Product SiteDocumentation Site

9.3. Gerenciando direitos

O Linux é definitivamente um sistema multiusuário, então é necessário prover um sistema de permissões para controlar um conjunto de operações autorizadas em arquivos e diretórios, o que inclui todos os recursos e dispositivos do sistema (em um sistema Unix, qualquer dispositivo é representado por um arquivo ou diretório). Esse princípio é comum a todos os sistemas Unix, porém o lembrete é sempre útil, especialmente porque existem alguns interessantes e relativamente avançados usos desconhecidos.

9.3.1. Proprietários(as) e permissões

Cada arquivo ou diretório tem permissões específicas para três categorias de usuários(as):
  • seu proprietário(a) (simbolizado por u como em "user");
  • seu grupo proprietário(a) (simbolizado por g como em “group”), representando todos os membros do grupo;
  • outros (simbolizado por o como em “other”).
Os três tipos básicos de direitos podem ser combinados:
  • leitura (simbolizado por r como em “read”);
  • escrita (ou modificação, simbolizado por w como em “write”);
  • execução (simbolizado por x como em “eXecute”).
No caso de um arquivo, essas permissões são facilmente compreendidas: acesso de leitura permite ler o conteúdo (incluindo copiar), acesso a escrita permite alterá-lo, e acesso de execução permite rodá-lo (o que só vai funcionar se for um programa).

SEGURANÇA executáveis setuid e setgid

Duas permissões em particular são relevantes em relação a arquivos executáveis: setuid e setgid (simbolizados pela letra “s”). Note que frequentemente falamos de “bit”, já que cada um desses valores boleanos podem ser representados por 0 ou 1. Essas duas permissões permitem que qualquer usuário(a) execute o programa com os direitos de seu/sua proprietário(a) ou do seu grupo, respectivamente. Esse mecanismo garante acesso a funções que requerem permissões muito restritas, as quais você geralmente não tem.
Como um programa com setuid root é sistematicamente executado com a identidade de superusuário, é muito importante garantir que ele seja seguro e confiável. Na verdade, um(a) usuário(a) que conseguisse subvertê-lo a chamar um comando de sua escolha poderia então representar o usuário root e ter todos os direitos no sistema.
Se você precisar executar um programa com um usuário diferente ou se um programa exigir permissões mais altas, os comandos sudo, su ou runuser geralmente são melhores opções do que usar esses bits (consulte Seção 8.9.4, “Compartilhando Direitos Administrativos”).
A directory is handled differently. Read access gives the right to consult the list of its entries (files and directories), write access allows creating or deleting files, and execute access allows “traversal“, the possibility crossing through it (especially to go there with the cd command). Being able to cross through a directory without being able to read it gives permission to access the entries therein that are known by name, but not to find them if you do not know their existence or their exact name.

