□ 5 - разрешено чтение и выполнение;
□ 6 - разрешено чтение и запись;
□ 7 - разрешено все.
Попробуйте теперь с помощью этого списка определить возможности, которые предоставляет число 754. Каждый разряд нужно рассматривать в отдельности. Сравните полученный результат с символьным представлением rwxr-xr--. Должно выйти одно и то же.
Внимание!
Для того чтобы иметь право создания или удаления файлов, необходимо иметь разрешение записи на директорию. Это немного сбивает с толку начинающих администраторов, т.к. им непонятно, почему при наличии всех прав на файл его нельзя удалять.
4.1.1. Назначение прав
Для изменения режима доступа на объекты файловой системы используется команда chmod. В ней можно указывать новые права на объект как в символьном (применяется для изменения относительно текущего состояния), так и в числовом виде (абсолютное задание). Для начала рассмотрим символьный режим:
chmod параметры права файл
Параметры могут включать комбинацию значений изменения прав по категориям пользователей:
□ u - владельца;
□ g - группы;
□ о - остальных пользователей;
□ a - все права (то же самое, что передать значение ugo).
Перед указанием прав можно задать режим их изменения относительно существующих:
□ + - добавить;
□ - - удалить;
□ = - заменить новыми (старые значения будут уничтожены). После этого устанавливается режим доступа:
□ r - чтение;
□ w - запись;
□ x - выполнение;
□ X - выполнение, если файл является каталогом или уже имеет аналогичные права для какого-либо пользователя;
□ s - setuid- или setgid-бит;
□ t - sticky-бит. В этом случае только владелец файла и каталога сможет выполнить удаление;
□ u - всем пользователям, как и у владельца;
□ g - всем пользователям, как и у группы;
□ o -для остальных, как у пользователей, не входящих в группу файла и не являющихся его владельцем.
В случае с числовым представлением команда выглядит следующим образом:
chmod права файл
Права передаются в виде восьмеричного числа из четырех разрядов:
□ первый - определяет дополнительный бит и может принимать одно из значений:
• 1 - бит принадлежности;
• 2 - setgid-бит;
• 4 - setuid-бит;
□ второй - права пользователя. Это число может быть от 0 до 7;
□ третий - права группы. Значение в диапазоне от 0 до 7;
□ четвертый - права остальных пользователей. Это число может быть от 0 до 7.
Например, мы хотим, чтобы владелец и группа имели все права (число 7), а остальные пользователи могли только выполнять файл (число 1). Значит, команда будет выглядеть следующим образом:
chmod 771 filename
Число 771 в символьном виде соответствует правам rwxrwx--x. Следующая команда отменит возможность чтения файла группой:
chmod g-r text
После этой команды права доступа на файл станут rwx-wx--x. Теперь давайте запретим всем запуск файла. Для этого можно выполнить команду:
chmod ugo-x text
или
chmod a-x text
После наших манипуляций права доступа на файл станут rw--w----.
4.1.2. Владелец файла
Для изменения владельца файла существует команда chown:
chown имя файл
Через параметр имя определяется пользователь, которому нужно передать права на указанный файл. Например, давайте сделаем владельцем файла test администратора root. Для этого нужно выполнить следующую команду:
chown root test
Изменить можно и группу, к которой принадлежит файл. Для этого выполните команду chgrp:
chgrp имя файл
Здесь задается имя группы, которой предоставляются права на указанный файл. Например, для файла test укажите группу администратора root с помощью такой команды:
chgrp root test
4.1.3. Правила безопасности
При назначении прав на доступ к файлам и папкам вы должны следовать принципу минимализма, описанному в разд. 2.10.1. Чтобы это правило действовало, по умолчанию должно быть запрещено все. Открываем доступ только на то, что необходимо, и ничего лишнего. Если файл не должен быть виден пользователю, то нельзя разрешать даже его отображение в дереве каталогов.
Любые лишние объекты могут оказаться фатальными для безопасности системы не только с точки зрения взлома, но и утечки информации. Например, файлы бухгалтерской отчетности должны быть доступны только для тех, кто с ними работает. Если показать эти документы всем, то финансовые данные, возможно, станут достоянием общественности, и это нежелательным образом отразится на благосостоянии компании.
Самое главное для защиты вашей системы - не дать пользователям возможность изменять системные файлы. В Linux основные конфигурационные файлы находятся в каталоге /etc. Только администратор root должен иметь право их модифицировать. Производители дистрибутивов настраивают систему по умолчанию именно так, и не следует повышать статус пользователей без особой надобности.
4.1.4. Права по умолчанию
Когда пользователь создает новый файл или директорию, то им назначаются права по умолчанию. Давайте разберем это на примере. Для создания файла выполним команду ls и перенаправим вывод в файл:
ls -al >> testfile
Теперь проверим права на этот файл с помощью команды ls -al. Должно получиться -rw-r--r--, т.е. владелец может читать и изменять файл, а пользователи группы и все остальные - только просматривать. В старых системах и некоторых дистрибутивах права могут быть равны -rw-rw-r--, а значит, пользователи группы тоже смогут корректировать файл. Такие права нарушают главное правило безопасности. Но в любом случае все получают возможность читать файл. Это разрешено.
