Права доступа и администрирование системы

Установка и поддержание оптимальных прав доступа является одной из важнейших задач системного администратора. Права должны быть достаточными для нормальной работы пользователей и программ, но небольшими, чем необходимо для такой работы. Поскольку программы, исполняемые от имени суперпользователя (root), могут совершать любые действия с любыми файлами и каталогами, их выполнение может нанести системе серьѐзный ущерб. Это может быть как следствием уязвимостей или ошибок в программах, так и результатом ошибочных действий самого пользователя. Поэтому работа с правами суперпользователя требует особой осторожности. Чтобы уменьшить связанные с этим риски рекомендуется для выполнения задач, требующих таких прав, использовать утилиту sudo.

Основные команды

Ниже перечислены важнейшие команды для решения задач, связанных справами доступа. Обратитесь к документации по системе для получения информации об использовании этих команд.

$chmod - Изменение прав доступа к файлу или каталогу.

$chown - Изменение владельца файла.

$chgroup - Изменение группы, которой принадлежит файл.

1.

1.1.

1.1.1.

Изменение прав

Команда chmod используется для изменения прав доступа на файл или директорию. Существует 2 способа, с помощью которых можно задавать права. Если рассматривать настройки прав, как последовательность битов (как их рассматривает компьютер), то все окажется просто, например:

 

rwx rwx rwx = 111 111 111

rw- rw- rw- = 110 110 110

rwx --- --- = 111 000 000

 

Т.е. наличие буквы - это единица, прочерк - ноль. Если эту последовательность перевести в восьмеричную систему исчисления (или если проще, то перевести каждую тройку цифр из двоичной системы в десятичную, например, 111 = 2² + 2¹ + 2⁰ = 4 + 2 + 1 = 7), то получим:

 

rwx rwx rwx = 777

rw- rw- rw- = 666

rwx --- --- = 700

 

Именно такой формат чаще всего встречается при работе с правами доступа. Например, чтобы установить все права всем:

 

user@snort-ubuntu:~$ chmod 777 some.rar

 

Есть более простой способ закодировать права доступа. Стоит запомнить, что права на чтение - это 4, на запись - 2, на выполнение - 1 и 0 - забрать права. И чтобы установить права для владельца только на чтение и у всех отобрать их, стоит поочередно складывать. Владелец (чтение): 4 + 0 +0 = 4, группа (нет прав): 0 + 0 + 0 = 0, все остальные (нет прав): 0 + 0 + 0 = 0, т.е. в нашем случае получаем 400.

 

Есть другой формат задания прав, который понимает chmod - символьный. Символьная форма позволяет установить выборочные биты кода защиты и имеет вид:

[ugoa] [+ –=] [rwxstugo] ,

где

­ u – владелец,

­ g – группа,

­ o – прочие,

­ a – все категории пользователей (по умолчанию),

­ + – разрешить доступ,

­ –  – запретить доступ,

­ = – назначить доступ,

­ r – чтение,

­ w – запись,

­ x – выполнение,

­ s – смена идентификатора пользователя или группы,

­ t – сохранение образа файла в области выгрузки,

­ ugo – оставить текущие значения бита доступа.

Например, добавить права на запись для группы:

 

user@snort-ubuntu:~$ chmod g+w some.rar

 

Убрать права на чтение и запись у всех остальных:

 

user@snort-ubuntu:~$ chmod o-rw some.rar

 

Или убрать права на выполнение для всех:

 

user@snort-ubuntu:~$ chmod a-x some.rar

Более детально об этот формат можно узнать в менуале (man chmod).

 

Для директорий схема прав доступа работает также как и для файлов, за исключением прав на выполнение. Для каталогов установка права на выполнение означает разрешение на просмотр содержимого директории.

Опции

Из самых полезных и часто используемых опций можно выделить одну:

 

§ -R - рекурсивное назначение прав. Т.е. назначить права всем объектам, руководствуясь регулярным выражением.

Например:

§ chmod -R 755 * - Назначение прав всем объектам текущего каталога, включая подкаталоги.

§ chmod -R 700 z* - Назначить полные права для владельца и исключить права для группы и всех остальных для всех объектов, которые начинаются именоваться на z, находящиеся в текущем каталоге и его подкаталогах.

⇐ Предыдущая1234567Следующая ⇒

Поделиться: