ تنظیم کړئ، د کاروونکو او نورو کاروونکو لپاره د ACLs پوهیدل اسانه دي. د مثال په توګه، امر setfacl -mu:linda:rwx/data د /ډاټا ډایرکټر کې د لینډا کارونکي ته اجازه ورکوي پرته له دې چې مالک یې جوړ کړي یا د اوسني مالک دنده بدل کړي.

ټیم سیټفاکل ډیری ځانګړتیاوې او اختیارونه لري. یو اختیار په ځانګړې توګه مهم دی، پیرامیټر -R. که کارول کیږي، اختیار د ټولو فایلونو او فرعي ډایرکټرونو لپاره ACL سیټ کوي چې دا مهال په هغه لارښود کې شتون لري چیرې چې تاسو ACL تنظیم کړی. دا سپارښتنه کیږي چې تاسو تل دا اختیار وکاروئ کله چې د موجوده لارښودونو لپاره ACLs بدل کړئ.

د ډیفالټ ACLs سره کار کول

د ACLs کارولو یوه ګټه دا ده چې تاسو کولی شئ په لارښود کې ډیری کاروونکو یا ډلو ته اجازه ورکړئ. بله ګټه دا ده چې تاسو کولی شئ د ډیفالټ ACLs سره کار کولو سره میراث فعال کړئ.

د ډیفالټ ACL تنظیم کولو سره ، تاسو هغه اجازې ټاکئ چې په لارښود کې رامینځته شوي ټولو نوي توکو لپاره به تنظیم شي. خبر اوسئ چې ډیفالټ ACL په موجوده فایلونو او فرعي لارښودونو کې اجازه نه بدلوي. د دوی د بدلولو لپاره، تاسو اړتیا لرئ یو نورمال ACL هم اضافه کړئ!

دا مهمه ده چې پوه شي. که تاسو غواړئ چې ورته لارښود ته د لاسرسي لپاره ډیری کاروونکو یا ډلو تنظیم کولو لپاره ACL وکاروئ ، نو تاسو باید ACL دوه ځله تنظیم کړئ. لومړی کارول setfacl -R -mد اوسني فایلونو لپاره ACL بدلولو لپاره. بیا یې وکاروئ setfacl-md:د ټولو نویو عناصرو پاملرنه وکړئ چې هم به رامینځته شي.

د ډیفالټ ACL تنظیم کولو لپاره تاسو یوازې اختیار اضافه کولو ته اړتیا لرئ d وروسته اختیار -m (د امر اهمیت!). نو وکاروئ setfacl -md:g:sales:rx/dataکه تاسو غواړئ د ډله ایزو پلورلو لپاره هر هغه څه چې په /ډاټا ډایرکټر کې رامینځته شوي لوستل او اجرا کړئ.

کله چې د ډیفالټ ACLs کاروئ، دا ممکن د نورو لپاره د ACLs تنظیم کولو لپاره هم ګټور وي. دا معمولا ډیر معنی نلري ځکه چې تاسو کولی شئ د نورو کارولو اجازه هم بدل کړئ کروم. په هرصورت، هغه څه چې تاسو یې نشي کولی کروم، د هغه حقونو مشخص کول دي چې باید نورو کاروونکو ته د هرې نوې فایل لپاره ورکړل شي چې تل رامینځته کیږي. که تاسو غواړئ چې د مثال په توګه په /ډاټا کې رامینځته شوي هر څه کې د نورو اجازه ترلاسه کولو مخه ونیسئ setfacl -md:o::- /data.

ACLs او نورمال اجازې تل ښه مدغم ندي. ستونزې رامینځته کیدی شي که تاسو په ډایرکټر کې ډیفالټ ACL پلي کړئ ، نو بیا په هغه لارښود کې توکي اضافه کیږي ، او بیا د عادي اجازې بدلولو هڅه وکړئ. هغه بدلونونه چې په نورمال اجازو کې پلي کیږي د ACL عمومي لید کې به ښه منعکس نشي. د ستونزو څخه مخنیوي لپاره ، لومړی نورمال اجازې تنظیم کړئ ، بیا د ډیفالټ ACLs تنظیم کړئ (او له هغې وروسته یې بیا بدلولو هڅه مه کوئ).