Такая политика неверна, потому что если вы создадите файл, который хранит конфиденциальные данные, то информация будет доступна для всеобщего обозрения. И если вы забудете понизить права, то любой сможет увидеть и прочитать файл.
Ситуацию можно изменить, если понимать, как создаются права для нового файла. Они рассчитываются на основе маски, текущее значение которой определяется командой umask. В результате будет получено значение 0022 или 002.
Посмотрим, как маска влияет на регламентацию доступа. По умолчанию права для файлов устанавливаются в значение 666 минус маска, а для директорий - 777 минус маска.
Теперь ясно, что если маска равна 002, то для нового файла будут установлены права 666-002=664, а это соответствует -rw-rw-r--, а при значении 0022 формула изменится на 666-0022=644, что будет означать -rw-r--r--.
Для директорий расчет аналогичный, и при маске, равной 002, по умолчанию будут устанавливаться права 777-002=775 (drwxrwxr-x). В случае с маской 0022 значение определяется как 777-002=755, а это соответствует правам drwxr-xr-x, т.е. все пользователи смогут просматривать директории и увидят содержащиеся в ней файлы.
Все это не есть хорошо. Если владелец должен иметь доступ, достаточный для полноценной работы с файлами и директориями, то остальные вообще не должны иметь прав. Эту ситуацию можно исправить изменением маски. Я рекомендую установить ее в 077. В этом случае для директорий права будут определены как 777-077=700 (или drwx------), а для файлов - 666-077=600 (или -rw-------). Тогда доступ к файлу имеет только владелец. Все остальные - отдыхают.
При расчете прав на файл можно подумать, что я ошибся, ведь 666-077 далеко не равно 600. Почему же так получилось? Просто вычитание происходит поразрядно, т.е. первая цифра 6 в числе минус первая цифра 0 в маске, затем операция производится со вторыми цифрами (6-7) и т.д. Если какой-либо результат получается отрицательным, то он округляется до нуля.
Вот такое положение дел нас уже устраивает. Чтобы установить новую маску, выполните команду umask маска. В нашем случае это будет umask 077.
4.1.5. Права доступа к ссылкам
В разд. 3.1.3 мы рассматривали жесткие и символьные ссылки на файлы. Для начала вспомним права на жесткие ссылки:
913021 -rw-r--r-- 2 root root 0 Feb 22 12:19 1.txt
913021 -rw-r--r-- 2 root root 0 Feb 22 12:19 link.txt
Как видите, права абсолютно идентичны. Я надеюсь, что вы другого и не ожидали, ведь у ссылок дескрипторы одинаковые.
С символьными ссылками дело обстоит куда хуже. Вот пример основного файла и символьной ссылки на него из того же разд. 3.1.3:
913021 -rw-r--r-- 1 root root 519 Feb 22 12:19 link.txt
913193 lrwxrwxrwx 1 root root 8 Feb 22 12:40 symbol.txt -> link.txt
Первая строка содержит информацию о файле, а во второй - находится символьная ссылка. Как видите, у нее открыт абсолютно полный доступ. Если создать ссылку для файла /etc/shadow и не изменить ее права, то можете попрощаться с паролями, их украдут или обнулят. Помните, что любая операция по изменению файла символьной ссылки затрагивает непосредственно сам файл.
Если вы решили использовать символьные ссылки, то не забудьте об особенности формирования прав доступа на файлы. Можете даже выбить на мониторе надпись: "Ссылки на файлы создаются с полными правами!!!"
4.2. Управление группами
Начнем изучение вопроса с создания групп. Что это такое? Допустим, что в вашей сети 1000 пользователей, 500 из которых должны иметь доступ к файлам бухгалтерской отчетности. Как поступить? Можно каждому из 500 пользователей назначить права на нужный файл и забыть об этом до определенного времени. А теперь представим, что нужно отменить это разрешение. Опять выполнять 500 команд для каждого пользователя? А может быть писать собственную программу? Оба способа неудобны и требуют больших усилий.
Что если объединить этих пользователей в группу, а уже ей дать право на использование определенного файла. Впоследствии, если нужно запретить доступ, то одной командой отключаем разрешение для группы, и все 500 пользователей больше не смогут работать с файлом. Удобно? Даже очень.
В ОС Red Hat Linux все пользователи приписываются к какой-либо группе. Если при введении новой учетной записи группа не указана, то она будет создана по умолчанию под именем пользователя.
