Как работают права доступа к файлам в Linux?
Если вы какое-то время использовали Linux (и даже OS X), вы, вероятно, сталкивались с ошибкой «разрешения». Но что это такое, и почему они необходимы или полезны? Давайте заглянем внутрь.
Разрешения пользователя
Когда-то компьютеры были огромными машинами, которые были невероятно дорогими. Чтобы максимально использовать их возможности, было подключено несколько компьютерных терминалов, что позволило многим пользователям одновременно заниматься своими делами. Обработка и хранение данных производились на машине, а сами терминалы были не более чем средством просмотра и ввода данных. Если вы задумаетесь, это в значительной степени то, как мы получаем доступ к данным в «облаке»; посмотрите на систему Amazon Cloud MP3, Gmail и Dropbox, и вы заметите, что хотя изменения можно вносить локально, все хранится удаленно.
(Изображение: Зенит Z-19 «тупой» терминал; кредит: ajmexico)
Чтобы это работало, отдельные пользователи должны иметь учетные записи. Для них должен быть выделен участок области хранения, и им должно быть разрешено запускать команды и программы. Каждый получает определенные «пользовательские разрешения», которые диктуют, что они могут и чего не могут делать, к какой части системы они могут и не имеют доступа, и чьи файлы они могут и не могут изменять. Каждый пользователь также помещается в различные группы, которые предоставляют или ограничить дальнейший доступ.
Доступ к файлам
В этом дурацком многопользовательском мире мы уже установили границы того, что могут делать пользователи. Но как насчет того, к чему они имеют доступ? Ну, у каждого файла есть набор разрешений и владелец. Обозначение владельца, обычно связываемое при создании файла, объявляет, какому пользователю он принадлежит, и только этот пользователь может изменять свои права доступа.
В мире Linux разрешения делятся на три категории: чтение, запись и выполнение. Доступ «чтение» позволяет просматривать содержимое файла, доступ «запись» позволяет изменять содержимое файла, а доступ «выполнение» позволяет запускать набор инструкций, таких как сценарий или программа. Каждый из этих Категории применяются к разным классам: пользователю, группе и миру. \Пользователь означает владельца, \группа означает любого пользователя, который находится в той же группе, что и владелец, а \мир означает всех и каждого.
Папки также могут быть ограничены этими разрешениями. Например, вы можете разрешить другим людям в вашей группе просматривать каталоги и файлы в вашей домашней папке, но не всем, кто не входит в вашу группу. Вы, вероятно, захотите ограничить доступ на запись только для себя, если только вы не работаете над каким-либо общим проектом. Вы также можете создать общий каталог, который позволит любому просматривать и изменять файлы в этой папке.
Изменение разрешений в Ubuntu
Графический интерфейс
Чтобы изменить права доступа к принадлежащему вам файлу в Ubuntu, просто щелкните файл правой кнопкой мыши и перейдите в «Свойства».
Вы можете изменить, могут ли Владелец, Группа или Другие читать и писать, только читать или ничего не делать. Вы также можете установить флажок, чтобы разрешить выполнение файла, и это включит его для владельца, группы и других одновременно.
Командная строка
Вы также можете сделать это через командную строку. Перейдите в каталог, в котором есть файлы, и введите следующую команду, чтобы просмотреть все файлы в списке:
лс-ал
Рядом с каждым файлом и каталогом вы увидите специальный раздел, в котором указаны разрешения, которые у него есть. Это выглядит так:
-rwxrw-r–
r означает «прочитать», w — «записать», а x — «выполнить». Каталоги будут начинаться с \d вместо \-\. Вы также заметите, что есть 10 пробелов, которые содержат значение. Вы можете игнорировать первый, и тогда есть 3 набора из 3. Первый набор для владельца, второй набор для группы и последний набор для мира.
Чтобы изменить права доступа к файлу или каталогу, давайте рассмотрим базовую форму команды chmod.
chmod [класс][оператор][разрешение] файл
chmod [ugoa][+ или –] [rwx] файл
Сначала это может показаться сложным, но поверьте мне, это довольно просто. Во-первых, давайте посмотрим на классы:
- u: Это для владельца.