د ACLs په کارولو سره د لوړ حقونو مدیریت بیلګه

په دې مثال کې، تاسو به د /data/account او /data/sales لارښودونو سره دوام ورکړئ چې تاسو مخکې جوړ کړی. په تیرو مثالونو کې، تاسو ډاډه کړی چې د پلور ګروپ د /data/sales اجازه لري او د حساب ګروپ په /data/account کې اجازه لري.

لومړی، ډاډ ترلاسه کړئ چې د حساب ګروپ د /data/sales په لارښود کې د لوستلو اجازه ترلاسه کوي او د پلور ګروپ د /data/account ډایرکټر کې د لوستلو اجازه ترلاسه کوي.

تاسو بیا ډیفالټ ACLs تنظیم کړئ ترڅو ډاډ ترلاسه کړئ چې ټولې نوې فایلونه د ټولو نوي توکو لپاره سم اجازې لري.

یو ټرمینل خلاص کړئ.
چلول setfacl -mg:account:rx/data/sales и setfacl -mg:sales:rx/data/account.
چلول getfaclترڅو ډاډ ترلاسه کړئ چې اجازې هغه ډول تنظیم شوي چې تاسو یې غواړئ.
چلول setfacl -md:g:account:rwx,g:sales:rx/data/salesد پلور لارښود لپاره ډیفالټ ACL تنظیم کول.
د /ډاټا/حساب لارښود لپاره ډیفالټ ACL اضافه کړئ په کارولو سره setfacl -md:g:sales:rwx,g:account:rx/data/account.
تایید کړئ چې د ACL تنظیمات په /data/sales کې د نوي فایل اضافه کولو سره اغیزمن دي. بشپړ ټچ /ډاټا/پلور/نوی فایل او وکړي getfacl/data/sales/newfile د اوسني اجازې چک کولو لپاره.

د umask سره د ډیفالټ اجازې تنظیم کول

پورته، تاسو زده کړل چې څنګه د ډیفالټ ACLs سره کار وکړئ. که تاسو ACL نه کاروئ، نو د شیل اختیار شتون لري چې د ډیفالټ اجازه ټاکي چې تاسو به یې ترلاسه کړئ: اوسمک (د معکوس ماسک). پدې برخه کې ، تاسو به زده کړئ چې څنګه د ډیفالټ اجازې سره بدل کړئ اوسمک.

تاسو شاید لیدلي وي چې کله تاسو نوې فایل رامینځته کړئ ، ځینې ډیفالټ اجازې تنظیم شوي. دا اجازې د ترتیب لخوا ټاکل کیږي اوسمک. دا شیل ترتیب په ټولو کاروونکو باندې د ننوتلو په وخت کې پلي کیږي. په پیرامیټر کې اوسمک یو شمیري ارزښت کارول کیږي، کوم چې د اعظمي اجازې څخه کم شوی چې د فایل لپاره په اتوماتيک ډول ټاکل کیدی شي؛ د فایلونو لپاره اعظمي ترتیب 666 دی او د لارښودونو لپاره 777 دی.

په هرصورت، ځینې استثناوې په دې قانون کې پلي کیږي. تاسو کولی شئ د ترتیباتو بشپړه کتنه ومومئ اوسمک په لاندې جدول کې.

د هغو شمیرو څخه چې په کې کارول کیږي اوسمکلکه څنګه چې د کمانډ لپاره د شمیري دلیلونو په صورت کې کروم، لومړۍ عدد د کارونکي اجازې ته اشاره کوي ، دویمه عدد د ډلې اجازې ته راجع کوي ، او وروستۍ شمیره د نورو لپاره ټاکل شوي ډیفالټ اجازې ته اشاره کوي. مطلب اوسمک ډیفالټ 022 د ټولو نوي فایلونو لپاره 644 او ستاسو په سرور کې رامینځته شوي ټولو نوي لارښودونو لپاره 755 ورکوي.

د ټولو عددي ارزښتونو بشپړه کتنه اوسمک او د دوی پایلې په لاندې جدول کې.

د لیدلو لپاره یوه اسانه لار چې د umask ترتیب څنګه کار کوي په لاندې ډول دي: د فایل ډیفالټ اجازې سره پیل کړئ 666 ته ټاکل شوي او د مؤثره اجازې ترلاسه کولو لپاره umask تخفیف کړئ. د 777 ډایرکټر او د هغې ډیفالټ اجازې لپاره ورته کار وکړئ.

