System plików

Prawa dostępu

Linux, podobnie jak pozostałe systemy UNIX używa dosyć archaicznej metody wyznaczania praw dostępu do plików (w tym katalogów, urządzeń itp.). Metoda ta niestety nie pozwala na łatwe i elastyczne zarządzanie dostępem do plików, choć przy uzyskaniu pewnej wprawy pozwala na wprowadzenie niemal dowolnej polityki dostępu do zasobów. Prawa dostępu dzielą się na trzy kategorie: odczytu "r" (ang. read) zapisu "w" (ang. write) wykonywania "x" (ang. execute) Przez prawo odczytu rozumieć należy możliwość odczytania zawartości pliku (co w przypadku katalogu oznacza możliwość odczytania listy plików znajdujących się w tym katalogu). Prawo zapisu pozwala na dokonanie modyfikacji pliku (w tym dopisanie, zmiana lub usunięcie zawartości pliku. Przy czym usunięcie zawartości pliku nie jest tożsame z fizycznym usunięciem pliku). Dla katalogów to prawo oznacza możliwość tworzenia nowych i usuwania istniejących plików w katalogu. Prawo wykonywania pliku pozwala na uruchomienie pliku wykonalnego, a w przypadku katalogu oznacza prawo dostępu do plików wewnątrz katalogu. Minimalne prawa wymagane do wykonania operacji na pliku/katalogu przedstawione są w poniższej tabeli: Czynność Plik Katalog nadrzędny   przeglądanie zawartości katalogu --- r--   utworzenie pliku --- -w-   skasowanie pliku --- -w-   zmiana nazwy --- -w-   zmiana danego katalogu na bieżący --- --x   czytanie pliku r-- --x   zapis do pliku -w- --x   wykonanie pliku --x --x Prawa dostępu ustalane są osobno dla właściciela pliku, dla grupy właściciela oraz dla wszystkich pozostałych użytkowników. Przy określaniu praw dostępu do pliku grupuje się trójkami prawa "r", "w" i "x". Zatem efektywne prawa dostępu do pliku oznaczone jako: rwxrw---- Oznaczają: pełne prawa (odczyt, zapis/modyfikacja i wykonanie) dla właściciela pliku, odczyt i zapis/modyfikacja dla grupy właściciela pliku, pozostali użytkownicy nie posiadają żadnych praw do pliku. Wszystkie prawa dostępu zapisać również można w sposób numeryczny. Każde prawo ma swoją wagę liczbową. Sumując poszczególne wagi otrzymać można sumaryczne prawo dostępu. Wagi liczbowe poszczególnych praw: odczyt (r) - 4 zapis (w) - 2 wykonywanie (x) - 1 Prawa w postaci liczbowej podaje się jako liczbę trzycyfrową. Pierwsza cyfra oznacza prawa dostępu dla użytkownika, druga dla grupy użytkownika, a ostatnia - dla wszystkich pozostałych użytkowników. Zatem poprzedni przykład rwxrw---- można zapisać liczbowo jako 760, ponieważ: prawa właściciela: rwx => 4 + 2 + 1 = 7 prawa grupy: rw- => 4 + 2 + 0 = 6 prawa pozostałych: --- => 0 + 0 + 0 = 0 Zestawiając poszczególne cyfry otrzymujemy 760. Przykłady praktyczne: [student@syriusz /tmp]$ ls -l total 6 drwxr-x-x     2 student users 1024 Jun 22 16:20 katalog1 drwxrwxrwx 2 student users 1024  Jun 22 16:20 katalog2 drwxr-x---    2 root       users 1024 Jun 22 16:20 katalog3 ----r--r--        1 root      users 16     Jun 22 16:18 plik1 -rw-rw-rw-    1 student users 37     Jun 22 16:18 plik2 -rwx-wxr--    1 student wheel 72     Jun 22 16:18 plik3 [student@syriusz /tmp]$ W wyniku działania komendy ls z parametrem "-l" otrzymujemy spis plików w katalogu, wraz z podaniem praw dostępu do nic. Prawa dostępu znajdują się w pierwszej kolumnie wydruku i poprzedzone są informacją o typie pliku. Pliki zwykłe oznaczone są myślnikiem, a katalogi - literą "d". W trzeciej kolumnie znajduje się informacja o właścicielu plików, a w czwartej - o grupie właściciela. Więcej informacji o działaniu polecenia "ls" odnaleźć można w dalszej części kursu. Zatem: drwxr-x-x     2 student users 1024 Jun 22 16:20 katalog1 oznacza następujące prawa dostępu do katalogu: pełne prawa dostępu dla użytkownika student, możliwość wylistowania zawartości katalogu oraz