Linuxda ruxsatlar (chown, chmod, SUID, GUID, yopishqoq bit, ACL, umask)

Hammaga salom. Bu RedHat RHCSA RHCE 7 RedHat Enterprise Linux 7 EX200 va EX300 kitobidan maqolaning tarjimasi.

Durang: Umid qilamanki, maqola nafaqat yangi boshlanuvchilar uchun foydali bo'ladi, balki tajribali ma'murlarga o'z bilimlarini soddalashtirishga yordam beradi.

Keling, boraylik.

Linuxda fayllarga kirish uchun ruxsatlardan foydalaniladi. Ushbu ruxsatlar uchta ob'ektga beriladi: fayl egasi, guruh egasi va boshqa ob'ekt (ya'ni, hamma). Ushbu maqolada siz ruxsatlarni qanday qo'llashni o'rganasiz.

Ushbu maqola asosiy tushunchalarni ko'rib chiqish bilan boshlanadi, keyin esa Maxsus ruxsatlar va kirishni boshqarish ro'yxati (ACL) muhokama qilinadi. Ushbu maqolaning oxirida biz umask orqali standart ruxsatlarni o'rnatish, shuningdek kengaytirilgan foydalanuvchi atributlarini boshqarishni ko'rib chiqamiz.

Fayl egaliklarini boshqarish

Ruxsatlarni muhokama qilishdan oldin siz fayl va katalog egasining rolini bilishingiz kerak. Fayllar va kataloglarga egalik ruxsatnomalar bilan ishlash uchun juda muhimdir. Ushbu bo'limda siz birinchi navbatda egasini qanday ko'rishingiz mumkinligini bilib olasiz. Keyin siz fayl va kataloglar uchun guruh egasi va foydalanuvchisini qanday o'zgartirishni o'rganasiz.

Fayl yoki katalog egasini ko'rsatish

Linuxda har bir fayl va har bir katalogning ikkita egasi bor: foydalanuvchi va guruh egasi.

Ushbu egalar fayl yoki katalog yaratilganda o'rnatiladi. Faylni yaratgan foydalanuvchi ushbu faylning egasiga aylanadi va xuddi shu foydalanuvchi tegishli bo'lgan asosiy guruh ham ushbu faylning egasiga aylanadi. Siz foydalanuvchi sifatida fayl yoki katalogga kirishga ruxsatingiz borligini aniqlash uchun qobiq egalik huquqini tekshiradi.

Bu quyidagi tartibda sodir bo'ladi:

1. Qobiq siz kirmoqchi bo'lgan faylning egasi ekanligingizni tekshiradi. Agar siz egasi bo'lsangiz, siz ruxsat olasiz va qobiq tekshirishni to'xtatadi.
2. Agar siz faylning egasi bo'lmasangiz, qobiq sizning faylga ruxsatlarga ega bo'lgan guruh a'zosi ekanligingizni tekshiradi. Agar siz ushbu guruhning a'zosi bo'lsangiz, faylga guruh o'rnatgan ruxsatlar bilan kirasiz va qobiq tekshirishni to'xtatadi.
3. Agar siz guruhning foydalanuvchisi ham, egasi ham bo'lmasangiz, sizga boshqa foydalanuvchilarning huquqlari beriladi (Boshqa).

Joriy eganing topshiriqlarini ko'rish uchun siz buyruqdan foydalanishingiz mumkin ls-l. Bu buyruq guruhning foydalanuvchisi va egasini ko'rsatadi. Quyida siz /home katalogidagi kataloglar egasi sozlamalarini ko'rishingiz mumkin.

[root@server1 home]# ls -l
total 8
drwx------. 3  bob            bob            74     Feb   6   10:13 bob
drwx------. 3  caroline       caroline       74     Feb   6   10:13 caroline
drwx------. 3  fozia          fozia          74     Feb   6   10:13 fozia
drwx------. 3  lara           lara           74     Feb   6   10:13 lara
drwx------. 5  lisa           lisa           4096   Feb   6   10:12 lisa
drwx------. 14 user           user           4096   Feb   5   10:35 user

Buyruq bilan ls berilgan katalogdagi fayllar egasini ko'rsatishingiz mumkin. Ba'zan tizimdagi foydalanuvchi yoki guruh egasi sifatidagi barcha fayllar ro'yxatini olish foydali bo'lishi mumkin. Buning uchun siz foydalanishingiz mumkin topish. Dalil top-foydalanuvchi bu maqsadda foydalanish mumkin. Masalan, quyidagi buyruq linda foydalanuvchisiga tegishli bo'lgan barcha fayllar ro'yxatini beradi:

find / -user linda

Siz ham foydalanishingiz mumkin topish ularning egasi sifatida ma'lum bir guruhga ega bo'lgan fayllarni qidirish.

Masalan, quyidagi buyruq guruhga tegishli barcha fayllarni qidiradi foydalanuvchilar:

find / -group users

Egasining o'zgarishi

Tegishli ruxsatnomalarni qo'llash uchun birinchi navbatda egalik huquqini hisobga olish kerak. Buning uchun buyruq bor chown. Ushbu buyruqning sintaksisini tushunish oson:

chown кто что

Masalan, quyidagi buyruq /home/account katalogining egasini linda foydalanuvchisiga o'zgartiradi:

chown linda /home/account

komanda chown Bir nechta variant mavjud, ulardan biri ayniqsa foydalidir: -R. Bu nima qilishini taxmin qilishingiz mumkin, chunki bu parametr boshqa ko'plab buyruqlar uchun ham mavjud. Bu sizga rekursiv ravishda egasini o'rnatish imkonini beradi, bu esa joriy katalogning egasini va quyida joylashgan hamma narsani o'rnatishga imkon beradi. Quyidagi buyruq /home katalogiga egalik huquqini va uning ostidagi hamma narsani linda foydalanuvchisiga o'zgartiradi:

Endi egalari quyidagicha ko'rinadi:

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 account account 62 Sep 25 21:41 account
drwx------. 2 lisa    lisa    62 Sep 25 21:42 lisa

Keling, qilaylik:

[root@localhost ~]# chown -R lisa /home/account
[root@localhost ~]#

Endi lisa foydalanuvchisi hisoblar katalogining egasiga aylandi:

[root@localhost ~]# ls -l /home
total 0
drwx------. 2 lisa account 62 Sep 25 21:41 account
drwx------. 2 lisa lisa    62 Sep 25 21:42 lisa

Guruh egasini o'zgartiring

Guruh egaligini o'zgartirishning ikki yo'li mavjud. Buni yordamida amalga oshirishingiz mumkin chown, lekin nomli maxsus buyruq mavjud chgrpbu ishni qiladi. Agar siz buyruqni ishlatmoqchi bo'lsangiz chown, foydalaning . yoki : guruh nomi oldida.

