Категории пользователей и действия над файлами

Часть 2. Права доступа к файлам и каталогам

Для каждого файла и каталога в ОС Linux задаются права доступа, которые определяют, кто и какие операции может проводить над данным файлом. Существуют три категории пользователей, которые могут иметь доступ к файлу или каталогу: " владелец", " группа" и " прочие". Владелец - это пользователь, создавший файл. Часто пользователи объединяются в группы Например, системный администратор может объединить в группу пользователей, работающих над одним проектом. Пользователи не входящие в группу относятся к категории " прочие".

Для каждой категории пользователей существует отдельный набор прав доступа на чтение, запись и выполнение. Первый набор управляет доступом самого пользователя к его файлам. Второй набор управляет доступом группы к файлам этого пользователя. Третий набор управляет доступом прочих пользователей к файлам данного пользователя. Эти три набора прав доступа на чтение запись и выполнение для трех категорий - владельца, группы и прочих -образуют в совокупности девять типов разрешений на действия с файлом. Команда ls с опцией -l выдает подробную информацию о файле, включая права доступа к нему.

Отсутствие права доступа обозначается дефисом, -. Право на чтение обозначается буквой r, право на запись - буквой w, право на выполнение - буквой х. Первый трехсимвольный набор - это права доступа к файлу для категории " владелец". Второй трехсимвольный набор - это права доступа к файлу для категории " группа". Третий трехсимвольный набор - это права доступа к файлу для категории " прочие".

Для создания различных конфигураций прав доступа применяется команда chmod. В качестве аргументов в этой команде используются два списка: список изменений прав доступа и список имен файлов. Список изменений прав доступа можно задавать двумя способами. В первом, который называется символическим методом, используются символы r, w, x. Во втором, который называют абсолютным методом, применяется так называемая двоичная маска.

Установление прав доступа: символы прав доступа

В символическом методе права доступа на чтение, запись и выполнение обозначаются соответственно символами r, w и x. Любое из этих разрешений можно добавлять и удалять. Символом добавления права доступа является знак плюс, +. Символом отмены является знак минус, -. Категории пользователей " владелец", " группа" и " прочие" обозначаются соответственно символами u, g и о. Символ категории ставится перед символами, устанавливающими права на чтение, запись и выполнение. Если символа категории нет, то подразумеваются все категории и указанные права устанавливаются для пользователя, группы и прочих. Есть еще один символ разрешения, а (от all), который обозначает все категории. Он действует по умолчанию.

Помимо прав на чтение, запись и выполнение можно устанавливать для пользователей право владения программами на время их выполнения. Как правило,

программа во время выполнения обладает правами того пользователя, который ее запустил, даже если сам файл программы принадлежит другому пользователю. Установка бита " смены идентификатора пользователя" позволяет остальным пользователям выполнять программу с правами ее настоящего владельца. Например, многими программами в системе владеет пользователь root, тогда как выполняют их обычные пользователи. Иногда при работе таких программ возникает необходимость изменения файлов, принадлежащих пользователю root. В этом случае обычному пользователю нужно запустить эту программу с сохранением права пользователя root, чтобы она получила право изменять принадлежащие ему файлы. Бит " смены идентификатора группы" имеет то же значение, что и бит " смены идентификатора пользователя", но только для групп. Пользователи выполняют программу с правами той группы, к которой принадлежит ее владелец. Такая программа может изменять файлы, принадлежащие группе.

Для установки бита смены идентификатора пользователя или группы используется опция s. Бит смены идентификатора пользователя или группы обозначается буквой s в позиции " выполнение" категории " владелец" или " группа". Это право фактически является вариантом права выполнения, х.

Есть еще одно специальное право доступа, которое повышает эффективность программ. Так называемый sticky-бит дает системе указание оставить программу в памяти после завершения ее выполнения. Это полезно для небольших программ, которые часто используются многими пользователями. На наличие sticky-бита указывает буква t в позиции " выполнение" категории " прочие". У программы с правом доступа на чтение и выполнение и установленным sticky-битом права доступа обозначаются как r-t.

Установление прав доступа: двоичные маски.

Вместо символов разрешений многие пользователи предпочитают применять абсолютный метод. Абсолютный метод позволяет изменять сразу все права доступа. Здесь используется двоичная маска, которая обозначает все разрешения в каждой категории. Эти три категории, по три разрешения в каждой, представлены в восьмеричном формате. В восьмеричной системе счисления все числа имеют основание 8. При преобразовании в двоичный формат каждый восьмеричный разряд превращается в три двоичных. Три восьмеричных разряда числа преобразуются в три набора по три двоичных разряда в каждом. Итого получается девять цифр, что в точности соответствует количеству разрешений доступа к файлу.

Восьмеричные цифры можно использовать как маску для установления различных прав доступа к файлу. Каждая восьмеричная цифра относится к одной из категорий пользователей. При этом категории нумеруются слева направо, начиная с категории " владелец". Первая восьмеричная цифра относится к владельцу, вторая к группе, а третья - к прочим пользователям.

Чтобы обозначить бит смены иднтификатора пользователя и sticky-бит нужно ввести перед этими восьмеричными цифрами еще одну. Бит смены идентификатора пользователя обозначается цифрой 4 (100); бит смены идентификатора группы обозначается цифрой 2 (010); sticky-бит обозначается цифрой 1 (001).