SEGURANÇA diretório setgid e sticky bit

O bit setgid também é aplicável em diretórios. Qualquer item recém-criado em um diretório desses é automaticamente atribuído ao grupo do(a) proprietário(a) do diretório pai, em vez de herdar o grupo principal do(a) criador(a) como de costume. Essa configuração evita que o(a) usuário(a) tenha que alterar seu grupo principal (com o comando newgrp) enquanto trabalha em uma árvore de arquivos compartilhada entre vários(as) usuários(as) do mesmo grupo dedicado.
O bit pegajoso (“sticky" bit), simbolizado pela letra “t”, é uma permissão útil apenas em diretórios. É especialmente usado para diretórios temporários nos quais todos têm acesso a escrita (como em /tmp/): ele restringe o apagar de arquivos para que apenas seu(sua) proprietário(a) (ou o(a) proprietário(a) do diretório pai) possa apagá-lo. Sem isso, qualquer um poderia apagar arquivos de outros(as) usuários(as) em /tmp/.
Três comandos controlam as permissões associadas a um arquivo:
  • chown usuário(a) arquivo muda o(a) proprietário(a) do arquivo;
  • chgrp grupo arquivo altera o grupo;
  • chmod direitos arquivo muda as permissões do arquivo.
Há duas formas de apresentar direitos. Entre elas, a representação simbólica é provavelmente a mais fácil de entender e lembrar. Ela envolve os símbolos das letras mencionadas acima. Você pode definir os direitos de cada categoria de usuários(as) (u/g/o), definindo-as explicitamente (com =), adicionando (+) ou subtraindo (-). Assim, as permissões u=rwx,g+rw,o-r fornecem ao(à) proprietário(a) a permissão de ler, escrever e executar, acrescenta permissão de ler e escrever para o grupo proprietário, e remove a permissão de leitura para outros(as) usuários(as). Direitos não alterados pela adição ou subtração de tal comando não sofrerão alterações. A letra a, para "todos" (“all” em inglês), abrange as três categorias de usuários(as), de modo que a=rx concede a todas as três categorias os mesmos direitos (leitura e execução, mas não de escrita).
A representação numérica (octal) associa cada direito com um valor: 4 para leitura, 2 para gravação, e 1 para execução. Associamos cada combinação de direitos com a soma dos valores. Cada valor é então atribuído a diferentes categorias de usuários(as), colocando-os de ponta a ponta na ordem usual (proprietário(a), grupo, outros).
Por exemplo, o comando chmod 754 arquivo definirá os seguintes direitos: leitura, escrita e execução para o(a) proprietário(a) (já que 7 = 4 + 2 + 1); leitura e execução para o grupo (já que 5 = 4 + 1); para os outros somente leitura . O 0 (zero) significa que não há direitos; assim chmod 600 arquivo concede direito de leitura e gravação ao(à) proprietário(a), e nenhum direito para qualquer outra pessoa. As combinações certas mais frequentes são 755 para arquivos executáveis e diretórios, e 644 para arquivos de dados.
Para representar os direitos especiais, você pode prefixar um quarto dígito para este número de acordo com o mesmo princípio, onde os bits setuid, setgid e sticky são 4, 2 e 1, respectivamente, chmod 4754 associará o setuid aos direitos descritos anteriormente.
Observe que o uso da notação octal só permite definir todos os direitos de uma só vez em um arquivo; você não pode usá-lo para simplesmente adicionar um novo direito, como acesso de leitura para o(a) proprietário(a) do grupo, uma vez que você deve levar em conta os direitos já existentes e calcular o novo valor numérico correspondente.

DICA Operação recursiva

Algumas vezes temos que mudar os direitos de toda árvore de arquivos. Todos os comandos acima tem a opção -R para operar recursivamente em subdiretórios.
A distinção entre diretórios e arquivos às vezes causa problemas com operações recursivas. É por isso que a letra X foi introduzida na representação simbólica dos direitos. Ela também representa o direito de executar, mas se aplica de maneira diferente a diretórios e arquivos.
Para diretórios, adiciona permissões executáveis ao(s) usuário(s) escolhido(s). Para arquivos, adiciona o bit executável somente se ao menos um(a) dos(das) usuários(as) (proprietário(a), grupo ou outros) já tiver permissões executáveis. Vamos demonstrar, porque este trecho pode ser confuso: 
$ ls test.txt
-rw-r--r-- 1 daniel daniel 0 18. Nov 01:07 test.txt
$ chmod u+X test.txt
$ ls test.txt
-rw-r--r-- 1 daniel daniel 0 18. Nov 01:07 test.txt
$ chmod o+x test.txt
$ ls test.txt
-rw-r--r-x 1 daniel daniel 0 18. Nov 01:07 test.txt
$ chmod u+X test.txt
$ ls test.txt
-rwxr--r-x 1 daniel daniel 0 18. Nov 01:07 test.txt
O exemplo mostra um arquivo típico com suas permissões padrão: seu(sua0 proprietário(a) pode lê-lo e escrevê-lo, o grupo do(a) proprietário(a) e demais usuários(as) podem lê-lo. A próxima operação (u+X) não adicionará permissões executáveis para o(a) proprietário(a) do arquivo, porque as permissões para executar não foram atribuídas. A operação não tem efeito no arquivo. Em seguida, atribuímos direitos de execução para "outros(as)" usuários(as) e repetimos a operação. Desta vez, é bem-sucedido, porque pelo menos um grupo de usuários(as) já tinha permissões executáveis.
É um equívoco pensar que esse bit afetará apenas os diretórios. Se arquivos e diretórios tiverem permissões mistas, geralmente é uma boa ideia usar o comando find para localizar os alvos nos quais deseja operar.