4.2.1. Добавление группы
Для создания новой группы используется команда groupadd. Она выглядит следующим образом:
groupadd [-g gid [-о]] [-r] [-f] имя
После имени команды можно указывать следующие параметры:
□ -g gid - идентификатор группы. Это неотрицательное число, которое должно быть уникально. Если вы ввели значение, которое уже используется в системе, то для нормальной отработки команды нужно добавить еще и ключ -o. В большинстве случаев идентификатор вообще не нужно указывать. Тогда система возьмет первое свободное значение, начиная с 500;
□ -r - этот ключ указывает на необходимость создания системной группы. Идентификаторы таких групп находятся в диапазоне от 0 до 499. Если в явном виде не указано значение параметра -g, то будет выбрано первое свободное число менее 500;
□ -f - блокирует создание групп с одинаковыми именами. Если указать этот ключ, то команда отработает, но новая группа не сформируется, а уже существующая не будет обновляться.
Если какие-либо параметры не указаны, то будут использоваться значения по умолчанию. Рассмотрим примеры создания групп (после знака "#" идет комментарий, поясняющий работу команды):
groupadd testgroup1 # Создать группу testgroup1 с ID по умолчанию
groupadd -g 506 testgroup2 # Создать группу testgroup1 с ID 506
groupadd -r testgroup3 # Создать группу testgroup1 с системным ID
#(менее 500) по умолчанию
Вся информация о группах добавляется в файл /etc/group. Откройте его содержимое, например, в МС или наберите в командной строке:
cat /etc/group
Эта команда выводит на экран содержимое файла, в самом конце которого вы увидите три строки с информацией о добавленных нами группах:
testgroup1:x:500:
testgroup2:x:506:
testgroup3:x:11:
Файл состоит из 4 колонок: имя группы, пароль, идентификатор, список пользователей. Колонки разделены знаком двоеточия.
В первой группе мы не указывали идентификатор, поэтому система выбрала значение по умолчанию. Во второй - в явном виде задан номер группы. В последней строке идентификатор равен 11, потому что был запрошен номер по умолчанию из системного диапазона (использовался ключ -r).
Последняя колонка (после третьего двоеточия) ничего не содержит. Здесь должен быть список пользователей группы, но он пуст, потому что мы еще его не формировали.
4.2.2. Редактирование группы
Для редактирования параметров группы можно напрямую изменять файл /etc/group, но я рекомендую лучше использовать команду groupmod. У этой команды такие же ключи, что и у groupadd, но она не добавляет группу, а изменяет параметры уже существующей.
4.2.3. Удаление групп
Теперь рассмотрим, как можно удалить группу. Для этого используется команда groupdel:
groupdel имя
При выполнении этой команды вы должны самостоятельно проверить все файлы, владельцем которых является удаляемая группа, и при необходимости изменить собственника, иначе к таким файлам сможет получить доступ только root-администратор.
Надо еще заметить, что группу нельзя удалить, если в ней есть пользователи. Сначала их нужно вывести из группы, и только потом выполнять команду groupdel.
4.3. Управление пользователями
Для добавления пользователя используется команда useradd. С ее помощью также можно изменить значения по умолчанию, которые будут присваиваться учетной записи.
Команда выглядит следующим образом:
useradd параметры имя
Параметров очень много, большинство из них вам знакомо по файлу /etc/password, который мы рассматривали в гл. 3. Рассмотрим каждый аргумент:
□ -с - простое текстовое описание, которое может быть любым;
□ -d - домашний каталог пользователя;
□ -e - дата отключения учетной записи, после которой пользователь станет неактивным, вводится в формате ГГГГ-ММ-ДД;
□ -f - количество дней до отключения. Похоже на параметр -е, только указывается период относительно текущей даты. Если запись нужно отключить сразу после создания, то используйте значение 0. По умолчанию устанавливается -1, что соответствует бесконечности, т.е. запись будет активной всегда;
□ -g - основная группа, которой будет принадлежать пользователь. Можно указывать как имя, так и идентификатор. В Red Hat каждый пользователь принадлежит какой-либо группе;
□ -G, [...] - дополнительные группы, в которых будет существовать пользователь. Имена групп перечисляются через запятую;
□ -m - ключ для создания домашнего каталога пользователя. В такую директорию будут скопированы все файлы из /etc/skel;
□ -M - не создавать домашний каталог. По умолчанию директория формируется в /home/ИмяПользователя, чтобы этого избежать, нужно явно прописать в команде запрет;
□ -r - если указать этот параметр, то в качестве идентификатора будет выбрано число из системной области;
□ -p - зашифрованный пароль, который можно получить с помощью команды crypt;
□ -s - командный интерпретатор, который будет обрабатывать директивы пользователя;
□ -u - идентификатор, который должен быть уникальным. Если его не устанавливать, то система выберет свободное значение.
Самый последний параметр - имя создаваемой учетной записи. Давайте рассмотрим, как можно добавить нового пользователя по имени robert, для которого все значения будут установлены по умолчанию:
useradd robert
cat /etc/passwd
В первой строке мы создаем нового пользователя по имени robert. Вторая строка выводит на экран содержимое файла /etc/passwd, где хранится информация о всех учетных записях. И заключительная строка в нем будет выглядеть следующим образом:
robert:x:501:501::/home/robert:/bin/bash