Quyidagi buyruq /home/account guruhining har qanday egasini hisob guruhiga o'zgartiradi:

chown .account /home/account

Siz foydalanishingiz mumkin chown foydalanuvchi va/yoki guruh egasini bir necha usul bilan o‘zgartirish. Mana bir nechta misollar:

• chown lisa myfile1 foydalanuvchi lisani myfile1 egasi sifatida belgilaydi.
• chown lisa.sales mening faylim foydalanuvchi lisani myfile faylining egasi sifatida belgilaydi, shuningdek, savdo guruhini xuddi shu faylning egasi sifatida belgilaydi.
• chown lisa: sotuvlar mening faylim oldingi buyruq bilan bir xil.
• chown .sales myfile foydalanuvchi egasini o'zgartirmasdan savdo guruhini myfile egasi sifatida belgilaydi.
• chown: sotuvlar mening faylim oldingi buyruq bilan bir xil.

Buyruqdan foydalanishingiz mumkin chgrpguruh egasini o'zgartirish uchun. foydalanishingiz mumkin bo'lgan quyidagi misolni ko'rib chiqing chgrp hisob katalogining egasini savdo guruhiga o'rnating:

chgrp .sales /home/account

Bunday holatda bo'lgani kabi chown, variantdan foydalanishingiz mumkin -R с chgrp, shuningdek, guruh egasini rekursiv ravishda o'zgartiring.

Standart egasini tushunish

Agar foydalanuvchi fayl yaratganda, standart egalik qo'llanilishini payqagan bo'lishingiz mumkin.
Faylni yaratgan foydalanuvchi avtomatik ravishda ushbu faylning egasiga aylanadi va foydalanuvchining asosiy guruhi avtomatik ravishda ushbu faylning egasiga aylanadi. Bu odatda /etc/passwd faylida foydalanuvchining asosiy guruhi sifatida ko'rsatilgan guruhdir. Biroq, agar foydalanuvchi bir nechta guruhning a'zosi bo'lsa, foydalanuvchi samarali asosiy guruhni o'zgartirishi mumkin.

Joriy samarali asosiy guruhni ko'rsatish uchun foydalanuvchi buyruqdan foydalanishi mumkin Guruhlar:

[root@server1 ~]# groups lisa
lisa : lisa account sales

Agar joriy linda foydalanuvchisi samarali asosiy guruhni o'zgartirmoqchi bo'lsa, u buyruqdan foydalanadi newgrpkeyin yangi samarali asosiy guruh sifatida belgilamoqchi bo'lgan guruh nomi. Buyruqdan foydalangandan so'ng newgrp asosiy guruh foydalanuvchi buyruq kiritmaguncha faol bo'ladi Chiqish yoki tizimdan chiqmang.

Quyida foydalanuvchi Linda ushbu buyruqdan qanday foydalanishi ko'rsatilgan, asosiy guruh sifatida savdo:

lisa@server1 ~]$ groups
lisa account sales
[lisa@server1 ~]$ newgrp sales
[lisa@server1 ~]$ groups
sales lisa account
[lisa@server1 ~]$ touch file1
[lisa@server1 ~]$ ls -l
total 0
-rw-r--r--. 1 lisa sales 0 Feb 6 10:06 file1

Samarali asosiy guruhni o'zgartirgandan so'ng, foydalanuvchi tomonidan yaratilgan barcha yangi fayllar o'sha guruh egasi sifatida guruhga ega bo'ladi. Dastlabki asosiy guruh sozlamalariga qaytish uchun foydalaning Chiqish.

Buyruqdan foydalana olish uchun newgrp, foydalanuvchi asosiy guruh sifatida foydalanmoqchi boʻlgan guruh aʼzosi boʻlishi kerak. Bundan tashqari, guruh paroli buyruq yordamida guruh uchun ishlatilishi mumkin gpasswd. Agar foydalanuvchi buyruqni ishlatsa newgrplekin maqsadli guruhning a'zosi emas, qobiq guruh parolini so'raydi. To'g'ri guruh parolini kiritganingizdan so'ng, yangi samarali asosiy guruh tashkil etiladi.

Asosiy huquqlarni boshqarish

Linux ruxsat berish tizimi 1970-yillarda ixtiro qilingan. O'sha yillarda hisoblash ehtiyojlari cheklanganligi sababli, asosiy ruxsat berish tizimi ancha cheklangan edi. Ushbu ruxsat tizimi fayllar va kataloglarga qo'llanilishi mumkin bo'lgan uchta ruxsatdan foydalanadi. Ushbu bo'limda siz ushbu ruxsatlardan qanday foydalanish va o'zgartirishni o'rganasiz.

O'qish, yozish va bajarish uchun ruxsatlarni tushunish

Uchta asosiy ruxsat sizga fayllarni o'qish, yozish va bajarish imkonini beradi. Ushbu ruxsatlarning ta'siri fayllar yoki kataloglarga qo'llanilganda farqlanadi. Fayl uchun o'qish ruxsati sizga faylni o'qish uchun ochish huquqini beradi. Shuning uchun siz uning mazmunini o'qishingiz mumkin, ammo bu sizning kompyuteringiz faylni u bilan biror narsa qilish uchun ochishi mumkinligini anglatadi.

Kutubxonaga kirishga muhtoj bo'lgan dastur fayli, masalan, kutubxonaga kirish huquqiga ega bo'lishi kerak. Bundan kelib chiqadiki, o'qish ruxsati fayllar bilan ishlash uchun kerak bo'lgan eng asosiy ruxsatdir.

Katalogga qo'llanilganda, o'qish ushbu katalog tarkibini ko'rsatishga imkon beradi. Shuni bilishingiz kerakki, ushbu ruxsatnoma katalogdagi fayllarni o'qishga ruxsat bermaydi. Linux ruxsat tizimi merosni bilmaydi va faylni o'qishning yagona yo'li bu faylda o'qish ruxsatnomalaridan foydalanishdir.