د umask ترتیب بدلولو لپاره دوه لارې شتون لري: د ټولو کاروونکو لپاره او د انفرادي کاروونکو لپاره. که تاسو غواړئ د ټولو کاروونکو لپاره umask تنظیم کړئ، تاسو باید ډاډ ترلاسه کړئ چې د شیل چاپیریال فایلونو پیل کولو په وخت کې د umask ترتیب په پام کې نیول شوی، لکه څنګه چې په /etc/profile کې مشخص شوي. سمه طریقه دا ده چې یو شیل سکریپټ جوړ کړئ چې د umask.sh په نوم په /etc/profile.d ډایرکټر کې وي او هغه umask مشخص کړئ چې تاسو یې په دې شیل سکریپټ کې کارول غواړئ. که په دې فایل کې umask بدل شوی وي، دا په سرور کې د ننوتلو وروسته په ټولو کاروونکو باندې پلي کیږي.

د /etc/profile او اړوندو فایلونو له لارې د umask د تنظیم کولو بدیل، چیرته چې دا د ټولو کاروونکو لپاره چې ننوځي، د .profile په نوم فایل کې د umask ترتیبات بدلول دي چې د هر کارونکي کور لارښود کې رامینځته کیږي.

په دې فایل کې پلي شوي ترتیبات یوازې د انفرادي کارونکي لپاره پلي کیږي؛ له همدې امله دا یو ښه میتود دی که تاسو نورو توضیحاتو ته اړتیا لرئ. زه شخصا دا فیچر خوښوم چې د روټ کارونکي لپاره ډیفالټ اماسک 027 ته بدل کړئ پداسې حال کې چې نورمال کارونکي د 022 ډیفالټ umask سره چلیږي.

د پراخه کارونکي ځانګړتیاو سره کار کول

دا د لینکس اجازې وروستۍ برخه ده.

کله چې د اجازې سره کار کوئ، تل د یو کارونکي یا ګروپ اعتراض او هغه اجازې ترمنځ اړیکه شتون لري چې کاروونکي یا ګروپ توکي په فایل یا لارښود کې لري. په لینکس سرور کې د فایلونو ساتلو لپاره بدیل میتود د ځانګړتیاو سره کار کول دي.
ځانګړتیاوې خپل کار کوي پرته لدې چې کارونکي فایل ته لاسرسی ولري.

لکه څنګه چې د ACLs سره، د فایل ځانګړتیاوې ممکن د اختیار شاملولو ته اړتیا ولري غره.

دا یو اختیار دی کارن_xattr. که تاسو د "عمل ملاتړ نه کوي" پیغام ترلاسه کړئ کله چې د پراخ شوي کارونکي ځانګړتیاو سره کار کوئ، ډاډ ترلاسه کړئ چې پیرامیټر تنظیم کړئ غره په /etc/fstab کې.

ډیری صفات مستند شوي دي. ځینې ځانګړتیاوې شتون لري مګر لاهم پلي شوي ندي. دوی مه کاروئ؛ دوی به تاسو ته هیڅ شی نه راوړي.

لاندې خورا ګټور ځانګړتیاوې دي چې تاسو یې پلي کولی شئ:

A دا خاصیت ډاډ ورکوي چې د فایل فایل لاسرسي وخت نه بدلیږي.
عموما، هرکله چې فایل پرانیستل شي، د فایل لاسرسي وخت باید د فایل میټاډاټا کې ثبت شي. دا په فعالیت منفي اغیزه کوي؛ نو د هغو فایلونو لپاره چې په منظمه توګه لاسرسی کیږي، خاصیت A د دې خصوصیت غیر فعالولو لپاره کارول کیدی شي.

a دا خاصیت تاسو ته اجازه درکوي چې فایل اضافه کړئ مګر لرې نه کړئ.

c که تاسو د فایل سیسټم کاروئ چې د حجم کچې کمپریشن ملاتړ کوي ، د فایل ځانګړتیا دا ډاډ ورکوي چې فایل د لومړي ځل لپاره فشار شوی دی کله چې د کمپریشن میکانیزم فعال شوی وي.

D دا خاصیت ډاډ ورکوي چې په فایلونو کې بدلونونه سمدلاسه ډیسک ته لیکل شوي نه د لومړي زیرمه شوي. دا د مهم ډیټابیس فایلونو کې ګټور خصوصیت دی ترڅو ډاډ ترلاسه کړي چې دوی د فایل کیچ او هارډ ډرایو ترمینځ له لاسه نه ورکوي.

d دا خاصیت ډاډ ورکوي چې فایل به په بیک اپ کې خوندي نشي چیرې چې د ډمپ افادیت کارول کیږي.