- g: Это для группы.
- o: Это для всех остальных.
- a: Это изменит разрешения для всего вышеперечисленного.
Далее операторы:
- +: знак плюс добавит следующие разрешения.
- -: знак минус удалит последующие разрешения.
Все еще со мной? И последний раздел такой же, как когда мы проверяли права доступа к файлу:
- r: разрешает доступ для чтения.
- w: разрешает доступ для записи.
- x: выполнение разрешено.
Теперь давайте соберем это вместе. Допустим, у нас есть файл с именем \todo.txt со следующими разрешениями:
-rw-rw-r–
То есть владелец и группа могут читать и писать, а весь мир только читать. Мы хотим изменить разрешения на эти:
-rwxr—–
То есть владелец имеет полные права, а группа может читать. Мы можем сделать это в 3 шага. Во-первых, мы добавим разрешение на выполнение для пользователя.
chmod u+x todo.txt
Затем мы удалим разрешение на запись для группы.
chmod g-w todo.txt
Наконец, мы удалим права на чтение для всех остальных пользователей.
chmod или todo.txt
Мы также можем объединить их в одну команду, например:
chmod u+x,g-w,or-r todo.txt
Вы можете видеть, что каждый раздел разделен запятыми и пробелов нет.
Вот несколько полезных разрешений:
- -rwxr-xr-x : владелец имеет полные права, группа и другие пользователи могут читать содержимое файла и выполнять его.
- -rwxr–r– : владелец имеет полные права, группа и другие пользователи могут только читать файл (полезно, если вы не возражаете против того, чтобы другие просматривали ваши файлы.
- -rwx—— : у владельца есть полные права, у всех остальных — нет (полезно для личных скриптов).
- -rw-rw—-: Владелец и группа могут читать и писать (полезно для совместной работы с членами группы).
- -rw-r–r– : владелец может читать и писать, группа и другие пользователи могут только читать файл (полезно для хранения личных файлов в общей сети).
- -rw——- : Владелец может читать и писать, все остальные — нет (полезно для хранения личных файлов).
Есть еще несколько вещей, которые вы можете сделать с помощью chmod, например, setuid и setgid, но они немного углублены, и большинству пользователей все равно не нужно их использовать.
Корень или суперпользователь и системные файлы
В настоящее время мы не всегда запускаем системы с несколькими пользователями. Почему мы все еще должны беспокоиться о разрешениях?
Что ж, Unix и его производные — Linux, OS X и другие — также различают вещи, управляемые пользователем, вещи, управляемые администратором или с правами администратора, и вещи, управляемые самой системой. Таким образом, вещи, которые являются неотъемлемой частью системы, требуют прав администратора для изменения или доступа. Таким образом, вы случайно ничего не испортите.
В Ubuntu для внесения изменений в системные файлы вы используете «sudo» или «gksudo», чтобы получить эквивалент прав администратора. В других дистрибутивах вы переключаетесь на «root» или «super-user», что фактически делает то же самое, пока вы не выйдете из системы.
Имейте в виду, что в обоих этих случаях изменение прав доступа к файлам может привести к тому, что программы не будут работать, непреднамеренно передадут право собственности на файл пользователю root (вместо владельца) и сделают систему менее безопасной (путем предоставления дополнительных разрешений). Таким образом, рекомендуется не изменять разрешения для файлов, особенно для системных файлов, если в этом нет необходимости или если вы не знаете, что делаете.
Разрешения на доступ к файлам используются для обеспечения базовой системы безопасности среди пользователей. Изучение того, как они работают, может помочь вам настроить базовый общий доступ в многопользовательской среде, защитить «общедоступные» файлы и дать вам представление о том, когда что-то пойдет не так с владением системными файлами.
Думаете, вы можете объяснить вещи проще? Есть коррекция? Хотите вспомнить былые времена? Сделайте перерыв и выскажите свое мнение в комментариях.