DICA Alterando usuário(a) e grupo juntos

Frequentemente você quer mudar o grupo de um arquivo ao mesmo tempo que você muda o(a) proprietário(a). O comando chown tem uma sintaxe especial para isso: chown usuário:grupo arquivo. Esta sintaxe também pode ser usada para mudar recursivamente (-R) o(a) proprietário(a) de todo um diretório.

APROFUNDANDO umask

Quando uma aplicação cria um arquivo, ela atribui as permissões indicativas, sabendo que o sistema automaticamente remove certos direitos, devido ao comando umask. Digite umask em um shell; você verá uma máscara como 0022. Isso é simplesmente uma representação octal dos direitos a serem sistematicamente removidos. Neste caso, o direito de escrita para o grupo e para outros(as) usuários(as): com o valor umask acima, o padrão para diretórios 777 se torna 755 e as permissões padrão para arquivos 666 se tornam 644.
O valor padrão do sistema é gerenciado por pam_umask(8) e /etc/login.defs.
Se você der a ela um novo valor octal, o comando umask modifica a máscara. Usado em um arquivo de inicialização do shell (por exemplo, ~/.bashrc ou ~/.profile) vai efetivamente alterar a máscara padrão para suas sessões de trabalho.

9.3.2. ACLs - Listas de controle de acesso

Muitos sistemas de arquivos, por ex. Btrfs, Ext3, Ext4, JFS, XFS, etc., suportam o uso de Listas de Controle de Acesso (ACLs). Eles estendem os recursos básicos de propriedade e permissão de arquivo, descritos na seção anterior, e permitem um controle mais refinado de cada objeto (arquivo). Por exemplo: um(a) usuário(a) deseja compartilhar um arquivo com outro(a) usuário(a), e esse(a) usuário(a) só deve poder ler o arquivo, mas não escrever nele ou alterá-lo.
Para alguns dos sistemas de arquivos, o uso de ACLs é ativado por padrão (por exemplo, Btrfs, Ext3, Ext4). Para outros sistemas de arquivos ou sistemas mais antigos, deve ser ativado usando a opção de montagem acl - diretamente no comando mount ou em /etc/fstab. Da mesma forma, o uso de ACLs pode ser desativado usando a opção de montagem noacl. Para sistemas de arquivos Ext* também é possível usar o comando tune2fs -o [no]acl /dev/device para ativar/desativar o uso de ACLs por padrão. Os valores padrão para cada sistema de arquivos geralmente podem ser encontrados em suas páginas de manual homônimas na seção 5 (sistema de arquivos(5)) ou em mount(8).
Depois de ativar as ACLs, as permissões podem ser definidas usando o comando setfacl(1), enquanto getfacl( 1) permite recuperar as ACLs para um determinado objeto ou caminho. Esses comandos fazem parte do pacote acl. Com setfacl também é possível configurar arquivos ou diretórios recém-criados para herdar permissões do diretório pai. É importante observar que as ACLs são processadas em sua ordem e que uma entrada anterior adequada à situação tem precedência sobre entradas posteriores.
Se um arquivo tiver ACLs definidas, a saída do comando ls -l mostrará um sinal de adição após as permissões tradicionais. Ao usar ACLs, o comando chmod se comporta um pouco diferente e umask pode ser ignorado. A extensa documentação, por exemplo acl(5) contém mais informações.