9.3. Управление правами

Linux — многопользовательская система, поэтому она должна предоставлять систему разрешений, чтобы контролировать авторизованные операции с файлами и каталогами, к которым относятся все системные ресурсы и устройства (в Unix-системах любое устройство представляется в виде файла или каталога). Этот принцип является общим для всех Unix-систем, но напомнить об этом ещё раз будет не лишним, тем более что существуют некоторые интересные и сравнительно малоизвестные способы применения.

9.3.1. Владельцы и разрешения

У каждого файла и каталога имеются специальные разрешения для трёх категорий пользователей:

его владельца (обозначается u, от «user»);
его группы-владельца (обозначается g, от «group»), представленная всеми членами группы;
остальных (обозначается o, от «other»).

Можно комбинировать три основных типа прав:

чтение (обозначается r, от «read»);
запись (или изменение, обозначается w, от «write»);
исполнение (обозначается x, от «eXecute»).

По отношению к файлу, такие права хорошо понятны: доступ для чтения позволяет читать содержимое (включая копирование), доступ для записи позволяет менять содержимое, доступ для исполнения позволяет запускать (работает для программ).

БЕЗОПАСНОСТЬ исполняемые файлы с setuid и setgid

Два своеобразных права имеют смысл для исполняемых файлов: setuid и setgid (обозначаются буквой «s»). Обратите внимание, что они часто называются «битами», поскольку каждое из этих логических значений может быть представлено как 0 или 1. Эти два права позволяют любому пользователю выполнять программу на правах её владельца или группы соответственно. Данный механизм предоставляет доступ к функциям, требующим разрешений более высокого уровня, чем обычно есть у пользователя.

Поскольку setuid-программа, принадлежащая root, систематически запускается с правами суперпользователя, крайне важно убедиться в её безопасности и надёжности. Действительно, пользователь, которому удастся заставить её вызвать другую произвольную программу, сможет представиться как root и получить все права в системе.

Если вам требуется запустить программу под другим пользователем или если программа требует более высоких разрешений, команды sudo, su или runuser обычно лучший выбор, чем использование этих битов (см. Раздел 8.9.4, «Совместное использование прав администратора (делегирование части полномочий другому пользователю или старшему администратору)»).

Каталоги обрабатываются иначе. Доступ на чтение даёт право получить список его содержимого (файлов и каталогов), доступ на запись позволяет создавать и удалять файлы, а доступ на исполнение позволяет проходить через него (в частности переходить в него с помощью команды cd). Возможность проходить через каталог, не имея возможности прочесть его, позволяет получить доступ к файлам внутри него, если они известны по имени, но не находить их, если о их существовании или их точных именах не известно.

БЕЗОПАСНОСТЬ Каталог с setgid и sticky bit

Бит setgid применим и к каталогам. Любой вновь созданный файл внутри таких каталогов автоматически присваивается группе-владельцу родительского каталога вместо того, чтобы унаследовать основную группу создателя, как происходит обычно. Эта настройка позволяет пользователю не изменять свою основную группу (с помощью команды newgrp) при работе в дереве файлов, общих для нескольких пользователей из одной конкретной группы.

Так называемый «sticky bit» (обозначаемый буквой «t») является разрешением, имеющим смысл только для каталогов. Он, в частности, используется для временных каталогов, куда у всех есть доступ на запись (например /tmp/): он ограничивает возможность удаления файлов, так что только их владелец (или владелец родительского каталога) может это сделать. Если бы данной функции не было, любой мог бы удалить файлы других пользователей в /tmp/.

Три команды для управления разрешениями, связанными с файлом:

chown пользователь файл изменяет владельца файла;
chgrp группа файл меняет группу-владельца;
chmod права файл изменяет разрешения на файл.

Есть два способа представления прав. Из них символьное, пожалуй, более легко для понимания и запоминания. В нём используются указанные выше символы. Можно определить права для каждой категории пользователей (u/g/o), присвоив их явно (с помощью =), добавив (+) или отняв (-). Так, выражение u=rwx,g+rw,o-r даёт владельцу права на чтение, запись и исполнение, добавляет права на чтение и запись для группы-владельца и отнимает право на чтение у остальных пользователей. Права, не затрагиваемые добавлением или отъёмом, остаются без изменений. Буква a (от «all») обозначает все три категории пользователей, так что a=rx даёт всем трём категориям одинаковые права (читать и исполнять, но не записывать).

В цифровом (восьмеричном) представлении каждому праву соответствует конкретное значение: 4 — чтению, 2 — записи, 1 — исполнению. Каждая комбинация прав соответствует сумме этих чисел. Каждое значение затем присваивается своей категории пользователей, будучи записанным подряд с остальными в обычном порядке (владелец, группа, остальные).

Например, команда chmod 754 файл установит следующие права: на чтение, запись и исполнение для владельца (поскольку 7 = 4 + 2 + 1); на чтение и исполнение для группы (поскольку 5 = 4 + 1); только на чтение для остальных. 0 означает отсутствие прав, так что chmod 600 файл разрешает чтение и запись владельцу и не даёт никаких прав группе и всем остальным. Наиболее распространённые комбинации прав — 755 для исполняемых файлов и каталогов и 644 для файлов с данными.