Siz taxmin qilganingizdek, yozish ruxsati, agar faylga qo'llanilsa, faylga yozish imkonini beradi. Boshqacha qilib aytganda, u mavjud fayllar tarkibini o'zgartirish imkonini beradi. Biroq, u yangi fayllarni yaratish yoki o'chirish yoki fayl ruxsatlarini o'zgartirishga ruxsat bermaydi. Buning uchun siz fayl yaratmoqchi bo'lgan katalogga yozishga ruxsat berishingiz kerak. Kataloglarda ushbu ruxsat sizga yangi pastki kataloglarni yaratish va o'chirish imkonini ham beradi.

Bajarish ruxsati faylni bajarish uchun kerak bo'lgan narsadir. U hech qachon sukut bo'yicha o'rnatilmaydi, bu esa Linuxni deyarli butunlay viruslarga qarshi immunitetga aylantiradi. Faqatgina katalogda yozish ruxsatiga ega bo'lgan kishi bajarish ruxsatini qo'llashi mumkin.

Quyidagilar asosiy ruxsatlardan foydalanishni umumlashtiradi:

chmod dan foydalanish

Buyruq ruxsatlarni boshqarish uchun ishlatiladi. chmod... Foydalanish chmod foydalanuvchi (foydalanuvchi), guruhlar (guruh) va boshqalar (boshqalar) uchun ruxsatlarni o'rnatishingiz mumkin. Ushbu buyruqni ikkita rejimda ishlatishingiz mumkin: nisbiy rejim va mutlaq rejim. Mutlaq rejimda asosiy ruxsatlarni o'rnatish uchun uchta raqam ishlatiladi.

Ruxsatlarni o'rnatishda kerakli qiymatni hisoblang. Agar siz /somefile ichida foydalanuvchi uchun o'qish/yozish/bajarish, guruh uchun o'qish/bajarish va boshqalar uchun o'qish/bajarishni sozlashni istasangiz, quyidagi buyruqdan foydalanasiz. chmod:

chmod 755 /somefile

Qachon foydalansangiz chmod shu tarzda, barcha joriy ruxsatlar siz o'rnatgan ruxsatlar bilan almashtiriladi.

Agar siz joriy ruxsatlarga nisbatan ruxsatlarni o'zgartirmoqchi bo'lsangiz, foydalanishingiz mumkin chmod nisbiy rejimda. Foydalanish chmod nisbiy rejimda siz nima qilishni xohlayotganingizni ko'rsatish uchun uchta ko'rsatkich bilan ishlaysiz:

1. Avval siz kimga ruxsatlarni o'zgartirmoqchi ekanligingizni aniqlaysiz. Buning uchun siz foydalanuvchidan birini tanlashingiz mumkin (u), guruh (g) va boshqalar (o).
2. Keyin joriy rejimdan ruxsatlarni qo'shish yoki olib tashlash yoki ularni mutlaqo o'rnatish uchun bayonotdan foydalanasiz.
3. Oxirida siz foydalanasiz r, w и xqaysi ruxsatlarni o'rnatmoqchi ekanligingizni ko'rsatish uchun.

Nisbiy rejimda ruxsatlarni o'zgartirganda, barcha ob'ektlar uchun ruxsatni qo'shish yoki olib tashlash uchun "to" qismini o'tkazib yuborishingiz mumkin. Masalan, ushbu buyruq barcha foydalanuvchilar uchun bajarish ruxsatini qo'shadi:

chmod +x somefile

Nisbiy rejimda ishlaganda siz murakkabroq buyruqlardan ham foydalanishingiz mumkin. Masalan, ushbu buyruq guruhga yozish ruxsatini qo'shadi va boshqalar uchun o'qish ruxsatini olib tashlaydi:

chmod g+w,o-r somefile

Foydalanishda chmod -R o+rx /ma'lumotlar siz /data katalogidagi barcha kataloglar va fayllar uchun ijro ruxsatini o'rnatdingiz. Amalga oshirish ruxsatini fayllar uchun emas, faqat kataloglar uchun o'rnatish uchun foydalaning chmod -R o+ rX /ma'lumotlar.

Katta X harfi, agar fayl allaqachon ba'zi ob'ektlar uchun bajarish ruxsatini o'rnatmagan bo'lsa, fayllar ijro ruxsatini olmasligini ta'minlaydi. Bu X-ni bajarish ruxsatnomalari bilan ishlashning oqilona usuliga aylantiradi; bu ruxsatni kerak bo'lmagan fayllarga o'rnatishdan saqlaydi.

Kengaytirilgan huquqlar

Siz hozir oʻqigan asosiy ruxsatlardan tashqari, Linuxda qoʻshimcha ruxsatlar toʻplami ham mavjud. Bu siz sukut bo'yicha o'rnatgan ruxsatnomalar emas, lekin ba'zida ular foydali qo'shimchani ta'minlaydi. Ushbu bo'limda siz ular nima ekanligini va ularni qanday sozlashni bilib olasiz.

SUID, GUID va Sticky Bit kengaytirilgan ruxsatlarni tushunish

Uchta kengaytirilgan ruxsatnomalar mavjud. Ulardan birinchisi foydalanuvchi identifikatorini (SUID) o'rnatish uchun ruxsatdir. Ba'zi maxsus holatlarda siz ushbu ruxsatni bajariladigan fayllarga qo'llashingiz mumkin. Odatiy bo'lib, bajariladigan faylni ishga tushiradigan foydalanuvchi o'z ruxsatnomalari bilan ushbu faylni ishga tushiradi.

Oddiy foydalanuvchilar uchun bu odatda dasturdan foydalanish cheklanganligini bildiradi. Biroq, ba'zi hollarda, foydalanuvchi faqat ma'lum bir vazifani bajarish uchun maxsus ruxsatlarga muhtoj.

