hozzáférési jogok, a fájlok és könyvtárak zászlók unix

előzőa következő

Mint minden többfelhasználós rendszerben, Unix operációs rendszerek felhasználói hozzáférés-ellenőrzési mechanizmus bizonyos rendszer erőforrásait (processzor, memória, állományok, könyvtárak, stb.) A fő résztvevői ezt a mechanizmust a következők: a felhasználó (user), csoport (csoport), a többi (egyéb), az alapvető jogok hozzáférés Unix, a következők:







  • engedélyeket olvasni;
  • írási;
  • hozzáférési jogok elvégzésére;

Mindebből következik, hogy a Unix, a hozzáférési jogokat, és a résztvevők vannak csoportosítva háromszor három, olvasási / írási / végrehajtási felhasználó / csoport / egyéb.

Eltekintve a fenti engedélyek, Unix operációs rendszerekre. Támogatja „fájl zászlókat.” hogy további védelmi szintet tárgyak felügyeleti és ellenőrzési rendszer. Például segítségével zászlók, akkor megakadályozhatja törlés, még a root felhasználó számára.

Minden felhasználó a rendszer hozzárendelt azonosítókat, UserID (felhasználói azonosító) és GrouplD (csoportazonosító), ez nekik, az operációs rendszer meghatározza a tulajdonos és a csoport egy tárgy rendszer. Szimbolikus nevek vannak rendelve kizárólag a könnyebb olvashatóság, a felhasználók.

Minden folyamat Unix operációs rendszer, van nem kettő, hanem négy azonosító valós UserID (UID) és hatékony felhasználói azonosító (UID), valamint, hogy a valódi és hatékony csoport ID-GrouplD (GID).
Valódi UserID (Real GrouplD) - Valós számok használják használatát figyelembe a rendszer erőforrásait.
Hatékony UserID (effektív GrouplD) - egy új azonosítót, a fogadó folyamat már futásidőben meghatározásához használt hozzáférési jogokat.

Folyamatok automatikusan elindul (például ha kiindulási a rendszer), kész arra is UserID. amely meghatározott programok futtatására (cron, inetd, stb), normális esetben, UserID örökölt a szülő folyamat. Egyes folyamatok - „szülők” lehet rendelni, a gyermek folyamat - „Az leszármazottai”, felhasználói azonosító. nem esik egybe az övé.

Néha futó folyamat, futás közben, hogy változtassanak az azonosítókat. Ez akkor fordul elő, ha a hozzáférési jogokat a fájlt, állítsa be az extra bitek, SUID (Set felhasználói ID - bites felhasználói azonosító változás) és SGID (Set csoport ID - Bit Group ID változás). Amikor a felhasználó lefuttatja a fájlt vagy folyamat, amely fel van szerelve egy ilyen bit, a folyamat ideiglenes megbízást a jogokat a tulajdonos a fájl (nem az, aki futtatja). Így a normál felhasználók végre parancsokat.

Mint már említettük, a hozzáférési jogot és könyvtárak által meghatározott valós azonosító és GrouplD Real. Ha az azonosító nem változik a futás, a Real UserID (valós GrouplD) és effektív felhasználói azonosító (effektív GrouplD) egybeesik.

biztosítja a rendszer hozzáférési jogokat a Unix operációs rendszer, van egy numerikus és szimbolikus kifejezést. Chislovae az alábbiak szerint:

Van egy kicsit oktális érték 1000. Az úgynevezett Stiky bites (tépőzáras). Ha ez a bit be van állítva egy könyvtárra, akkor fájlokat tartalmaz, amelyek szabadon törölni és átnevezni őket, csak abban az esetben, ha a felhasználó a tulajdonosa a könyvtár, fájl tulajdonos vagy a root felhasználó számára.

Szimbolikus kifejezések a hozzáférési jogosultságok beállítása. Mint érvek, a chmod parancsot. helyett oktális használt értékeket alfabetikus ekvivalens.

Amit látni engedélyeket tulajdonosának és a fájlokat és könyvtárakat a tőzsdei módban, akkor az ls parancs -l zászlót.

Ez a felsorolás azt mutatja, hogy a tulajdonos az összes fájlt a root felhasználó és a csoport kereket. Az első karakter a bal oldali oszlopban a hozzáférési jogok, az a típusú objektumot, az objektum lehet a következő típusok:







A fenti példában: file.txt és file.sh - olyan fájlok, test_dir - könyvtárban.

Mivel a második bit, a felvétel osztva 3 szimbólum a felhasználó számára, hogy a csoport többi, ebben az esetben:

  • file.txt fájlt. álló írni és olvasni - a felhasználó csak olvasható - a csoport és olvasni - egyéb;
  • file.sh. fájl érhető el olvasni, írni és végrehajtani - a felhasználó csak olvasható - csoport - olvasható más;
  • test_dir. és a könyvtár a következő felhasználóra vonatkozik: olvasás, írás, végre; a csoport olvasható, végrehajtható; mások: olvasható, végrehajtható;

Ha kicsit SUID. 2. szakaszban (hozzáférési jogokat a felhasználó számára), hanem a „x” értéket. Ez lesz az „s”. ha kicsit GUID. így ugyanaz a szimbólum kerül „s”. de a 3. § (hozzáférési jogait a csoportban), és ha be van állítva jól Styky-bit. az utolsó pozícióban, 4. szakasz (hozzáférési jogait a többi), be van állítva a „T”.