Права доступа к каталогам

Права доступа можно устанавливать и для каталогов. Если для каталога установлено право на чтение, пользователи могут получать список файлов, находящихся в данном каталоге. Право на выполнение позволяет переходить в этот каталог. Право на запись дает возможность пользователю создавать и удалять файлы в этом каталоге. При создании каталога для него автоматически устанавливаются права на чтение, запись и выполнение для владельца. Это позволяет получать список файлов, содержащихся в каталоге, переходить в него и создавать в нем файлы.

Как и в случае с файлами, права доступа к каталогам задаются для владельца, группы и прочих пользователей. Также при установлении прав доступа к каталогу можно пользоваться символами прав доступа и двоичными масками.

Команда ls с опцией -ld выдает полную информацию только о каталоге.

Если у пользователя есть файлы, доступ к которым он хотел бы предоставить другим пользователям, то нужно установить права доступа не только для этих файлов, но и для каталога, в котором они находятся. Другой пользователь, желающий получить доступ к файлу, должен сначала войти в каталог, где этот файл находится. Это же касается и родительских каталогов.

Даже если к каталогу имеют право доступа другие пользователи, они смогут попасть в него лишь в том случае, если имеют право доступа и к родительскому каталогу данного каталога. Поэтому необходимо внимательно следить за деревом каталогов. Чтобы пользователь мог работать в каталоге, ему должны быть доступны все остальные каталоги, стоящие в дереве выше этого каталога.

Изменение владельца и группы: команды chown и chgrp

Доступ к файлу могут иметь все пользователи, но права доступа к нему может менять только владелец. Если же необходимо передать контроль над правами доступа к файлу другому пользователю, надо заменить владельца файла. Контроль над файлом передается другому пользователю с помощью команды chown. В качестве первого аргумента в этой команде указывается имя пользователя, которому передается контроль. После него можно дать список файлов, которые вы передаете.

С помощью команды chgrp можно изменить группу, владеющую файлом. В качестве первого аргумента эта команда принимает имя новой группы для файла или файлов. После имени группы можно дать список файлов, которые передаются в эту группу.

Задания для выполнения

Часть 1.

1. Изучить назначение и ключи команды ln.

- создать жесткую ссылку на файл. Просмотреть содержимое файла, используя ссылку. Удалить файл. Просмотреть содержимое файла. Объяснить результат;

- создать жесткую ссылку на каталог. Объяснить результат;

2. Выполнить все задания пункта 1, создавая не жесткие, а символьные ссылки.

3. Создать жесткую и символьную ссылки на файл. С помощью команды ls просмотреть inod файла и ссылок. Объяснить результат.

Часть 2.

1. Изучите при помощи man опцию -l команды ls. Просмотрите права каталогов /etc, /bin и домашнего каталога. Просмотрите права файлов, содержащиеся этих каталогов. Выявите тенденции (файлов с какими правами в каких каталогах больше). Сделайте вывод.

2. Изучите материал, посвящѐ нный пользователям и группам пользователей. Изучите руководство по командам chown и chgrp. Выясните, кто является владельцем и к какой группе владельцев принадлежат файлы вашего домашнего каталога, каталогов /etc, /root, /bin и /dev.

3. Определите атрибуты файлов /etc/shadow и /etc/passwd попробуйте вывести на экран содержимое этих файлов. Объясните результат.

4. Изучите команду chmod. Создайте в домашнем каталоге любые четыре файла, установите при помощи восмеричных масок на каждый из них в отдельности следующие права:

- для себя все права, для группы и остальных - никаких;

- для себя чтение и запись, для группы чтение, для остальных - все;

- для себя исполнение и запись, для группы никаких, для остальных чтение;

- для себя запись, для группы все, для остальных - только запись.

5. Выполните задание предыдущего пункта, используя в команде chmod только символы прав доступа.

6. Переведите номер своей зачетной книжки в восьмеричную систему счисления, разбейте полученное значение на группы по 2-3 цифры и создайте файлы с правами доступа, выраженными полученными масками. Сопоставьте данные маски с символами прав доступа и объясните, какие операции с данными файлами доступны каким субъектам системы.

7. В домашнем каталоге создайте файл и установите на него права так, чтобы его можно было только редактировать.

8. Скопируйте в свой домашний каталог файл ls из каталога /bin. Запретите выполнение этого файла и попробуйте выполнить именно его, а не исходный(!). Объясните результат.

9. Изучите на что влияют права доступа в случае каталогов. Попробуйте зайти в каталог /root, объясните результат и причину.

Отчет

Как и в других работах, отчет по проделанной работе представляется преподавателю в стандартной форме: на листах формата А4, с титульным листом, целью, ходом работы и выводами по выполненной работе. Каждое задание должно быть отражено в отчете следующим образом: 1) что надо было сделать, 2) как это сделали, 3) что получилось, и, в зависимости от задания – 4) почему получилось именно так, а не иначе. При наличии заданий с вариантами необходимо указать свой вариант, и расчет его номера, а также всѐ вышеуказанное для данного варианта задания.

Часть 1

1.