Masalan, foydalanuvchi o'z parolini o'zgartirishi kerak bo'lgan vaziyatni ko'rib chiqing. Buning uchun foydalanuvchi o'zining yangi parolini /etc/shadow fayliga yozishi kerak. Biroq, bu fayl root bo'lmagan foydalanuvchilar tomonidan yozilmaydi:

root@hnl ~]# ls -l /etc/shadow
----------. 1 root root 1184 Apr 30 16:54 /etc/shadow

SUID ruxsati bu muammoni hal qilishni taklif qiladi. /usr/bin/passwd yordam dasturi sukut bo'yicha ushbu ruxsatdan foydalanadi. Bu shuni anglatadiki, parolni o'zgartirganda, foydalanuvchi vaqtinchalik ildizga aylanadi, bu unga /etc/shadow fayliga yozish imkonini beradi. SUID ruxsatini ko'rishingiz mumkin ls-l qanday s odatda ko'rishni kutgan holatda x maxsus ruxsatlar uchun:

[root@hnl ~]# ls -l /usr/bin/passwd
-rwsr-xr-x. 1 root root 32680 Jan 28 2010 /usr/bin/passwd

SUID ruxsati foydali ko'rinishi mumkin (va ba'zi hollarda shunday), lekin ayni paytda u potentsial xavflidir. To'g'ri qo'llanilmasa, siz tasodifan ildiz ruxsatnomalarini berishingiz mumkin. Shuning uchun men uni faqat juda ehtiyotkorlik bilan ishlatishni maslahat beraman.

Aksariyat administratorlar undan hech qachon foydalanishlari shart emas; uni faqat operatsion tizim sukut bo'yicha o'rnatishi kerak bo'lgan ba'zi fayllarda ko'rasiz.

Ikkinchi maxsus ruxsat - bu guruh identifikatori (SGID). Ushbu ruxsatning ikkita ta'siri bor. Bajariladigan faylga qo'llanilganda, u faylni bajaruvchi foydalanuvchiga fayl guruhi egasining ruxsatlarini beradi. Shunday qilib, SGID SUID bilan bir xil narsani qila oladi. Biroq, SGID bu maqsadda deyarli qo'llanilmaydi.

SUID ruxsatida bo'lgani kabi, SGID ba'zi tizim fayllariga sukut bo'yicha qo'llaniladi.

Katalogga qo'llanilganda, SGID foydali bo'lishi mumkin, chunki siz undan ushbu katalogda yaratilgan fayllar va pastki kataloglar uchun standart guruh egasini o'rnatishingiz mumkin. Odatiy bo'lib, foydalanuvchi fayl yaratganda, ularning samarali asosiy guruhi ushbu fayl uchun guruh egasi sifatida o'rnatiladi.

Bu har doim ham juda foydali emas, ayniqsa Red Hat/CentOS foydalanuvchilari o'zlarining asosiy guruhlari foydalanuvchi nomi bilan bir xil bo'lgan va foydalanuvchi yagona a'zosi bo'lgan guruhga o'rnatilganligi sababli. Shunday qilib, sukut bo'yicha, foydalanuvchi yaratgan fayllar ommaviy ravishda baham ko'riladi.

Foydalanuvchilar linda va lori buxgalteriya hisobida ishlayotgan va guruh a'zolari bo'lgan vaziyatni tasavvur qiling hisob. Odatiy bo'lib, bu foydalanuvchilar o'zlari yagona a'zo bo'lgan shaxsiy guruh a'zolaridir. Biroq, ikkala foydalanuvchi ham hisob guruhining a'zolaridir, lekin ikkinchi darajali guruh parametri sifatida.

Odatiy holat shundan iboratki, ushbu foydalanuvchilarning har biri fayl yaratganda, asosiy guruh egasiga aylanadi. Shuning uchun, sukut bo'yicha, linda lori tomonidan yaratilgan fayllarga kira olmaydi va aksincha. Biroq, agar siz umumiy guruh katalogini (aytaylik, /groups/account) yaratsangiz va ushbu katalogga SGID ruxsati qo'llanilishiga va guruh hisobi ushbu katalog uchun guruh egasi sifatida o'rnatilganligiga ishonch hosil qilsangiz, ushbu katalogda yaratilgan barcha fayllar va barcha uning pastki kataloglaridan, shuningdek, sukut bo'yicha guruh egasi sifatida guruh hisobini oling.

Shu sababli, SGID ruxsati umumiy guruh kataloglarini o'rnatish uchun juda foydali ruxsatdir.

SGID ruxsati chiqishda ko'rsatilgan ls-l qanday s odatda guruhni bajarish uchun ruxsat topadigan pozitsiyada:

[root@hnl data]# ls -ld account
drwxr-sr-x. 2 root account 4096 Apr 30 21:28 account

Maxsus ruxsatlarning uchinchisi - yopishqoq bit. Ushbu ruxsatnoma bir nechta foydalanuvchi bir katalogga yozish huquqiga ega bo'lgan muhitda fayllarni tasodifiy o'chirishdan himoya qilish uchun foydalidir. Agar yopishqoq bit ishlatilsa, foydalanuvchi faqat faylni o'z ichiga olgan fayl yoki katalogning foydalanuvchi egasi bo'lsa, faylni o'chirib tashlashi mumkin. Shu sababli, u /tmp katalogi uchun standart ruxsat sifatida ishlatiladi va umumiy guruh kataloglari uchun ham foydali bo'lishi mumkin.

Yopishqoq bitsiz, agar foydalanuvchi katalogdagi fayllarni yarata olsa, u katalogdagi fayllarni ham o'chirib tashlashi mumkin. Ommaviy guruh muhitida bu zerikarli bo'lishi mumkin. Tasavvur qiling-a, Linda va Lori foydalanuvchilari /data/account katalogiga yozish ruxsatiga ega bo'lib, hisoblar guruhi a'zolari bo'lish orqali ushbu ruxsatlarni oladilar. Shuning uchun, linda lori tomonidan yaratilgan fayllarni o'chirishi mumkin va aksincha.

Yopishqoq bitni qo'llaganingizda, foydalanuvchi faqat quyidagi shartlardan biri to'g'ri bo'lsa, fayllarni o'chirib tashlashi mumkin:

• Foydalanuvchi faylning egasidir;
• Foydalanuvchi fayl joylashgan katalogning egasi hisoblanadi.

Foydalanishda ls-l, sifatida yopishqoq bitni ko'rishingiz mumkin t Odatda boshqalar uchun ijro ruxsatini ko'radigan holatda:

[root@hnl data]# ls -ld account/
drwxr-sr-t. 2 root account 4096 Apr 30 21:28 account/

Kengaytirilgan huquqlarni qo'llash

SUID, SGID va yopishqoq bitni qo'llash uchun siz ham foydalanishingiz mumkin chmod. SUID ning raqamli qiymati 4 ga, SGID ning raqamli qiymati 2 ga, yopishqoq bit esa 1 ga teng.

