مستنداتumask - مجوزهای پیش فرض را تنظیم کنید
La umask فرمان مجوزهای پیش فرض داده شده به فایل را هنگام ایجاد آن کنترل می کند. از نماد اکتال برای بیان a استفاده می کند ماسک بیت هایی که باید از ویژگی های حالت فایل حذف شوند. بیا یک نگاهی بیندازیم:
[me@linuxbox ~]$ rm -f foo.txt
[me@linuxbox ~]$ umask
0002
[me@linuxbox ~]$ > foo.txt
[me@linuxbox ~]$ rm -f foo.txt
[me@linuxbox ~]$ umask
0002
[me@linuxbox ~]$ > foo.txt
[me@linuxbox ~]$ ls -l foo.txt
-rw-rw-r-- 1 me me 0 2016-03-06 14:53 foo.txt
[me@linuxbox ~]$ ls -l foo.txt
-rw-rw-r-- 1 me me 0 2016-03-06 14:53 foo.txt
ما ابتدا هر کپی قدیمی را حذف کردیم foo.txt تا مطمئن شویم که تازه شروع کرده ایم. بعد، ما را اجرا کردیم umask دستور بدون آرگومان برای دیدن مقدار فعلی. با ارزش پاسخ داد 0002 (ارزش 0022 یک مقدار پیش فرض رایج دیگر است)، که نمایش هشتی ماسک ما است. سپس یک نمونه جدید از فایل ایجاد می کنیم foo.txt و مجوزهای آن را رعایت کنید.
می بینیم که مالک و گروه هر دو مجوز خواندن و نوشتن دریافت می کنند، در حالی که بقیه فقط مجوز خواندن دریافت می کنند. دلیل اینکه دنیا مجوز نوشتن ندارد به دلیل ارزش ماسک است. بیایید مثال خود را تکرار کنیم، این بار ماسک را خودمان تنظیم کنیم:
[me@linuxbox ~]$ rm foo.txt [me@linuxbox ~]$ umask 0000 [me@linuxbox ~]$ > foo.txt [me@linuxbox ~]$ ls -l foo.txt
-rw-rw-rw- 1 me me 0 2016-03-06 14:58 foo.txt
[me@linuxbox ~]$ rm foo.txt [me@linuxbox ~]$ umask 0000 [me@linuxbox ~]$ > foo.txt [me@linuxbox ~]$ ls -l foo.txt
-rw-rw-rw- 1 me me 0 2016-03-06 14:58 foo.txt
وقتی ماسک را روی 0000 (در واقع خاموش کردن آن)، می بینیم که فایل اکنون در جهان قابل نوشتن است. برای اینکه بفهمیم این چگونه کار می کند، باید دوباره به اعداد اکتالی نگاه کنیم. اگر ماسک را برداریم و آن را به دوتایی بسط دهیم، و سپس آن را با ویژگیها مقایسه کنیم، میتوانیم ببینیم چه اتفاقی میافتد:
حالت فایل اصلی | --- rw- rw- rw- | |||
ماسک | 000 | 000 | 000 | 010 |
نتیجه | --- | rw - | rw - | r-- |
صفرهای ابتدایی را برای لحظه نادیده بگیرید (در عرض یک دقیقه به آنها خواهیم رسید) و مشاهده کنید که در جایی که 1 در ماسک ما ظاهر می شود، یک ویژگی حذف شده است. - در این مورد، جهان اجازه نوشتن. این کاری است که ماسک انجام می دهد. در هر جایی که یک 1 در مقدار باینری ماسک ظاهر می شود، یک ویژگی تنظیم نشده است. اگر به یک مقدار ماسک نگاه کنیم 0022، ما می توانیم ببینیم چه کاری انجام می دهد:
حالت فایل اصلی | --- rw- rw- rw- | |||
ماسک | 000 | 000 | 010 | 010 |
نتیجه | --- | rw - | r-- | r-- |
مجدداً، جایی که یک 1 در مقدار باینری ظاهر می شود، ویژگی مربوطه تنظیم نشده است. با برخی از ارزش ها بازی کنید (چند عدد هفت را امتحان کنید) تا به نحوه عملکرد آن عادت کنید. وقتی کارتان تمام شد، پاکسازی را به یاد بیاورید:
[me@linuxbox ~]$ rm foo.txt; umask 0002
[me@linuxbox ~]$ rm foo.txt; umask 0002
بیشتر اوقات ما مجبور نیستیم ماسک را عوض کنیم. پیش فرض ارائه شده توسط توزیع شما خوب خواهد بود. با این حال، در برخی شرایط با امنیت بالا، ما می خواهیم آن را کنترل کنیم.
