문서3.4.4. 권리 관리
Linux는 다중 사용자 시스템이므로 모든 시스템 리소스와 장치를 포함하는 파일 및 디렉터리에 대한 승인된 작업 집합을 제어하기 위한 권한 시스템을 제공해야 합니다(Unix 시스템에서 모든 장치는 파일 또는 예배 규칙서). 이 원칙은 모든 유닉스 계열 시스템에 공통적으로 적용됩니다.
각 파일이나 디렉터리에는 세 가지 범주의 사용자에 대한 특정 권한이 있습니다.
• 소유자(기호: u, 사용자와 마찬가지로)
• 소유자 그룹(기호: g, 그룹에서와 같이), 그룹의 모든 구성원을 나타냅니다.
• 기타(기호: o, 기타와 마찬가지로) 세 가지 유형의 권리를 결합할 수 있습니다.
• 읽기(기호로 표시됨) r, 읽기에서와 같이);
• 쓰기(또는 수정, 기호화) w, 서면에서와 같이);
• 실행 중(기호로 표시됨) x, eXecute에서와 같이).
파일의 경우 이러한 권한은 쉽게 이해됩니다. 읽기 액세스는 콘텐츠 읽기(복사 포함)를 허용하고, 쓰기 액세스는 콘텐츠 변경을 허용하며, 실행 액세스는 콘텐츠 실행을 허용합니다(프로그램인 경우에만 작동함).
setuid 과 설정 실행 파일과 관련된 두 가지 특정 권리는 다음과 같습니다. setuid 과 설정 (기호 실행 파일 문자 "s"로). 이러한 각 부울 값은 0 또는 1로 표시될 수 있으므로 우리는 비트에 대해 자주 언급합니다. 이 두 가지 권한을 통해 모든 사용자는 다음을 실행할 수 있습니다.
프로그램은 각각 소유자 또는 그룹의 권한을 가집니다. 이 메커니즘은 일반적으로 부여되는 권한보다 더 높은 수준의 권한이 필요한 기능에 대한 액세스 권한을 부여합니다.
이후 setuid 루트 프로그램은 슈퍼유저 ID로 체계적으로 실행되므로 안전하고 신뢰할 수 있는지 확인하는 것이 매우 중요합니다. setuid 루트 프로그램을 파괴하여 자신이 선택한 명령을 호출하는 사용자는 루트 사용자로 가장하여 시스템에 대한 모든 권한을 가질 수 있습니다. 침투 테스터는 권한을 상승시키는 방법으로 시스템에 액세스할 때 정기적으로 이러한 유형의 파일을 검색합니다.
setuid 과 설정 실행 파일과 관련된 두 가지 특정 권리는 다음과 같습니다. setuid 과 설정 (기호 실행 파일 문자 "s"로). 이러한 각 부울 값은 0 또는 1로 표시될 수 있으므로 우리는 비트에 대해 자주 언급합니다. 이 두 가지 권한을 통해 모든 사용자는 다음을 실행할 수 있습니다.
프로그램은 각각 소유자 또는 그룹의 권한을 가집니다. 이 메커니즘은 일반적으로 부여되는 권한보다 더 높은 수준의 권한이 필요한 기능에 대한 액세스 권한을 부여합니다.
이후 setuid 루트 프로그램은 슈퍼유저 ID로 체계적으로 실행되므로 안전하고 신뢰할 수 있는지 확인하는 것이 매우 중요합니다. setuid 루트 프로그램을 파괴하여 자신이 선택한 명령을 호출하는 사용자는 루트 사용자로 가장하여 시스템에 대한 모든 권한을 가질 수 있습니다. 침투 테스터는 권한을 상승시키는 방법으로 시스템에 액세스할 때 정기적으로 이러한 유형의 파일을 검색합니다.
디렉터리는 파일과 다르게 처리됩니다. 읽기 액세스는 해당 내용(파일 및 디렉터리) 목록을 참조할 수 있는 권한을 부여합니다. 쓰기 액세스를 통해 파일을 생성하거나 삭제할 수 있습니다. 실행 액세스를 사용하면 디렉터리를 통과하여 해당 콘텐츠에 액세스할 수 있습니다(예: cd 명령). 디렉토리를 읽지 않고도 디렉토리를 통과할 수 있다는 것은 사용자에게 이름으로 알려진 항목에 액세스할 수 있는 권한을 부여하지만 정확한 이름을 모르면 해당 항목을 찾을 수는 없습니다.
보안 XNUMXD덴탈의 설정 비트는 디렉토리에도 적용됩니다. 해당 디렉토리에 새로 생성된 항목
보안 XNUMXD덴탈의 설정 비트는 디렉토리에도 적용됩니다. 해당 디렉토리에 새로 생성된 항목
설정 디렉토리 및 끈적끈적한
비트
상속 대신 상위 디렉터리의 소유자 그룹이 자동으로 할당됩니다.
평소대로 크리에이터의 메인 그룹에 참여하세요. 이 때문에 기본 그룹을 변경할 필요가 없습니다( newgrp 명령) 동일한 전용 그룹의 여러 사용자가 공유하는 파일 트리에서 작업할 때.
XNUMXD덴탈의 끈적 끈적한 비트 (문자 "t"로 기호화됨)은 디렉토리에서만 유용한 권한입니다. 이는 특히 모든 사람이 쓰기 액세스 권한을 갖는 임시 디렉토리(예: / tmp /): 파일의 소유자 또는 상위 디렉토리의 소유자만이 파일을 삭제할 수 있도록 파일 삭제를 제한합니다. 이것이 부족하면 모든 사람이 다른 사용자의 파일을 삭제할 수 있습니다. / tmp /.
