توثيقumask - تعيين الأذونات الافتراضية
• Umask يتحكم الأمر في الأذونات الافتراضية الممنوحة لملف عند إنشائه. يستخدم الترميز الثماني للتعبير عن أ قناع من البتات المراد إزالتها من وضع الملف على تكريم. لنلقي نظرة:
[me @ linuxbox ~] $ جمهورية مقدونيا -f foo.txt
[me @ linuxbox ~] $ Umask
0002
[me @ linuxbox ~] $ > foo.txt
[me @ linuxbox ~] $ جمهورية مقدونيا -f foo.txt
[me @ linuxbox ~] $ Umask
0002
[me @ linuxbox ~] $ > foo.txt
[me @ linuxbox ~] $ ليرة سورية -l foo.txt
-rw-rw-r-- 1 me 0 2016-03-06 14:53 foo.txt
[me @ linuxbox ~] $ ليرة سورية -l foo.txt
-rw-rw-r-- 1 me 0 2016-03-06 14:53 foo.txt
قمنا أولاً بإزالة أي نسخة قديمة من foo.txt للتأكد من أننا بدأنا من جديد. بعد ذلك ، قمنا بتشغيل ملف Umask الأمر بدون وسيطة لمعرفة القيمة الحالية. استجابت بالقيمة 0002 (القيمة 0022 هي قيمة افتراضية شائعة أخرى) ، وهو التمثيل البصري لقناعنا. نقوم بعد ذلك بإنشاء مثيل جديد للملف foo.txt ومراقبة أذوناتها.
يمكننا أن نرى أن كلاً من المالك والمجموعة يحصلون على إذن القراءة والكتابة ، بينما يحصل الآخرون على إذن القراءة فقط. السبب في أن العالم ليس لديه إذن كتابة هو بسبب قيمة القناع. دعنا نكرر مثالنا ، هذه المرة نضع القناع على أنفسنا:
[me @ linuxbox ~] $ rm foo.txt [me @ linuxbox ~] $ اومسك 0000 [me @ linuxbox ~] $ > foo.txt [me @ linuxbox ~] $ ليرة سورية -l foo.txt
-rw-rw-rw- 1 me 0 2016-03-06 14:58 foo.txt
[me @ linuxbox ~] $ rm foo.txt [me @ linuxbox ~] $ اومسك 0000 [me @ linuxbox ~] $ > foo.txt [me @ linuxbox ~] $ ليرة سورية -l foo.txt
-rw-rw-rw- 1 me 0 2016-03-06 14:58 foo.txt
عندما وضعنا القناع على 0000 (إيقاف تشغيله فعليًا) ، نرى أن الملف أصبح قابلاً للكتابة عالميًا الآن. لفهم كيفية عمل ذلك ، علينا إعادة النظر في الأعداد الثمانية. إذا أخذنا القناع وقمنا بتوسيعه إلى ثنائي ، ثم قارنناه بالسمات يمكننا أن نرى ما يحدث:
وضع الملف الأصلي | - rw- rw- rw- | |||
ماسك | 000 | 000 | 000 | 010 |
نتيجة | --- | RW | RW | ص-- |
تجاهل في الوقت الحالي الأصفار البادئة (سنصل إلى تلك الأصفار في دقيقة واحدة) ولاحظ أنه في المكان الذي يظهر فيه الرقم 1 في قناعنا ، تمت إزالة سمة - في هذه الحالة ، يكتب العالم إذنًا. هذا ما يفعله القناع. في كل مكان يظهر فيه 1 في القيمة الثنائية للقناع ، لا يتم تعيين سمة. إذا نظرنا إلى قيمة قناع 0022، يمكننا أن نرى ما يفعله:
وضع الملف الأصلي | - rw- rw- rw- | |||
ماسك | 000 | 000 | 010 | 010 |
نتيجة | --- | RW | ص-- | ص-- |
مرة أخرى ، عندما يظهر 1 في القيمة الثنائية ، لا يتم ضبط السمة المقابلة. العب ببعض القيم (جرب بعض السبعات) لتعتاد على كيفية عمل ذلك. عند الانتهاء ، أعد العضوية للتنظيف:
[me @ linuxbox ~] $ rm foo.txt ؛ ارجوكم 0002
[me @ linuxbox ~] $ rm foo.txt ؛ ارجوكم 0002
في معظم الأوقات لن نضطر إلى تغيير القناع ؛ سيكون التقصير الذي توفره التوزيعات الخاصة بك على ما يرام. ومع ذلك ، في بعض المواقف التي تتطلب إجراءات أمنية مشددة ، فإننا نريد السيطرة عليها.
