Nastavování oprávnění
Z MiS
Obsah |
Oprávnění pro přístup k souborům a složkám
V tomto článku se zabýváme klasickým systémem nastavení oprávění tak, jak fungoval v Unixu a jak funguje dodnes v mnoha distribucích GNU/Linuxu. Existují ale rozšíření jako SELinux, AppArmor a další.
Oprávnění k souboru si můžeme představit jako tabulku s devíti jednobitovými hodnotami (má oprávnění/nemá oprávnění):
| r(ead) | w(rite) | x(eXecute) | |
|---|---|---|---|
| u(ser) | ? | ? | ? |
| g(roup) | ? | ? | ? |
| o(thers) | ? | ? | ? |
Oprávnění nastavujeme
- u... vlastníkovi souboru (neříkejte „uživateli“, nebylo by zřejmé, kterému)
- g... skupině, která soubor vlastní („vlastnické skupině“)
- o... všem ostatním uživatelům
Význam jednotlivých oprávnění
- Pro soubory
- r... zobrazit obsah souboru
- w... upravit obsah souboru
- x... spustit soubor
- Pro složky/adresáře
- r... zobrazit soubory v adresáři
- w... umožní přidávat, mazat, přejmenovávat soubory a složky
- x... umožní přístup k souborům ve složce (v závislosti na oprávnění k danému souboru)
Poznámka: představte si složku/adresář jako soubor, obsahující seznam názvů souborů a odkazů na jejich datové bloky
- Úkoly
- Jaká oprávnění potřebujete mít pro provedení příkazů:
-
ls directory -
mv directory/file.txt file.txt -
mv directory/file.txt directory/file-backup.txt -
cp directory/file.txt file.txt -
cat directory/file.txt -
rm directory/file.txt
-
Výpis stávajících oprávnění
- Příkazem
ls -l
Příklad výstupu:
-rwxr--r-- 1 student skupina 1627 8. lis 10.52 soubor.txt
- Význam znaků
- první znak: typ souboru
- - ... běžný soubor
- d ... adresář (složka)
- oprávnění k souboru
- nejprve pro vlastníka, pak skupiny, pak pro ostatní
- vždy v pořadí rwx
- pokud je oprávnění nastaveno, je tam odpovídající písmeno
- pokud oprávnění není nastaveno, pak je uvedena pomlčka
- počet pevných linků (viz typy souborů)
- username vlastníka
- groupname skupiny, která soubor vlastní
- velikost souboru
- datum poslední změny
- název souboru
- Úkol
- Vypsali jste si oprávnění k souboru soubor.txt:
$ ls -l -rwxr----- 1 student skupina 1627 8. lis 10.52 soubor.txt
- Může uživatel
frantazapisovat do souboru soubor.txt? - Co má případně
frantadělat, aby do souboru mohl zapsat? - Může uživatel
frantaobsah souboru číst? - Co má případně
frantadělat, aby obsah souboru mohl číst?
Změna oprávnění (chmod)
- Dva režimy: změna všech oprávnění naráz, nebo změna jednoho oprávnění.
- Kompletní sada oprávnění naráz
- Zapíšeme oprávnění jako posloupnost jedniček (má oprávnění) a nul (nemá oprávnění) v pořadí: u(rwx) g(rwx) o(rwx).
- Trojice přečteme jako dvojkový zápis desítkových čísel.
Představme si, že chceme zapsat, že vlastník má všechna oprávnění, skupina nemůže zapisovat a ostatní mohou jen číst:
u g o rwx rwx rwx 111 101 100 7 5 4
Použití:
chmod 754 data.txt
- Nastavení jednotlivých oprávnění
- Píšeme:
chmod komu+/-co soubor-
komu...u,g,o, ev.ajako all pro všechny typy. -
+... nastavit oprávnění nebo-... odebrat oprávnění, -
co...r,w,x.
-
Příklad:
chmod u+r data.txt
Změna vlastníka a skupiny
- Při vytvoření souboru
- Vlastníkem souboru se při vytvoření souboru stane ten, kdo soubor vytvoří.
- Nový soubor vlastní skupina, která je primární skupinou vlastníka.
-
chown
- změna vlastníka
- obvykle může provádět pouze administrátor (root)(toto chování lze změnit)
sudo chown xmarek data.txt
-
chgrp
- změna vlastnické skupiny
- kdo může měnit vlastnickou skupinu:
- vlastník souboru či složky může přiřazovat soubor jen skupinám, do kterých sám patří
- administrátor (root) může přiřadit libovolnou skupinu.
chgrp ucetni data.txt
Opakování
- Zjistěte vlastníka souboru /etc/passwd.
- Říká se, že administrátor počítače může v klasických desktopových distribucích všechno. Není to v rozporu s výše uvedeným nastavením oprávnění???
- Jak zjistíte, zda uživatel může soubor smazat?