برخی از مجوزهای ویژه
اگرچه ما معمولاً یک ماسک مجوز هشتگانه را میبینیم که به صورت یک عدد سه رقمی بیان میشود، از نظر فنی بهتر است که آن را در چهار رقم بیان کنیم. چرا؟ زیرا علاوه بر مجوز خواندن، نوشتن و اجرا، تنظیمات مجوز دیگری نیز وجود دارد که کمتر مورد استفاده قرار می گیرند.
اولین مورد از این موارد است بیت سست (اکتال 4000). وقتی روی یک فایل اجرایی اعمال می شود، مقدار را تنظیم می کند شناسه کاربری موثر از کاربر واقعی (کاربری که در واقع برنامه را اجرا می کند) تا صاحب برنامه. اغلب این به چند برنامه متعلق به ابرکاربر داده می شود. وقتی یک کاربر معمولی برنامه ای را اجرا می کند که "ریشه se- tuid"، برنامه با امتیازات موثر ابرکاربر اجرا می شود. این به برنامه اجازه می دهد تا به فایل ها و دایرکتوری هایی دسترسی پیدا کند که یک کاربر معمولی معمولاً از دسترسی به آنها منع می شود. بدیهی است که از آنجایی که این نگرانیهای امنیتی را افزایش میدهد، تعداد برنامههای setuid باید به حداقل مطلق برسد.
دومین تنظیمی که کمتر استفاده می شود، تنظیم است بیت setgid (octal 2000) که مانند بیت setuid تغییر می دهد شناسه گروه موثر از شناسه واقعی گروه از کاربر واقعی به کاربر صاحب فایل. اگر بیت setgid روی یک دایرکتوری تنظیم شده باشد، به فایلهای تازه ایجاد شده در دایرکتوری، مالکیت گروهی دایرکتوری به جای مالکیت گروهی سازنده فایل داده میشود. هنگامی که اعضای یک گروه مشترک بدون در نظر گرفتن گروه اصلی مالک فایل، نیاز به دسترسی به همه فایلهای موجود در فهرست دارند، این کار در یک فهرست مشترک مفید است.
سومی نام دارد کمی چسبنده (اکتال 1000). این یک ذخیرهسازی از یونیکس باستانی است، جایی که میتوانست یک فایل اجرایی را بهعنوان «غیرقابل تعویض» علامتگذاری کند. در فایلها، لینوکس بیت چسبنده را نادیده میگیرد، اما اگر روی دایرکتوری اعمال شود، از حذف یا تغییر نام فایلها توسط کاربران جلوگیری میکند، مگر اینکه کاربر مالک دایرکتوری، مالک فایل یا ابرکاربر باشد. این اغلب برای کنترل دسترسی به یک فهرست مشترک استفاده می شود، مانند دایرکتوری / tmp.
در اینجا چند نمونه از استفاده آورده شده است chmod با نماد نمادین برای تنظیم این مجوزهای ویژه. اول تخصیص setuid به یک برنامه:
chmod u+s برنامه
سپس، اختصاص setgid به یک فهرست:
chmod g+s دیر
در نهایت، اختصاص بیت چسبنده به یک فهرست:
chmod +t دیر
هنگام مشاهده خروجی از ls، می توانید مجوزهای ویژه را تعیین کنید. در اینجا چند نمونه آورده شده است. اول، برنامه ای که setuid است:
-RWsr-xr-x
دایرکتوری که دارای ویژگی setgid است:
drwxrwsrx
دایرکتوری با مجموعه بیت چسبنده:
drwxrwxrwt