I دا خاصیت د هغه ډایرکټر لپاره لیست کول فعالوي چیرې چې دا فعال شوی. دا د لومړني فایل سیسټمونو لکه Ext3 لپاره ګړندي فایل لاسرسی چمتو کوي چې د ګړندي فایل لاسرسي لپاره د B-tree ډیټابیس نه کاروي.

i دا خاصیت فایل بدلیدونکی کوي. له همدې امله ، په فایل کې هیڅ بدلون نشي رامینځته کیدی ، کوم چې د فایلونو لپاره ګټور دی چې اضافي محافظت ته اړتیا لري.

j دا خاصیت ډاډ ورکوي چې په ext3 فایل سیسټم کې، فایل لومړی ژورنال ته لیکل کیږي او بیا په هارډ ډیسک کې ډیټا بلاکونو ته.

s هغه بلاکونه بیا ولیکئ چیرې چې فایل د فایل حذف کولو وروسته 0s ته خوندي شوی و. دا ډاډ ورکوي چې یو فایل بیرته نه شي بحال کیدی کله چې دا حذف شي.

u دا خاصیت د حذف کولو په اړه معلومات ذخیره کوي. دا تاسو ته اجازه درکوي یو افادیت رامینځته کړئ چې د دې معلوماتو سره کار کوي ترڅو حذف شوي فایلونه وژغوري.

که تاسو غواړئ چې ځانګړتیاوې پلي کړئ، تاسو کولی شئ کمانډ وکاروئ چیټ. د مثال په توګه، کارول chattr +s somefileپه ځینې فایل کې د ځانګړتیاو پلي کولو لپاره. د ځانګړتیا لرې کولو ته اړتیا لرئ؟ بیا یې وکاروئ chattr -s somefileاو دا به لیرې شي. د ټولو ځانګړتیاو عمومي لید ترلاسه کولو لپاره چې اوس مهال پلي شوي ، کمانډ وکاروئ lsattr.

لنډیز

پدې مقاله کې ، تاسو زده کړل چې څنګه د اجازې سره کار وکړئ. تاسو د دریو اساسي اجازو، پرمختللي اجازې، او د فایل سیسټم کې د ACLs پلي کولو څرنګوالي په اړه ولولئ. تاسو دا هم زده کړل چې څنګه د ډیفالټ اجازې پلي کولو لپاره د umask اختیار وکاروئ. د دې مقالې په پای کې ، تاسو د فایل سیسټم امنیت اضافي پرت پلي کولو لپاره د کارونکي لخوا تمدید شوي صفاتو کارولو څرنګوالي زده کړل.

که تاسو دا ژباړه خوښه کړې، نو مهرباني وکړئ په تبصرو کې یې ولیکئ. د ګټورو ژباړو لپاره به ډیر هڅونه وي.

په مقاله کې ځینې ټایپونه او ګرامري تېروتنې سمې کړې. د ښه لوستلو وړتیا لپاره ځینې لوی پاراګرافونه کوچني ته راکم کړئ.

د دې پرځای "یوازې هغه څوک چې لارښود ته اداري حقونه لري کولی شي د اجرا اجازه غوښتنه وکړي." "یوازې هغه څوک چې په ډایرکټر کې د لیکلو اجازې لري کولی شي د اجرایوي اجازې غوښتنه وکړي." ، کوم چې به ډیر سم وي.

د نظرونو لپاره مننه بیریز.

بدل شوی:
که تاسو د کارونکي مالک نه یاست، شیل به وګوري چې ایا تاسو د یوې ډلې غړی یاست، چې د فایل ګروپ په نوم هم پیژندل کیږي.

په:
که تاسو د فایل مالک نه یاست، شیل به وګوري چې ایا تاسو د یوې ډلې غړی یاست چې په فایل کې اجازه لري. که تاسو د دې ډلې غړی یاست، نو تاسو به د هغه اجازې سره فایل ته لاسرسی ومومئ چې ګروپ ټاکلی وي، او شیل به چک کول ودروي.

ستاسو د نظر څخه مننه CryptoPirate

سرچینه: www.habr.com

په لینکس کې اجازې (chown، chmod، SUID، GUID، چپکونکی بټ، ACL، umask)