Agar siz ushbu ruxsatnomalarni qo'llamoqchi bo'lsangiz, unga to'rt raqamli argument qo'shishingiz kerak chmod, uning birinchi raqami maxsus ruxsatlarga ishora qiladi. Quyidagi qator, masalan, katalogga SGID ruxsatini qo'shadi va foydalanuvchi uchun rwx, guruh va boshqalar uchun rx ni o'rnatadi:

chmod 2755 /somedir

Agar siz ishlashdan oldin o'rnatilgan joriy ruxsatlarni ko'rishingiz kerak bo'lsa, bu juda amaliy emas chmod mutlaq rejimda. (Agar bunday qilmasangiz, ruxsatlarni qayta yozish xavfi bor.) Shuning uchun, agar siz biron bir maxsus ruxsatni qo'llashingiz kerak bo'lsa, men nisbiy rejimda ishlashni tavsiya qilaman:

1. SUID foydalanish uchun chmod u+s.
2. SGID foydalanish uchun chmod g+s.
3. Yopishqoq bit foydalanish uchun chmod +t, keyin ruxsatlarni o'rnatmoqchi bo'lgan fayl yoki katalog nomi.

Jadvalda maxsus ruxsatlarni boshqarish haqida bilishingiz kerak bo'lgan hamma narsa jamlangan.

Maxsus huquqlar bilan ishlashga misol

Ushbu misolda siz guruh a'zolariga umumiy guruh katalogidagi fayllarni almashishni osonlashtirish uchun maxsus ruxsatlardan foydalanasiz. Siz identifikator bitini o'rnatilgan guruh identifikatoriga, shuningdek, yopishqoq bitga tayinlaysiz va ular o'rnatilgandan so'ng, guruh a'zolarining birgalikda ishlashini osonlashtirish uchun xususiyatlar qo'shilganligini ko'rasiz.

1. Linda foydalanuvchisi bo'lgan terminalni oching. Buyruq yordamida foydalanuvchi yaratishingiz mumkin Linda, parol qo'shing Passwd Linda.
2. Buyruq yordamida ildizda /data katalogini va /data/sales pastki katalogini yarating mkdir -p /ma'lumotlar/savdo. Bajarildi CD /ma'lumotlar/savdosavdo katalogiga o'ting. Bajarildi linda1 ga teging и linda2 ga teginglindaga tegishli ikkita bo'sh faylni yaratish.
3. Yugur su-lisa joriy foydalanuvchini savdo guruhining a'zosi bo'lgan lisa foydalanuvchisiga o'tkazish.
4. Yugur CD /ma'lumotlar/savdo va ushbu katalogdan bajaring ls-l. Linda foydalanuvchisi tomonidan yaratilgan va linda guruhiga tegishli ikkita faylni ko'rasiz. Bajarildi rm -f linda*. Bu ikkala faylni ham olib tashlaydi.
5. Yugur lisa1 ga teging и lisa2 ga tegingfoydalanuvchi lisaga tegishli ikkita fayl yaratish uchun.
6. Yugur su- root uchun imtiyozlaringizni oshirish uchun.
7. Yugur chmod g+s,o+t /ma'lumotlar/savdoguruh identifikatori (GUID) bitini hamda umumiy guruh katalogidagi yopishqoq bitni o'rnatish uchun.
8. Yugur su-linda. Keyin qiling linda3 ga teging и linda4 ga teging. Endi siz yaratgan ikkita fayl /data/sales katalogining guruh egasi bo'lgan savdo guruhiga tegishli ekanligini ko'rishingiz kerak.
9. Yugur rm -rf lisa*. Yopishqoq bit ushbu fayllarni linda foydalanuvchisi nomidan o'chirishga to'sqinlik qiladi, chunki siz ushbu fayllarning egasi emassiz. E'tibor bering, agar linda foydalanuvchisi /data/sales katalogining egasi bo'lsa, ular baribir bu fayllarni o'chirib tashlashi mumkin!

Linuxda ACL boshqaruvi (setfacl, getfacl).

Yuqorida muhokama qilingan kengaytirilgan ruxsatlar Linuxning ruxsatlarni boshqarish usuliga foydali funksiyalarni qo'shsa ham, u bir faylda bir nechta foydalanuvchi yoki guruhlarga ruxsat berishga ruxsat bermaydi.

Kirishni boshqarish ro'yxatlari ushbu xususiyatni taklif qiladi. Bundan tashqari, ular ma'murlarga standart ruxsatlarni murakkab tarzda o'rnatishga imkon beradi, bu erda o'rnatilgan ruxsatlar katalogdan katalogga farq qilishi mumkin.

ACLlarni tushunish

Garchi ACL quyi tizimi serveringizga ajoyib funksionallikni qo'shsa-da, uning bir kamchiligi bor: barcha yordamchi dasturlar uni qo'llab-quvvatlamaydi. Shunday qilib, fayllarni nusxalash yoki ko'chirishda siz ACL sozlamalarini yo'qotishingiz mumkin va zaxira dasturingiz ACL sozlamalarini zaxiralay olmay qolishi mumkin.

Tar yordam dasturi ACL ni qo'llab-quvvatlamaydi. Zaxira nusxasini yaratishda ACL sozlamalari yo'qolmasligiga ishonch hosil qilish uchun foydalaning yulduz smola o'rniga. yulduz tar bilan bir xil variantlar bilan ishlaydi; u faqat ACL sozlamalarini qo'llab-quvvatlaydi.

Bundan tashqari, ACL-larning zaxira nusxasini yaratishingiz mumkin getfacl, bu setfacl buyrug'i yordamida tiklanishi mumkin. Zaxira nusxasini yaratish uchun foydalaning getfacl -R /katalog > file.acls. Zaxira faylidan sozlamalarni tiklash uchun foydalaning setfacl --restore=file.acl.

Ba'zi vositalar tomonidan qo'llab-quvvatlanmasligi muammo bo'lmasligi kerak. ACL ko'pincha alohida fayllarga emas, balki tizimli o'lchov sifatida kataloglarga qo'llaniladi.
Shuning uchun, ularning ko'pi bo'lmaydi, faqat bir nechtasi fayl tizimidagi aqlli joylarda qo'llaniladi. Shuning uchun, zaxira dasturingiz ularni qo'llab-quvvatlamasa ham, siz ishlagan asl ACL-larni tiklash nisbatan oson.