Для представления в таком виде специальных прав можно указать в начале четвёртую цифру в соответствии с тем же принципом, где битам setuid, setgid sticky соответствуют 4, 2 и 1. chmod 4754 установит бит setuid наравне с вышеописанными правами.

Заметьте, что для восьмеричного представления возможна только установка всех прав сразу, нельзя добавить новое правило, как например, доступ для чтения для владельца группы — пользователь должен, учитывая существующие права, вычислить новое соответствующее значение.

СОВЕТ Рекурсивная работа

Иногда требуется изменить права для целого дерева файлов. У всех вышеуказанных команд есть опция -R, при использовании которой программа рекурсивно обходит подкаталоги.

Различие между каталогами и файлами иногда вызывает проблемы с рекурсивными операциями. Вот почему буква “X” была введена в символическое представление прав. Эта опция также представляет право на выполнение, но по-разному применяется к каталогам и файлам.

Для каталогов он добавляет разрешения на выполнение для выбранных пользователей. Для файлов он добавляет бит на исполнение файла только в том случае, если хотя бы один из пользователей (владелец, группа или другие) уже имеет разрешения на выполнение исполняемого файла. Давайте продемонстрируем это, потому что этот момент может сбить с толку:

$ ls test.txt
  -rw-r--r-- 1 daniel daniel 0 18. Nov 01:07 test.txt
  $ chmod u+X test.txt
  $ ls test.txt
  -rw-r--r-- 1 daniel daniel 0 18. Nov 01:07 test.txt
  $ chmod o+x test.txt
  $ ls test.txt
  -rw-r--r-x 1 daniel daniel 0 18. Nov 01:07 test.txt
  $ chmod u+X test.txt
  $ ls test.txt
  -rwxr--r-x 1 daniel daniel 0 18. Nov 01:07 test.txt

В примере показан типичный файл с разрешениями по умолчанию: его владелец может читать и записывать его, группа владельца и все остальные пользователи могут его читать. Следующая операция (u+X) не добавит разрешения на выполнение для владельца файла, поскольку разрешения на выполнение не были назначены. Операция не влияет на файл. Далее мы назначаем права выполнения «другим» пользователям и повторяем операцию. На этот раз это удалось, поскольку по крайней мере одна группа пользователей уже имела разрешения на исполняемый файл.

Это заблуждение, что этот бит будет влиять только на каталоги. Если файлы и каталоги имеют смешанные права доступа, зачастую полезно использовать команду find для поиска целей, с которыми вы хотите работать.

СОВЕТ Совместное изменение пользователя и группы

Часто вам нужно изменить группу файла одновременно с изменением владельца. Команда chown для этого есть специальный синтаксис: chown user:group file. Этот синтаксис также можно использовать для рекурсивного (-R) изменить владельца целого каталога.

УГЛУБЛЯЕМСЯ umask

Когда приложение создаёт файл, оно присваивает ему ориентировочные разрешения, зная, что система автоматически удаляет некоторые права, заданные командой umask. Введите команду umask в командной оболочке; вы увидите маску наподобие 0022. Это всего лишь восьмеричное представление прав, которые методично удаляются (в данном случае — право записи для группы и для остальных пользователей). При указанном выше значении umask умолчальное значение для каталогов 777 становится 755 и умолчальные разрешения для файлов 666 становятся 644.

Все эти подробности описаны на man страницах pam_umask(8) и /etc/login.defs.

Если передать ей новое восьмеричное значение, команда umask изменяет маску. При использовании в файле инициализации оболочки например ~/.bashrc или ~/.profile)она изменит маску во всех пользовательских сессиях.

9.3.2. ACLs - Access Control Lists (Списки контроля доступа)

Многие файловые системы, например. Btrfs, Ext3, Ext4, JFS, XFS и т. д. поддерживают использование списков управления доступом (ACL). Они расширяют базовые функции владения и разрешения файлов, описанные в предыдущем разделе, и позволяют более детально контролировать каждый (файловый) объект. Например: пользователь хочет поделиться файлом с другим пользователем, и этот пользователь должен иметь возможность только читать файл, но не записывать или изменять его.

Для некоторых файловых систем использование списков ACL включено по умолчанию (например, Btrfs, Ext3, Ext4). Для других файловых систем или более старых систем его необходимо включить с помощью параметра монтирования acl — либо непосредственно в команде mount , либо в файле /etc/fstab. Таким же образом использование списков ACL можно отключить с помощью параметра монтирования noacl. Для файловых систем Ext* можно также использовать команду tune2fs -o [no]acl /dev/device, чтобы включить/отключить использование списков ACL по умолчанию. Значения по умолчанию для каждой файловой системы обычно можно найти на страницах руководства по их омонимам в разделе 5 (filesystem(5)) или в mount(8).

После включения ACL разрешения можно установить с помощью команды setfacl(1), пока getfacl(1) позволяет получить списки ACL для данного объекта или пути. Эти команды являются частью пакета acl. С setfacl можно также настроить вновь созданные файлы или каталоги для наследования разрешений от родительского каталога. Важно отметить, что списки ACL обрабатываются в своем порядке и что более ранняя запись, соответствующая ситуации, имеет приоритет над более поздними записями.

Если для файла установлены списки ACL, вывод команды ls -l покажет знак плюса после традиционных разрешений. При использовании списков ACL команда chmod ведёт себя несколько иначе и значение umask может быть проигнорировано. Расширенная документация, например acl(5) содержит больше информации.