Программа FreeBSD

Опция Буква Значение

кто u Пользователь (User)

кто g Группа (Group)

кто o Другие (Other)

кто a Все (All, ''world'')

действие+ Добавление прав

действие- Удаление прав

действие= Явная установка прав

права r Чтение (Read)

права w Запись (Write)

права x Выполнение (Execute)

права t Sticky бит

права s SUID или SGID

Чтобы посмотреть права доступа и владельцев на файлы и директории в режиме листинга, можно использовать команду ls с флагом -l.

vds-admin /test# ls -l

total 2

- rwx r-- r-- 1 root wheel 0 Jun 20 11:10 file.txt

- rwx r-- r-- 1 root wheel 0 Jun 20 11:10 file.sh

d rwx r-x r-x 2 root wheel 512 Jun 20 11:10 test_dir

\_/\_/ \_/ \_/ \__/ \___/

1 2 3 4 5 6

1 - тип объекта

2 - права доступа для пользователя ( 744 )

3 - права доступа для группы ( 744 )

4 - права доступа для других ( 755 )

5 - владелец объекта

6 - группа владелец объекта

владелец группа другие

r w x r w x r w x

4-2-1 4-2-1 4-2-1

Таким макаром идет пересчет.

4+2+1 4+2+1 4+2+1

7 = 7 = 7

В нашем случае:

( 4+2+1 ) + ( 4 ) + ( 4 ) = 744

( 4+2+1 ) + ( 4 ) + ( 4 ) = 744

( 4+2+1 ) + ( 4 + 1 ) + ( 4 + 1 ) = 755

В данном листинге видно, что владельцем всех файлов является пользователь root и группа wheel. Первый символ слева в колонке прав доступа, означает тип объекта, объекты могут быть следующих типов:

- Обычный файл.

b Специальный файл блочного устройства.

c Файл символьного устройства.

d Директория.

l Символьная ссылка.

p FIFO.

s Сокет.

w Whiteout ( скрытый ).

В вышеприведенном примере: file.txt и file.sh - являются файлами, test_dir - директория.

Начиная со второго бита, запись делится по 3 символа, для пользователя, для группы, для других, в нашем случае:

· Файл file.txt, доступен на чтение и запись - пользователя, только для чтения - группой и для чтения - другим;

· Файл file.sh, доступен на чтение, запись и выполнение - пользователем, только для чтения - группой, для чтения - другим;

· test_dir, является директорией и имеет следующие права доступа, для пользователя: чтение, запись, выполнение; для группы: чтение, выполнение; для других: чтение, выполнение;

Если установлен бит SUID, то в секции 2 ( права доступа для пользователя ), вместо значения "х", будет стоять "s", если установлен бит SGID, также будет поставлен символ "s", но уже в секции 3 ( права доступа для группы ), ну и если установлен Styky-bit, в последней позиции, секции 4 ( права доступа для других ), будет установлен символ "t".

В случае, если какой-либо из этих битов был установлен, и при этом не был установлен соответствующий бит выполнения, будут установлены символы "S" для SUID и SGID и "T" для Stiky-bit, что сигнализирует об ошибке и данные атрибуты будут проигнорированы.

Не лишним будет заметить, что в операционных системах Unix, значения прав доступа для файлов и директорий, несколько различаются.

Для файлов:

· r ( Read ) - чтение. Соответствующий пользователь ( процесс ), имеет права на чтение содержимого данного файла, и копирования этого файла.

· w ( Write ) - запись. Соответствующий пользователь ( процесс ), имеет права редактировать, изменять, удалять содержимое файла, добавлять в него что-либо ( например содержимое другого файла ). Однако, это не дает прав на удаление или переименование самого файла, это определяется правами доступа на директорию, в которой этот файл находится.

· x ( eXecute ) - выполнение. Дает право, соответствующему пользователю ( процессу ), запускать данный файл, при условии что он является исполняемой программой или скриптом.

Для директорий:

· r ( Read ) - чтение. Разрешает получение списка содержимого данной директории ( файлов, поддиректорий ), однако, это еще не означает, что можно получить доступ к содержимому данной директории, читать, изменять или запускать файлы, находящиеся в ней, даже при условии, что права на самих файлах это разрешают. Как правило, данный атрибут устанавливается совместно с правами доступа на запуск, "x" ( eXecute ).

· w ( Write ) - запись. Атрибут, позволяющий менять содержимое директории, то есть, создавать в ней новые файлы, копировать в нее файлы из других директорий, переименовывать и удалять файлы.