ACL uchun fayl tizimini tayyorlash

ACL bilan ishlashni boshlashdan oldin, fayl tizimini ACL-larni qo'llab-quvvatlash uchun tayyorlashingiz kerak bo'lishi mumkin. Fayl tizimi meta-ma'lumotlarini kengaytirish kerak bo'lganligi sababli, fayl tizimida ACL uchun har doim ham standart qo'llab-quvvatlanmaydi. Fayl tizimi uchun ACL'larni o'rnatishda "operatsiya qo'llab-quvvatlanmaydi" xabarini olsangiz, fayl tizimingiz ACL'larni qo'llab-quvvatlamasligi mumkin.

Buni tuzatish uchun siz variantni qo'shishingiz kerak acl o'rnatish fayl tizimi sukut bo'yicha ACL qo'llab-quvvatlashi bilan o'rnatilishi uchun /etc/fstab ichida.

Setfacl va getfacl bilan ACL sozlamalarini o'zgartirish va ko'rish

ACL ni o'rnatish uchun sizga buyruq kerak bo'ladi setfacl. Joriy ACL sozlamalarini ko'rish uchun sizga kerak getfacl. Jamoa ls-l mavjud ACLlarni ko'rsatmaydi; u faqat ruxsatnomalar ro'yxatidan keyin + belgisini ko'rsatadi, bu ACLlar faylga ham tegishli ekanligini ko'rsatadi.

ACL larni o'rnatishdan oldin, har doim joriy ACL sozlamalarini ko'rsatish yaxshi fikrdir getfacl. Quyidagi misolda siz bilan ko'rsatilganidek, joriy ruxsatlarni ko'rishingiz mumkin ls-l, va shuningdek bilan ko'rsatilganidek getfacl. Agar siz diqqat bilan qarasangiz, ko'rsatilgan ma'lumotlar aynan bir xil ekanligini ko'rasiz.

[root@server1 /]# ls -ld /dir
drwxr-xr-x. 2 root root 6 Feb 6 11:28 /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
other::r-x

Buyruqning bajarilishi natijasida getfacl quyida uch xil ob'ekt uchun ruxsatlar ko'rsatilganligini ko'rishingiz mumkin: foydalanuvchi, guruh va boshqalar. Keling, savdo guruhiga ham o'qish va bajarish uchun ruxsat berish uchun ACL qo'shamiz. Buning uchun buyruq setfacl -mg: savdo: rx /dir. Bu jamoada -m joriy ACL sozlamalarini o'zgartirish kerakligini ko'rsatadi. Bundan keyin g:sotish:rx o'qish va bajarish ACL ni o'rnatish buyrug'ini aytadi (rx) guruh uchun (g) sotish. Quyida siz buyruq qanday ko'rinishini, shuningdek, joriy ACL sozlamalarini o'zgartirgandan so'ng getfacl buyrug'ining chiqishini ko'rishingiz mumkin.

[root@server1 /]# setfacl -m g:sales:rx /dir
[root@server1 /]# getfacl /dir
getfacl: Removing leading '/' from absolute path names
# file: dir
# owner: root
# group: root
user::rwx
group::r-x
group:sales:r-x
mask::r-x
other::r-x

Endi siz ACL guruhini qanday o'rnatishni tushunganingizdan so'ng, foydalanuvchilar va boshqa foydalanuvchilar uchun ACLlarni tushunish oson. Masalan, buyruq setfacl -mu:linda:rwx /ma'lumotlar /data katalogidagi linda foydalanuvchisiga uni egasi qilmasdan yoki joriy egasining tayinlanishini o'zgartirmasdan ruxsat beradi.

komanda setfacl ko'plab xususiyatlar va imkoniyatlarga ega. Bir variant ayniqsa muhim, parametr -R. Agar foydalanilsa, parametr ACL o'rnatgan katalogda hozirda mavjud bo'lgan barcha fayllar va pastki kataloglar uchun ACLni o'rnatadi. Mavjud kataloglar uchun ACL ni o'zgartirganda ushbu parametrdan doimo foydalanish tavsiya etiladi.

Standart ACL bilan ishlash

ACLlardan foydalanishning afzalliklaridan biri shundaki, siz katalogdagi bir nechta foydalanuvchi yoki guruhlarga ruxsat berishingiz mumkin. Yana bir afzallik shundaki, siz standart ACLlar bilan ishlash orqali merosni yoqishingiz mumkin.

Standart ACL ni o'rnatish orqali siz katalogda yaratilgan barcha yangi elementlar uchun o'rnatiladigan ruxsatlarni aniqlaysiz. Shuni yodda tutingki, standart ACL mavjud fayllar va pastki kataloglar uchun ruxsatlarni o'zgartirmaydi. Ularni o'zgartirish uchun siz oddiy ACLni ham qo'shishingiz kerak!

Buni bilish muhim. Agar siz bir nechta foydalanuvchi yoki guruhlarni bitta katalogga kirish uchun sozlash uchun ACL dan foydalanmoqchi bo'lsangiz, ACLni ikki marta o'rnatishingiz kerak. Birinchi foydalanish setfacl -R -mjoriy fayllar uchun ACLni o'zgartirish uchun. Keyin foydalaning setfacl-md:yaratiladigan barcha yangi elementlarga g'amxo'rlik qilish.

Standart ACLni o'rnatish uchun faqat variantni qo'shishingiz kerak d variantdan keyin -m (buyurtma muhim!). Shunday qilib, foydalaning setfacl -md: g: savdo: rx / ma'lumotlaragar siz guruh savdolari /data katalogida yaratilgan narsalarni o'qish va bajarishni istasangiz.

Standart ACL lardan foydalanganda, boshqalar uchun ACL larni o'rnatish ham foydali bo'lishi mumkin. Bu odatda unchalik ma'noga ega emas, chunki siz boshqalar uchun ruxsatlarni ham o'zgartirishingiz mumkin chmod. Biroq, siz nima qila olmaysiz chmod, har doim yaratilgan har bir yangi fayl uchun boshqa foydalanuvchilarga berilishi kerak bo'lgan huquqlarni belgilashdir. Agar boshqalarning /data-da yaratilgan har qanday narsaga ruxsat olishiga yo'l qo'ymaslikni istasangiz, masalan, foydalaning setfacl -md:o::- /ma'lumotlar.

