Работа с правами в Linux

0
(0)

Рассмотрим как работают стандартные права в linux — sticky bit, suid, guid, umask и acl.

Начнем с обычных прав. Создадим директорию test и файл test внутри директории test ).

Права в linux условно деляться на три колонки.

  1. Права владельца(пользователя) в данном случае rw.
  2. Права группы — также rw.
  3. Права для всех остальных — r.

Стандартный набор прав это rwx — read, write, execute, что означает чтение, запись, выполнение соответственно.

Менять права можно через команду chmod используя при этом как буквенное обозначение, так и битовое.

Чтобы изменить права на файл для пользователя, добавив бит исполнения, выполним следующую команду:

Вначале указываем кому даем права u — user, ставим + и какие права добавляем.

Соответственно исходя их этого можно комбинировать буквы в различных вариациях.

Далее рассмотрим как делать тоже самое, но с битами доступа и собственно как их считать.

Максимально возможное значение имеет вид 777. Что это значит?

rwx = 421 соответственно. Следовательно первая 7 — 4+2+1. Также и во всех остальных случаях.

Например мы хотим задать rw |r|r , в битовом представление это будет так:

rw- = 4+2+0 = 6, r— = 4+0+0 = 4, также с последним r, в итоге получаем 644. Довольно просто.

SETUID, SETGID и Sticky bit

Все эти биты, дополнительные и могут также задаваться через буквенное или битовое представление.

setuid — дополнительный бит доступа позволяющей пользователю получить права владельца запускаемого файла. Самый популярный пример — это утилита sudo. Ее можно запустить от обычного пользователя, но получив права владельца утилиты.

В выводе помечается флагом s вместо x.

Давайте рассмотрим такой пример. Если из под непривелигированного пользователя выполнить команду cat /etc/shadow, то получим ошибку прав.

Смотрим какие биты есть у команды cat, меняем их из под рута, добавляя setuid и выполняем команду выше еще раз, от обычного пользователя.

Как видим все работает. Машина тестовая, поэтому можно светить shadow немного)

Также тут можно заметить, что для задания доп битов в битовом представлении работает все таже схема выше, только теперь перед основными правами, мы должны дописать еще один дополнительный бит — 4,2,1 для setuid, setgid, sticky bit соответственно.

setgid — ровно тоже самое что и setgid, только права пользователю из под которого запускается утилита повышаются до группы владельца файла. Устанавливается также, только вместо u указываем g, те группа +s. Ну либо через биты. Отображается в системе также в виде буквы «s», но только в группе.

sticky bit — последний дополнительный бит, который если установлен на директорию, то удалить файлы внутри этой директории может только владелец файлов. Обычно этот бит выставлен на директории /tmp, помечается буквой «t».

UMASK — параметр позволяющий создавать файлы и директории с определенными правами по умолчанию. Значение umask вычетается из дефолтных прав, которые для файла будут «666», а для директории «777». Следовательно встречающийся очень часто дефолтный umask — 022, создаст файл с правами 666-022=644, а директорию с правами 777-022=755.

Создадим пустой файл и посмотрим права.

-rw-r—r— = 0644.

Создадим директорию

Права выдались — 755. Umask работает корректно.

ACL

Есть еще в linux дополнительная штука ACL, которая позволяет более гибко управлять правами.

Посмотреть права чего либо можно через команду getfacl

Она также показывает дополнительные флаги о которых мы говорили выше. Если в выводе команды ls -l <file> в строке прав присутствует знак + в конце, это говорит о том, что к данному файлу применен ACL.

Задать права ACL можно через команду setfactl

Синтаксис достаточно простой, мы указываем кому даем права , указываем имя пользователя/группы и сами права.

Насколько статья полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.

Оставить комментарий