설정 디렉토리 및 끈적끈적한
비트
세 가지 명령은 파일과 관련된 권한을 제어합니다.
• chown하지 사용자 파일 파일의 소유자를 변경합니다
TIP 파일 그룹을 변경하는 동시에 파일 그룹을 변경하려는 경우가 많습니다.
TIP 파일 그룹을 변경하는 동시에 파일 그룹을 변경하려는 경우가 많습니다.
사용자 변경 및
그룹
주인을 바꾸세요. 그만큼 chown하지 명령에는 이에 대한 특별한 구문이 있습니다. chown하지
사용자:그룹 파일
사용자 변경 및
그룹
• 을 chgrp 그룹 파일 소유자 그룹을 변경합니다.
• chmod를 권리 파일 파일에 대한 권한을 변경합니다.
권리를 표현하는 방법에는 두 가지가 있습니다. 그 중에서 가장 이해하기 쉽고 기억하기 쉬운 것은 상징적 표현일 것이다. 위에서 언급한 문자 기호가 포함됩니다. 각 사용자 범주에 대한 권한을 정의할 수 있습니다(u/g/o) 명시적으로 설정하여( =), 추가하여
(+) 또는 빼기 (-). 그래서 u=rwx,g+rw,또는 수식은 소유자에게 읽기, 쓰기 및 실행 권한을 부여하고 소유자 그룹에 대한 읽기 및 쓰기 권한을 추가하며 다른 사용자에 대한 읽기 권한을 제거합니다. 해당 명령의 추가나 빼기로 인해 변경되지 않은 권리는 변경되지 않은 상태로 유지됩니다. 그 편지 a, 모두에 대해 세 가지 사용자 범주를 모두 포함하므로 a=rx 세 가지 범주 모두에 동일한 권한(읽기 및 실행은 가능하지만 쓰기는 불가능)을 부여합니다.
(4진수) 숫자 표현은 각 권한을 값(읽기의 경우 2, 쓰기의 경우 1, 실행의 경우 XNUMX)과 연결합니다. 우리는 각 권리 조합을 세 수치의 합계와 연관시키고 값은 일반적인 순서(소유자, 그룹, 기타)에 따라 각 사용자 범주에 할당됩니다.
예를 들어, chmod를 754 파일 명령은 다음 권한을 설정합니다: 소유자에 대한 읽기, 쓰기 및 실행(7 = 4 + 2 + 1이므로); 그룹에 대해 읽고 실행합니다(5 = 4 + 1이므로). 다른 사람에게는 읽기 전용입니다. 그만큼 0 권리가 없음을 의미합니다. 따라서 chmod를 600 파일 소유자에게는 읽기 및 쓰기 권한이 허용되며 다른 사람에게는 권한이 없습니다. 가장 자주 사용되는 올바른 조합은 다음과 같습니다. 755 실행 파일 및 디렉토리의 경우 644 데이터 파일용.
특별한 권리를 나타내기 위해 동일한 원칙에 따라 이 번호에 네 번째 숫자를 붙일 수 있습니다. setuid, 설정및 끈적끈적한 비트는 각각 4, 2, 1입니다. 명령 chmod를 4754 연관시킬 것이다 setuid 비트는 앞서 설명한 권리를 가집니다.
XNUMX진수 표기법을 사용하면 파일에 대한 모든 권한을 한 번에 설정할 수만 있습니다. 기존 권한을 고려하고 해당하는 새 숫자 값을 계산해야 하기 때문에 이를 사용하여 그룹 소유자에 대한 읽기 액세스와 같은 새 권한을 추가할 수 없습니다.
XNUMX진수 표현은 다음과 같은 경우에도 사용됩니다. 마스크 새로 생성된 파일에 대한 권한을 제한하는 데 사용되는 명령입니다. 애플리케이션은 파일을 생성할 때 시스템이 다음으로 정의된 권한을 자동으로 제거한다는 것을 알고 표시 권한을 할당합니다. 마스크. 들어가다 마스크 껍질에; 다음과 같은 마스크가 표시됩니다. 0022. 이는 체계적으로 제거할 권한(이 경우 그룹 및 다른 사용자의 쓰기 권한)을 XNUMX진수로 표현한 것뿐입니다.
새로운 XNUMX진수 값을 제공하면 마스크 명령은 마스크를 수정합니다. 쉘 초기화 파일에 사용됩니다(예: ~ / .bash_profile), 작업 세션의 기본 마스크를 효과적으로 변경합니다.
TIP 때로는 전체 파일 트리에 대한 권한을 변경해야 하는 경우도 있습니다. 위의 모든 명령
TIP 때로는 전체 파일 트리에 대한 권한을 변경해야 하는 경우도 있습니다. 위의 모든 명령
재귀 연산
이 -R 하위 디렉터리에서 재귀적으로 작동하는 옵션입니다.
디렉터리와 파일의 구분으로 인해 재귀 작업에 문제가 발생하는 경우가 있습니다. 이것이 바로 권리를 상징적으로 표현하는 데 “X” 문자가 도입된 이유입니다. 이는 디렉터리에만 적용되는 실행 권한을 나타냅니다(이 권한이 없는 파일에는 적용되지 않음). 따라서, chmod -R a+X 예배 규칙서 모든 범주의 사용자에게만 실행 권한을 추가합니다(a) 하나 이상의 사용자 범주(단독 소유자인 경우에도)가 이미 실행 권한을 갖고 있는 모든 하위 디렉터리 및 파일에 대해 적용됩니다.
재귀 연산