ACL va oddiy ruxsatlar har doim ham yaxshi birlashtirilmaydi. Agar siz katalogga standart ACLni qo'llasangiz, keyin ushbu katalogga elementlar qo'shilsa va keyin oddiy ruxsatlarni o'zgartirishga harakat qilsangiz, muammolar paydo bo'lishi mumkin. Oddiy ruxsatlarga taalluqli o'zgarishlar ACL umumiy ko'rinishida yaxshi aks ettirilmaydi. Muammolarni oldini olish uchun avval oddiy ruxsatlarni o'rnating, so'ngra standart ACL larni o'rnating (va keyin ularni boshqa o'zgartirmaslikka harakat qiling).

ACL yordamida yuqori huquqlarni boshqarishga misol

Ushbu misolda siz avval yaratilgan /data/account va /data/sales kataloglari bilan davom etasiz. Oldingi misollarda siz savdo guruhining /data/sales va hisob guruhining /data/account ruxsatnomalariga ega ekanligiga ishonch hosil qildingiz.

Birinchidan, hisob guruhi /data/savdo katalogida o'qish ruxsatini olishiga ishonch hosil qiling va savdo guruhi /data/account katalogida o'qish ruxsatini oladi.

Keyin barcha yangi fayllar barcha yangi elementlar uchun to'g'ri ruxsatlarga ega ekanligiga ishonch hosil qilish uchun standart ACL larni o'rnatasiz.

1. Terminalni oching.
2. Yugur setfacl -mg: hisob: rx /ma'lumotlar/savdo и setfacl -mg: savdo: rx /ma'lumotlar/hisob.
3. Yugur getfaclruxsatlar siz xohlagan tarzda o'rnatilganligiga ishonch hosil qilish uchun.
4. Yugur setfacl -md:g:hisob:rwx,g:sales:rx /ma'lumotlar/savdosavdo katalogi uchun standart ACLni o'rnatish uchun.
5. Foydalanishda /data/account katalogi uchun standart ACL qo'shing setfacl -md:g:sotish:rwx,g:hisob:rx /data/hisob.
6. /data/sales-ga yangi fayl qo'shish orqali ACL sozlamalari amalda ekanligini tekshiring. Bajarildi /ma'lumotlar/savdo/yangi faylga teging va bajaring getfacl /data/sales/newfile joriy ruxsatlarni tekshirish uchun.

Umask bilan standart ruxsatlarni o'rnatish

Yuqorida siz standart ACL bilan qanday ishlashni o'rgandingiz. Agar siz ACL dan foydalanmasangiz, siz oladigan standart ruxsatlarni belgilaydigan qobiq opsiyasi mavjud: umask (teskari niqob). Ushbu bo'limda siz standart ruxsatlarni qanday o'zgartirishni o'rganasiz umask.

Yangi fayl yaratganingizda, ba'zi bir standart ruxsatlar o'rnatilganligini payqagan bo'lishingiz mumkin. Ushbu ruxsatnomalar sozlamalar bilan belgilanadi umask. Ushbu qobiq sozlamalari tizimga kirgan barcha foydalanuvchilar uchun amal qiladi. Parametrda umask fayl uchun avtomatik ravishda o'rnatilishi mumkin bo'lgan maksimal ruxsatlardan ayiriladigan raqamli qiymat ishlatiladi; fayllar uchun maksimal sozlama 666 va kataloglar uchun 777.

Biroq, bu qoidaga ba'zi istisnolar qo'llaniladi. Siz sozlamalarning to'liq ko'rinishini topishingiz mumkin umask quyidagi jadvalda.

Ishlatilgan raqamlardan umask, buyruq uchun raqamli argumentlar misolida bo'lgani kabi chmod, birinchi raqam foydalanuvchi ruxsatlarini, ikkinchi raqam guruh ruxsatlarini, oxirgisi esa boshqalar uchun belgilangan standart ruxsatlarni bildiradi. Ma'nosi umask standart 022 barcha yangi fayllar uchun 644 va serveringizda yaratilgan barcha yangi kataloglar uchun 755 ni beradi.

Barcha raqamli qiymatlarning to'liq ko'rinishi umask va ularning natijalari quyidagi jadvalda keltirilgan.

Umask sozlamalari qanday ishlashini ko'rishning oson yo'li quyidagicha: faylning standart ruxsatnomalaridan 666 ga o'rnatilgandan boshlang va samarali ruxsatlarni olish uchun umaskni ayiring. Katalog va uning standart ruxsatnomalari 777 uchun ham xuddi shunday qiling.

Umask sozlamasini o'zgartirishning ikki yo'li mavjud: barcha foydalanuvchilar uchun va individual foydalanuvchilar uchun. Agar siz barcha foydalanuvchilar uchun umaskni o'rnatmoqchi bo'lsangiz, /etc/profile-da ko'rsatilganidek, qobiq muhiti fayllarini ishga tushirishda umask sozlamasi hisobga olinishini ta'minlashingiz kerak. To'g'ri yondashuv - /etc/profile.d katalogida umask.sh deb nomlangan qobiq skriptini yaratish va ushbu qobiq skriptida foydalanmoqchi bo'lgan umaskni ko'rsatish. Agar ushbu faylda umask o'zgartirilsa, u serverga kirgandan so'ng barcha foydalanuvchilarga qo'llaniladi.

Umaskni /etc/profile va tegishli fayllar orqali o'rnatishga muqobil bo'lib, u tizimga kirgan barcha foydalanuvchilar uchun amal qiladi, har bir foydalanuvchining uy katalogida yaratilgan .profile nomli fayldagi umask sozlamalarini o'zgartirishdir.

Ushbu faylda qo'llaniladigan sozlamalar faqat individual foydalanuvchi uchun amal qiladi; shuning uchun agar sizga batafsil ma'lumot kerak bo'lsa, bu yaxshi usul. Oddiy foydalanuvchilar standart umask 027 bilan ishlayotgan paytda ildiz foydalanuvchisi uchun standart umaskni 022 ga o'zgartirish uchun men shaxsan bu xususiyatni yoqtiraman.

Kengaytirilgan foydalanuvchi atributlari bilan ishlash

Bu Linux ruxsatnomalari bo'yicha oxirgi bo'lim.