· x ( eXecute ) - выполнение. Данный атрибут, в контексте директории, означает, что соответствующий пользователь, может зайти в директорию, получив доступ к файлам и поддиректориям и выполнять с ними какие-либо действия, при условии что права на самих файлах, это позволяют.

Важно помнить, что система полностью проверяет путь до конкретной поддиректории или файла, на наличие прав доступа, к каждому участку данного пути, и если на кокой-либо участок пути, не установлен соответствующий бит прав доступа ( x ), пользователю будет отказано в доступе. Проще говоря, есть путь: /usr/home/vds-admin/public_html/, даже если пользователь имеет достаточные права на поддиректории public_html, но на вышестоящую директорию, home, бит x не установлен, при попытке зайти в поддиректорию, ему будет отказано в доступе.

Флаги файлов

Кроме вышеперечисленных атрибутов управления правами доступа к объектам, в операционных системах Unix, есть еще один, так сказать, более сильнодействующий инструмент - набор файловых флагов.

Флаги файлов, работают глобально, влияя одинаково на всех пользователей, в том числе, на владельца файла и на пользователя root. Правда владелец файла, как и пользователь root, могут снять флаги и делать с файлом все что угодно, но это уже зависит от того, какой и кем был установлен флаг и на каком уровне безопасности работает система в данный момент.

По правам доступа на установку, изменение, снятие, файловые флаги можно разделить на две категории.

· Пользовательские - флаги доступные для изменения владельцу фала и пользователю root.

· Суперпользовательские - флаги доступные для изменения, только пользователю root.

В операционных системах Unix, используются следующие флаги:

Суперпользовательские флаги

· arch ( archived ) - архивный файл.( только пользователь root )

· sappnd ( sappend ) - в данный файл можно только дописывать, то есть уже имеющуюся информацию изменить нельзя. Если флаг установлен на директорию, нельзя удалять или переименовывать файлы, но можно создавать или копировать ( только пользователь root )

· schg ( schange, simmutable ) - неизменяемый файл, нельзя ни переименовывать, ни изменять, ни удалять. Если данный флаг установлен на директории, то вы не сможете добавлять или удалять файлы, но менять содержимое уже имеющихся, сможете.( только пользователь root )

· sunlnk ( sunlink ) - файл не может быть переименован или удален. Содержимое изменить можно при соответствующих правах доступа. ( только пользователь root )

Пользовательские флаги

· nodump - не включать данный файл в дамп. ( владелец файла и пользователь root )

· uappnd ( uappend ) - то-же что и для пользователя root, плюс для владельца файла.

· uchg ( uchange, uimmutable ) - то-же, что и для пользователя root, плюс для владельца файла.

· uunlnk ( uunlink ) - то-же, что и для пользователя root, плюс для владельца файла.

Например, чтобы установить на файл флаг schg ( неизменяемый ), нужно выполнить следующую команду:

vds-admin /test# chflags schg test_file

Посмотреть установленные флаги можно командой ls c опциями -lo.

vds-admin /test# ll -lo

total 0

-rw-r--r-- 1 root wheel schg 0 Jun 21 07:33 test_file

Кроме того, можно установить сразу несколько флагов, перечислив их через запятую:

vds-admin /test# chflags schg, arch, suppnd test_file

vds-admin /test# ll -lo

total 0

-rw-r--r-- 1 root wheel sappnd,arch,schg 0 Jun 21 07:33 test_file

Снять флаг можно, добавив к его названию, приставку "no":

vds-admin /test# ll -lo

total 0

-rw-r--r-- 1 root wheel schg 0 Jun 21 07:33 test_file

vds-admin /test# chflags noschg test_file

vds-admin /test# ll -lo

total 0

-rw-r--r-- 1 root wheel - 0 Jun 21 07:33 test_file

Также есть возможность сбросить все флаги, для этого вместо флага, достаточно просто поставить "0" ( ноль ).

vds-admin /test# ll -lo

total 0

-rw-r--r-- 1 root wheel sappnd,arch,schg 0 Jun 21 07:33 test_file

vds-admin /test# chflags 0 test_file

vds-admin /test# ll -lo

total 0

-rw-r--r-- 1 root wheel - 0 Jun 21 07:33 test_file

Основные команды для установки и изменения прав доступа и работы с флагами в операционных системах Unix

· ls -l, ls -lo Листинг каталога, без флагов и с флагами

· chown Изменение владельца объекта

· chmod Установка, удаление, изменения прав доступа к объекту

· chflags Установка, удаление, изменение файловых флагов

Размещено на Allbest.ru