wejścia do danego katalogu dla grupy users, prawo wejścia do katalogu, jednak bez możliwości wyświetlenia listy plików i możliwości tworzenia nowych plików i usuwania istniejących. Liczbowy zapis tych praw: 731 drwxrwxrwx 2 student users 1024 Jun 22 16:20 katalog2 Powyższy zapis oznacza pełne prawa dostępu do katalogu dla wszystkich użytkowników. Format liczbowy: 777 drwxr-x--- 2 root users 1024 Jun 22 16:20 katalog3 Do katalogu "katalog3" pełne prawa ma tylko użytkownik root. Użytkownicy z grupy users nie mogą usuwać pliki w katalogu i tworzyć nowe. Wszyscy pozostali użytkownicy nie mogą korzystać z katalogu. Zapis liczbowy: 730 ----r--r-- 1 student users 16 Jun 22 16:18 plik1 Użytkownik student nie ma dostępu do tego pliku. Wszyscy pozostali użytkownicy mogą odczytywać zawartość pliku. Liczbowo: 011 -rw-rw-rw- 1 student users 37 Jun 22 16:18 plik2 Wszyscy użytkownicy mogą odczytywać i modyfikować zawartość tego pliku. Format liczbowy: 666 -rwx-wxr-- 1 root wheel 72 Jun 22 16:18 plik3 Użytkownik root ma pełne prawa do pliku. Grupa wheel nie może odczytywać pliku, natomiast może dokonywać modyfikacji pliku oraz wykonywać plik. Wszyscy pozostali użytkownicy mogą wyłącznie odczytywać zawartość pliku. Z apis liczbowy: 734 Specyfika linków narzuca nieco inne zarządzanie ich prawami dostępu. W przypadku modyfikacji praw dostępu do linku twardego automatycznie następuje modyfikacja praw wszystkich linków twardych do danego obszaru na dysku. Wynika to z zapisu praw dostępu w i-węźle a nie w katalogu. Nie można natomiast modyfikować praw dostępu do linków symbolicznych. Dostępem należy zarządzać poprzez wyznaczanie praw do oryginalnego pliku. Do modyfikacji praw dostępu służy polecenie chmod. W najprostszej postaci polecenie to można wywołać w składni: chmod PRAWA_LICZBOWO PLIK(I) gdzie: PRAWA_LICZBOWO oznacza liczbowy zapis praw PLIK(I) to lista jednego lub więcej plików podlegających modyfikacji. Posługiwanie się liczbowym formatem zapisu praw jest dosyć trudne, szczególnie dla początkujących użytkowników Linuxa, ponieważ wymaga przeliczania wartości oraz znajomości wag poszczególnych praw. Dlatego też chmod udostępnia znacznie wygodniejszy sposób modyfikacji praw dostępu - tzw. format symboliczny. W formacie tym poszczególne prawa reprezentowane są przez odpowiadające im symbole - "r", "w" oraz "x", natomiast podmiot praw określany jest następującymi literami: "u" właściciel pliku (ang. user), "g" grupa właściciela (ang. group), "o" pozostali użytkownicy (ang. others), "a" wszyscy powyżsi. Operacja na prawach opisana jest odpowiednimi symbolami. Dodanie praw oznaczane jest przez "+", zmniejszenie praw symbolizowane jest przez "-", natomiast nadanie praw zgodnie ze wzorcem oznaczane jest przez "=". Format symboliczny składa się z oznaczenia podmiotu praw, operacji oraz samych praw. Przykłady: chmod a+r plik Dodanie wszystkim użytkownikom prawa odczytu pliku chmod u+w plik Dodanie właścicielowi prawa zapisu do pliku chmod g-w plik Zdjęcie prawa zapisu pliku przez grupę. W notacji symbolicznej zarówno prawa jak i podmioty można łączyć w grupy: chmod a=rx plik Nadanie plikowi praw r-xr-xr-x chmod ug+w plik Dodanie właścicielowi pliku i grupie praw zapisu do pliku chmod a-rwx plik Zdjęcie wszystkich praw z pliku Dodatkowo łączyć można kilka notacji symbolicznych, oddzielając je przecinkami: chmod u+rwx,g=r plik Dodanie właścicielowi pełnych praw (tożsame z a=rwx) oraz udzielenie praw wyłącznie dla odczytu dla grupy. Prawa dla pozostałych użytkowników nie ulegną zmianie. chmod u=rwx,g=rx,o=x plik Nadanie praw 751. Prawa dostępu do pliku modyfikować może tylko właściciel pliku bądź użytkownik root. Dzięki temu użytkownik root ma pełny dostęp do wszystkich zasobów systemu.

---