بعض الأذونات الخاصة
على الرغم من أننا عادة ما نرى قناع إذن ثماني معبراً عنه بعدد ثلاثة أرقام ، فمن الأصح من الناحية الفنية التعبير عنه بأربعة أرقام. لماذا ا؟ لأنه ، بالإضافة إلى إذن القراءة والكتابة والتنفيذ ، هناك بعض الإعدادات الأخرى الأقل استخدامًا لكل مهمة.
الأول من هؤلاء هو بت setuid (ثماني 4000). عند تطبيقه على ملف قابل للتنفيذ ، فإنه يعيّن الامتداد معرف مستخدم فعال من المستخدم الحقيقي (المستخدم الذي يقوم بتشغيل البرنامج بالفعل) إلى مستخدم مالك البرنامج. غالبًا ما يتم إعطاء هذا لعدد قليل من البرامج التي يمتلكها المستخدم المتميز. عندما يقوم مستخدم عادي بتشغيل برنامج يكون "الجذر الرئيسي"، يعمل البرنامج مع الامتيازات الفعالة للمستخدم المتميز. يسمح هذا للبرنامج بالوصول إلى الملفات والأدلة التي لا يُمنع عادة المستخدم العادي من الوصول إليها. من الواضح ، لأن هذا يثير مخاوف أمنية ، يجب تقليل عدد البرامج الثابتة إلى الحد الأدنى المطلق.
الإعداد الثاني الأقل استخدامًا هو بت setgid (ثماني 2000) والذي ، مثل بت setuid ، يغير ملف معرف المجموعة الفعال من معرف المجموعة الحقيقي من المستخدم الحقيقي إلى مالك الملف. إذا تم تعيين بت setgid على دليل ، فسيتم منح الملفات المنشأة حديثًا في الدليل ملكية المجموعة للدليل بدلاً من ملكية المجموعة لمنشئ الملف. يكون هذا مفيدًا في الدليل المشترك عندما يحتاج أعضاء مجموعة مشتركة إلى الوصول إلى جميع الملفات الموجودة في الدليل ، بغض النظر عن المجموعة الأساسية لمالك الملف.
الثالث يسمى قليلا لزجة (ثماني 1000). هذا جزء من نظام يونكس القديم ، حيث كان من الممكن تمييز ملف قابل للتنفيذ على أنه "غير قابل للتبديل". بالنسبة للملفات ، يتجاهل Linux البت اللاصق ، ولكن إذا تم تطبيقه على دليل ، فإنه يمنع المستخدمين من حذف الملفات أو إعادة تسميتها ما لم يكن المستخدم إما مالك الدليل أو مالك الملف أو المستخدم المتميز. غالبًا ما يستخدم هذا للتحكم في الوصول إلى دليل مشترك ، مثل / تمة.
فيما يلي بعض الأمثلة على استخدام شمود مع تدوين رمزي لتعيين هذه الأذونات الخاصة. أولًا تخصيص setuid لأحد البرامج:
chmod u + s برنامج
بعد ذلك ، تعيين setgid إلى دليل:
chmod g + s دير
أخيرًا ، تعيين البت اللاصق إلى دليل:
chmod + t دير
عند عرض الإخراج من ls، يمكنك تحديد الأذونات الخاصة. وهنا بعض الأمثلة. أولاً ، البرنامج الذي تم ضبطه:
-rwsص- XR- س
دليل له السمة setgid:
com.drwxrwsآر إكس
دليل مع مجموعة البت اللاصق:
com.drwxrwxrwt