Ha ezek közül bármelyik bit be van állítva, és ha ez be van állítva a megfelelő bit végrehajtási kódot lesz állítva „S” SUID és SGID és „T” Stiky-bit. hogy hibát jelez, és az adatokat attribútumok figyelmen kívül hagyja.

Nem lesz baj, hogy vegye figyelembe, hogy a Unix operációs rendszer, az értékek a hozzáférési jogok a fájlok és könyvtárak kissé más.

  • r (Read) - olvasás. A megfelelő felhasználói (folyamatban) joga van olvasni a fájl tartalmát, és másolja a fájlt.
  • w (Write) - felvételt. A megfelelő felhasználói (folyamatban) joga szerkeszteni, módosítani, törölni a fájl tartalmát, add hozzá valamit (pl tartalmát egy másik fájl). Ez azonban nem ad a jogot, hogy törölje vagy nevezze át a fájl maga, ez határozza meg a hozzáférési jogokat a könyvtárban, ahol a fájl található.
  • X (végrehajtható) - végrehajtását. Feljogosítja megfelelő felhasználó (folyamatban) futtatni a fájlt, feltéve, hogy egy végrehajtható program vagy script.

Fontos megjegyezni, hogy a rendszer teljes mértékben ellenőrizni a pálya egy adott alkönyvtár vagy fájl létezését hozzáférési jogokat minden részén az út, és ha coca vagy az út egy részét, ne állítsa be a megfelelő bit a hozzáférési jogok (x), akkor a felhasználó hozzáférése megtagadva. Egyszerűen fogalmazva, van egy út: / usr / home / VDS-admin / public_html /. akkor is, ha a felhasználó rendelkezik megfelelő jogokkal az alkönyvtár public_html. hanem magasabb könyvtár, haza. x bit nincs beállítva, amikor megpróbál menni egy alkönyvtárat, akkor megtagadja a hozzáférést.

fájl zászlók

Amellett, hogy ezek a jogok kezelése attribútumok tárgyakat a Unix operációs rendszer, van egy másik, hogy úgy mondjam, erősebb eszköz - egy sor fájl zászlókat.

Zászlók fájlok működik világszerte érintő egyformán az összes felhasználó számára, beleértve a fájl tulajdonosa és a root felhasználó számára. Igaz a fájl tulajdonosa, valamint a root felhasználó eltávolíthatja a zászlókat, és a fájl, amit szeret, de ez attól függ, hogy mi és ki a jelző és milyen szintű biztonságot működik a rendszer az adott pillanatban.

  • Egyéni - áll zászlók változtatni a tulajdonos a köldökzsinór és a root felhasználó.
  • Rendszergazdacsoport - álló zászlók a változást, csak a root felhasználó.

A Unix operációs rendszereken a következő jelzők:

superuser zászlók

  • arch (archivált) - archív fájl (csak a root felhasználó).
  • sappnd (sappend) - ez a fájl, akkor csak építeni, hogy van, a meglévő információkat nem lehet megváltoztatni. Ha a jelző a könyvtárat, akkor nem lehet törölni vagy átnevezni fájlokat, de lehet létrehozni, vagy másolása (csak a root felhasználó)
  • schg (schange, simmutable) - megváltoztathatatlan fájlt nem lehet átnevezni vagy módosítani, sem törölni. Ha ez a jelző be van állítva egy könyvtárba, akkor nem lehet hozzáadni vagy eltávolítani fájlokat, de változtatni a tartalmát a meglévő, akkor. (Csak a root felhasználó)
  • sunlnk (SUNLINK) - a fájlt nem lehet átnevezni vagy törölni. Tartalmi lehet változtatni a megfelelő hozzáférési jogokat. (Csak a root felhasználó)

egyéni zászlók

  • nodump - nem tartalmazza ezt a fájlt a lerakó. (File tulajdonos és a root felhasználó)
  • uappnd (uappend) - ugyanaz, mint a root felhasználó egy plusz a tulajdonos a fájlt.
  • uchg (uchange, uimmutable) - ugyanaz, mint a root felhasználó egy plusz a tulajdonos a fájlt.
  • uunlnk (uunlink) - ugyanaz, mint a root felhasználó egy plusz a tulajdonos a fájlt.

Például telepíteni schg (nem változtatható) zászló a fájlt. futtassa a következő parancsot:

Nézetre jelzők ls c lehetőségek -LO csapat.

Ezen felül, akkor meg több jelző, vesszővel elválasztva:

Távolítsuk el a zászló oly módon, hogy a nevét, az előtag „nem”:

Így például lehetőség van visszaállítani az összes zászlót, hogy ahelyett, hogy a zászló, egyszerűen csak egy „0” (nulla).

Alapvető parancsok beállítására és a változó a hozzáférési jogok és a munka zászlók Unix operációs rendszerek

Az alapvető eszközök dolgozó jogosultságokat és zászlók Unix operációs rendszer, a következők:

  • ls -l, ls -LO Directory Listing nélkül zászlók és lobogók
  • chown módosítása a tulajdonos a tárgy
  • Telepítése chmod, törlése, jogosultságok megváltoztatása egy tárgy
  • chflags telepítése, eltávolítása, változtassa meg a fájl zászlók



előzőa következő