Ruxsatlar bilan ishlashda har doim foydalanuvchi yoki guruh obyekti va foydalanuvchi yoki guruh obyektlarining fayl yoki katalogdagi ruxsatlari oʻrtasida bogʻliqlik mavjud. Linux serveridagi fayllarni himoya qilishning muqobil usuli atributlar bilan ishlashdir.
Atributlar foydalanuvchi faylga kirishidan qat'iy nazar o'z vazifalarini bajaradi.

ACL'larda bo'lgani kabi, fayl atributlari opsiyani o'z ichiga olishi kerak bo'lishi mumkin tog'i.

Bu variant user_xattr. Kengaytirilgan foydalanuvchi atributlari bilan ishlashda "operatsiya qo'llab-quvvatlanmaydi" xabarini olsangiz, parametrni o'rnatganingizga ishonch hosil qiling. tog'i /etc/fstab ichida.

Ko'pgina atributlar hujjatlashtirilgan. Ba'zi atributlar mavjud, ammo hali amalga oshirilmagan. Ulardan foydalanmang; ular sizga hech narsa olib kelmaydilar.

Quyida siz qo'llashingiz mumkin bo'lgan eng foydali atributlar keltirilgan:

A Ushbu atribut faylning faylga kirish vaqti o'zgarmasligini ta'minlaydi.
Odatda, har safar fayl ochilganda, faylga kirish vaqti faylning metamaʼlumotlarida qayd etilishi kerak. Bu ishlashga salbiy ta'sir qiladi; shuning uchun muntazam ravishda foydalaniladigan fayllar uchun atribut A bu xususiyatni o'chirish uchun foydalanish mumkin.

a Ushbu atribut faylni qo'shishga, lekin olib tashlashga imkon beradi.

c Agar siz tovush darajasidagi siqishni qo'llab-quvvatlaydigan fayl tizimidan foydalansangiz, ushbu fayl atributi siqish mexanizmi birinchi marta yoqilganda faylning siqilishini ta'minlaydi.

D Ushbu atribut fayllardagi o'zgarishlarni avval keshlashdan ko'ra darhol diskka yozishni ta'minlaydi. Bu fayl keshi va qattiq disk o'rtasida yo'qolib ketmasligiga ishonch hosil qilish uchun muhim ma'lumotlar bazasi fayllarida foydali atributdir.

d Bu atribut faylning dump yordam dasturidan foydalaniladigan zaxira nusxalarida saqlanmasligini ta'minlaydi.

I Ushbu atribut o'zi yoqilgan katalogni indekslashni ta'minlaydi. Bu faylga tezkor kirish uchun B-tree ma'lumotlar bazasidan foydalanmaydigan Ext3 kabi ibtidoiy fayl tizimlari uchun fayllarga tezroq kirish imkonini beradi.

i Ushbu atribut faylni o'zgarmas qiladi. Shuning uchun faylga hech qanday o'zgartirish kiritib bo'lmaydi, bu qo'shimcha himoyaga muhtoj bo'lgan fayllar uchun foydalidir.

j Ushbu atribut ext3 fayl tizimida fayl avval jurnalga, so'ngra qattiq diskdagi ma'lumotlar bloklariga yozilishini ta'minlaydi.

s Fayl o'chirilgandan so'ng fayl 0 ga saqlangan bloklarni qayta yozing. Bu fayl o'chirilgandan keyin uni qayta tiklab bo'lmasligini ta'minlaydi.

u Ushbu atribut o'chirish haqidagi ma'lumotlarni saqlaydi. Bu sizga o'chirilgan fayllarni qutqarish uchun ushbu ma'lumotlar bilan ishlaydigan yordamchi dasturni ishlab chiqish imkonini beradi.

Agar siz atributlarni qo'llamoqchi bo'lsangiz, buyruqni ishlatishingiz mumkin suhbatlashish. Masalan, foydalaning chattr +s ba'zi faylba'zi faylga atributlarni qo'llash. Atributni olib tashlash kerakmi? Keyin foydalaning chattr -s ba'zi faylva u o'chiriladi. Hozirda qo'llaniladigan barcha atributlar haqida umumiy ma'lumot olish uchun buyruqdan foydalaning lsattr.

Xulosa

Ushbu maqolada siz ruxsatnomalar bilan qanday ishlashni o'rgandingiz. Siz uchta asosiy ruxsat, kengaytirilgan ruxsatlar va fayl tizimida ACL larni qanday qo'llash haqida o'qidingiz. Shuningdek, siz standart ruxsatlarni qo'llash uchun umask opsiyasidan qanday foydalanishni o'rgandingiz. Ushbu maqolaning oxirida siz fayl tizimi xavfsizligining qo'shimcha qatlamini qo'llash uchun foydalanuvchi tomonidan kengaytirilgan atributlardan qanday foydalanishni o'rgandingiz.

Agar sizga ushbu tarjima yoqqan bo'lsa, iltimos, bu haqda sharhlarda yozing. Foydali tarjimalar qilish uchun ko'proq motivatsiya bo'ladi.

Maqolada ba'zi imlo xatolari va grammatik xatolar tuzatildi. Yaxshiroq o'qilishi uchun ba'zi katta hajmli paragraflar kichikroqlarga qisqartirildi.

"Faqat katalogga ma'muriy huquqlarga ega bo'lgan shaxs bajarish uchun ruxsat olishi mumkin" o'rniga. "Faqat katalogda yozish ruxsatiga ega bo'lgan kishi bajarish uchun ruxsatnomani qo'llashi mumkin." ga o'rnatildi, bu to'g'riroq bo'ladi.

Fikrlar uchun rahmat berez.

O'zgartirildi:
Agar siz foydalanuvchining egasi bo'lmasangiz, qobiq sizning fayl guruhi sifatida ham tanilgan guruh a'zosi ekanligingizni tekshiradi.

Ustida:
Agar siz faylning egasi bo'lmasangiz, qobiq sizning faylga ruxsatlarga ega bo'lgan guruh a'zosi ekanligingizni tekshiradi. Agar siz ushbu guruhning a'zosi bo'lsangiz, faylga guruh o'rnatgan ruxsatlar bilan kirasiz va qobiq tekshirishni to'xtatadi.

Fikringiz uchun rahmat CryptoPirate

Manba: www.habr.com