OnWorks Linux dan Windows Online Workstations

logo

Pengehosan Dalam Talian Percuma untuk Workstation

<Sebelum | Contents [show] | Seterusnya>

3.4.4. Menguruskan Hak


Linux ialah sistem berbilang pengguna jadi adalah perlu untuk menyediakan sistem kebenaran untuk mengawal set operasi yang dibenarkan pada fail dan direktori, yang merangkumi semua sumber sistem dan peranti (pada sistem Unix, mana-mana peranti diwakili oleh fail atau direktori). Prinsip ini adalah biasa kepada semua sistem seperti Unix.

Setiap fail atau direktori mempunyai kebenaran khusus untuk tiga kategori pengguna:


• Pemiliknya (dilambangkan oleh u, seperti dalam pengguna)


• Kumpulan pemiliknya (dilambangkan oleh g, seperti dalam kumpulan), mewakili semua ahli kumpulan


• Yang lain (dilambangkan oleh o, seperti yang lain) Tiga jenis hak boleh digabungkan:

• membaca (dilambangkan dengan r, seperti yang dibaca);


• menulis (atau mengubah suai, dilambangkan dengan w, seperti dalam penulisan);


• melaksanakan (dilambangkan oleh x, seperti dalam eksekusi).


Dalam kes fail, hak ini mudah difahami: akses baca membenarkan membaca kandungan (termasuk penyalinan), akses tulis membenarkan menukarnya, dan laksanakan akses membolehkan menjalankannya (yang hanya akan berfungsi jika ia adalah program).


tetapkan masa and setgid Dua hak tertentu adalah berkaitan dengan fail boleh laku: tetapkan masa and setgid (dilambangkan yang boleh dilaksanakan dengan huruf “s”). Ambil perhatian bahawa kita sering bercakap tentang bit, kerana setiap nilai boolean ini boleh diwakili oleh 0 atau 1. Kedua-dua hak ini membenarkan mana-mana pengguna untuk melaksanakan

program dengan hak pemilik atau kumpulan, masing-masing. Mekanisme ini memberikan akses kepada ciri yang memerlukan kebenaran tahap yang lebih tinggi daripada yang biasa anda miliki.

Sejak a tetapkan masa program root dijalankan secara sistematik di bawah identiti pengguna super, adalah sangat penting untuk memastikan ia selamat dan boleh dipercayai. Mana-mana pengguna yang berjaya menumbangkan program akar setuid untuk memanggil arahan pilihan mereka kemudiannya boleh menyamar sebagai pengguna akar dan mempunyai semua hak pada sistem. Penguji penembusan kerap mencari jenis fail ini apabila mereka mendapat akses kepada sistem sebagai cara untuk meningkatkan keistimewaan mereka.

tetapkan masa and setgid Dua hak tertentu adalah berkaitan dengan fail boleh laku: tetapkan masa and setgid (dilambangkan yang boleh dilaksanakan dengan huruf “s”). Ambil perhatian bahawa kita sering bercakap tentang bit, kerana setiap nilai boolean ini boleh diwakili oleh 0 atau 1. Kedua-dua hak ini membenarkan mana-mana pengguna untuk melaksanakan

program dengan hak pemilik atau kumpulan, masing-masing. Mekanisme ini memberikan akses kepada ciri yang memerlukan kebenaran tahap yang lebih tinggi daripada yang biasa anda miliki.

Sejak a tetapkan masa program root dijalankan secara sistematik di bawah identiti pengguna super, adalah sangat penting untuk memastikan ia selamat dan boleh dipercayai. Mana-mana pengguna yang berjaya menumbangkan program akar setuid untuk memanggil arahan pilihan mereka kemudiannya boleh menyamar sebagai pengguna akar dan mempunyai semua hak pada sistem. Penguji penembusan kerap mencari jenis fail ini apabila mereka mendapat akses kepada sistem sebagai cara untuk meningkatkan keistimewaan mereka.


gambar

Direktori dikendalikan secara berbeza daripada fail. Akses baca memberi hak untuk merujuk senarai kandungannya (fail dan direktori); akses tulis membolehkan mencipta atau memadam fail; dan laksanakan akses membolehkan lintasan melalui direktori untuk mengakses kandungannya (contohnya, dengan cd perintah). Mampu menyeberang melalui direktori tanpa dapat membacanya memberikan pengguna kebenaran untuk mengakses entri di dalamnya yang diketahui dengan nama, tetapi tidak mencarinya tanpa mengetahui nama sebenar mereka.



KESELAMATAN . setgid bit juga digunakan untuk direktori. Sebarang item yang baru dibuat dalam direktori tersebut

KESELAMATAN . setgid bit juga digunakan untuk direktori. Sebarang item yang baru dibuat dalam direktori tersebut


setgid direktori dan melekit

sedikit

secara automatik diberikan kumpulan pemilik direktori induk, bukannya mewarisi-

dalam kumpulan utama pencipta seperti biasa. Kerana ini, anda tidak perlu menukar kumpulan utama anda (dengan newgrp arahan) apabila bekerja dalam pepohon fail yang dikongsi antara beberapa pengguna kumpulan khusus yang sama.

