Справочник по Debian



         

Права доступа к файлам и каталогам - часть 2


# chown новый_владелец foo # chgrp новая_группа foo # chmod [ugoa][+-=][rwx][,...] foo

Подробности смотрите в соответствующих man-страницах chown(1), chgrp(1) и chmod(1).

Например, чтобы для некоторого дерева каталогов задать владельцем пользователя foo и сделать группу bar, владеющей этим деревом, выполните следующие команды от имени пользователя root:

# cd /некий/каталог/ # chown -R foo:bar . # chmod -R ug+rwX,o=rX .

Существует три бита специальных прав:

  • set user ID (в выводе ls выводится как s или S в позиции права выполнения для владельца),

  • set group ID (в выводе ls выводится как s или S в позиции права выполнения для группы),

  • sticky bit (в выводе ls выводится как t или T в позиции права выполнения для прочих).

    В выводе команде ls -l бит специального права выводится заглавной буквой (S или T), если бит выполнения, который он скрыл собой, не установлен, и наоборот.

    Установка бита set user ID на выполняемый файл позволяет пользователю выполнить этот файл от имени владельца файла (например, root) Подобным образом, установка бита set group ID на выполняемый файл позволяет выполнить данный файл от имени группы, владеющей этим файлом, например, от имени группы root). Так как эти установки могут создать серъезную дыру в безопасности системы, устанавливайте эти биты очень внимательно.

    Установка бита set group ID на каталог включает схему создания файлов как системах BSD, где все файлы созданные в данном каталоге будут принадлежать группе group, владеющей этим каталогом.

    Установка бита sticky bit на каталог предотвращает удаление файлов в каталоге пользователями, ими не владеющими. Для защиты содержимого файла в каталоге, в который разрешена запись всем, например, /tmp, или в каталоге, в который разрешена запись некоторой группе, нужно не только снять право записи в файл, но и установить бит sticky bit на каталог. В противном случае любой пользователь, имеющий право записи в этот каталог, может удалить этот файл и создать новый с тем же именем (и с любым содержимым - прим. переводчика)




    Содержание  Назад  Вперед