. sedikit melekit (dilambangkan dengan huruf “t”) ialah kebenaran yang hanya berguna dalam direktori. Ia digunakan terutamanya untuk direktori sementara di mana semua orang mempunyai akses tulis (seperti / tmp /): ia mengehadkan pemadaman fail supaya hanya pemiliknya atau pemilik direktori induk boleh memadamkannya. Tanpa ini, semua orang boleh memadamkan fail pengguna lain / tmp /.

setgid direktori dan melekit

sedikit


Tiga arahan mengawal kebenaran yang dikaitkan dengan fail:

gambar

chown fail pengguna menukar pemilik fail


Petua Selalunya anda ingin menukar kumpulan fail pada masa yang sama dengan anda

Petua Selalunya anda ingin menukar kumpulan fail pada masa yang sama dengan anda


Menukar pengguna dan

kumpulan

tukar pemilik. The chown arahan mempunyai sintaks khas untuk itu: chown

pengguna:fail kumpulan

Menukar pengguna dan

kumpulan

chgrp fail kumpulan mengubah kumpulan pemilik

Chmod fail hak menukar kebenaran untuk fail

Terdapat dua cara untuk mewakili hak. Antaranya, perwakilan simbolik mungkin yang paling mudah untuk difahami dan diingati. Ia melibatkan simbol huruf yang disebutkan di atas. Anda boleh menentukan hak untuk setiap kategori pengguna (u/g/o), dengan menetapkannya secara eksplisit (dengan =), dengan menambah

(+), atau menolak (-). Justeru itu u=rwx,g+rw,atau formula memberi pemilik hak membaca, menulis dan melaksanakan, menambah hak baca dan tulis untuk kumpulan pemilik dan mengalih keluar hak baca untuk pengguna lain. Hak yang tidak diubah oleh penambahan atau penolakan dalam perintah sedemikian kekal tidak diubah suai. Surat a, untuk semua, meliputi ketiga-tiga kategori pengguna, supaya a=rx memberikan ketiga-tiga kategori hak yang sama (baca dan laksana, tetapi bukan tulis).

Perwakilan angka (oktal) mengaitkan setiap hak dengan nilai: 4 untuk baca, 2 untuk tulis dan 1 untuk laksana. Kami mengaitkan setiap gabungan hak dengan jumlah tiga angka dan nilai diberikan kepada setiap kategori pengguna, dalam susunan biasa (pemilik, kumpulan, yang lain).

Sebagai contoh, chmod 754 fail arahan akan menetapkan hak berikut: baca, tulis dan laksanakan untuk pemilik (sejak 7 = 4 + 2 + 1); baca dan laksanakan untuk kumpulan (sejak 5 = 4 + 1); baca sahaja untuk orang lain. The 0 bermakna tiada hak; dengan demikian chmod 600 fail membenarkan kebenaran membaca dan menulis untuk pemilik, dan tiada hak untuk orang lain. Kombinasi betul yang paling kerap adalah 755 untuk fail dan direktori boleh laku, dan 644 untuk fail data.

Untuk mewakili hak istimewa, anda boleh awalan digit keempat pada nombor ini mengikut prinsip yang sama, di mana tetapkan masa, setgid, dan melekit bit ialah 4, 2, dan 1, masing-masing. Perintah itu chmod 4754 akan mengaitkan tetapkan masa bit dengan hak yang diterangkan sebelum ini.

Ambil perhatian bahawa penggunaan tatatanda oktal hanya membenarkan anda menetapkan semua hak sekaligus pada fail; anda tidak boleh menggunakannya untuk menambah hak baharu, seperti akses baca untuk pemilik kumpulan, kerana anda mesti mengambil kira hak sedia ada dan mengira nilai berangka baharu yang sepadan.

Perwakilan oktal juga digunakan dengan umask arahan, yang digunakan untuk menyekat kebenaran pada fail yang baru dibuat. Apabila aplikasi mencipta fail, ia memberikan kebenaran indikatif, mengetahui bahawa sistem secara automatik mengalih keluar hak yang ditakrifkan dengan umask. Masukkan umask dalam cangkerang; anda akan melihat topeng seperti 0022. Ini hanyalah perwakilan perlapanan bagi hak yang akan dialih keluar secara sistematik (dalam kes ini, hak tulis untuk kumpulan dan pengguna lain).

gambar

Jika anda memberikannya nilai perlapanan baharu, the umask arahan mengubah suai topeng. Digunakan dalam fail permulaan shell (contohnya, ~ / .bash_profile), ia akan menukar topeng lalai untuk sesi kerja anda dengan berkesan.


Petua Kadangkala kita perlu menukar hak untuk keseluruhan pepohon fail. Semua arahan di atas

Petua Kadangkala kita perlu menukar hak untuk keseluruhan pepohon fail. Semua arahan di atas


Operasi rekursif

ada -R pilihan untuk beroperasi secara rekursif dalam sub-direktori.

Perbezaan antara direktori dan fail kadangkala menyebabkan masalah dengan operasi rekursif. Itulah sebabnya huruf "X" telah diperkenalkan dalam representasi simbolik hak. Ia mewakili hak untuk melaksanakan yang hanya terpakai pada direktori (dan bukan untuk fail yang tidak mempunyai hak ini). Oleh itu, chmod -R a+X direktori hanya akan menambah hak pelaksanaan untuk semua kategori pengguna (a) untuk semua sub-direktori dan fail yang sekurang-kurangnya satu kategori pengguna (walaupun pemilik tunggal mereka) sudah mempunyai hak melaksanakan.

Operasi rekursif

  

 

<Sebelum | Contents [show] | Seterusnya>

  

Pengkomputeran Awan OS teratas di OnWorks: