9.3. Håndtering av rettigheter

Linux er definitivt et flerbrukersystem (multi-user system), så det er nødvendig å tilby et tilgangssystem for å kontrollere mengden autoriserte operasjoner på filer og kataloger, for alle systemressurser og enheter (på et Unix-system, er enhver enhet representert med en fil eller katalog). Dette prinsippet er felles for alle Unix-systemer, men en påminnelse er alltid nyttig, særlig fordi det er noen interessante og relativt ukjente, avanserte bruksmåter.

9.3.1. Eiere og tilganger

Hver fil eller katalog har egne tilganger for tre kategorier av brukere:

dens eier (symbolisert ved u som i «user»);
dens eiergruppe (symbolisert med g som i «gruppe»), som representerer alle medlemmene i gruppen;
de andre (symbolisert med o som i «other»).

Tre grunnleggende typer rettigheter kan kombineres:

lesing (symbolisert med r som i «read»);
skrive (eller modifisere, symbolisert ved w som i «write»);
utføre (symbolisert med x som i «eXecute»).

Når det gjelder en fil, er disse rettighetene lette å forstå: Lesetilgang tillater å lese innhold (inkludert kopiering), skrivetilgang tillater å endre den, og med kjøretilgang kan du kjøre den (som bare vil fungere hvis den er et program).

SIKKERHET setuid- og setgid-programmer

To spesielle rettigheter er relevante for kjørbare filer:setuid og setgid (symbolisert med bokstaven «s»). Merk at vi ofte snakker om «bit», siden hver av disse Boolske verdiene kan representeres ved en 0 eller et 1. Disse to rettighetene tillater alle brukere å kjøre programmet med henholdsvis rettighetene dets eier eller gruppe. Denne mekanismen gir tilgang til funksjoner som krever tilganger på et høyere nivå enn du vanligvis har.

Ettersom et setuid-root-program systematisk kjøres under superbruker-identiteten, er det svært viktig å sikre at det er trygt og pålitelig. Faktisk, skulle en bruker klare å forbigå (undergrave) det for å bruke en kommando etter eget valg, kunne denne brukeren utgi seg for å være root-bruker, og få alle rettigheter til systemet.

Hvis du må kjøre et program som en annen bruker eller hvis et program krever høyere tilganger, er sudo, su, eller runuser-kommandoene vanligvis bedre valg enn å bruke disse bit-ene (sjekk Seksjon 8.9.4, «Deling av administratorrettigheter»).

En katalog håndteres annerledes. Lesetilgang gir rett til å lese listen over oppføringer (filer og kataloger), skrivetilgang gir tilgang til å opprette eller slette filer, og kjøretilgang gjør det mulig passere gjennom den (spesielt å gå dit med cd-kommandoen). Å kunne passere gjennom en katalog uten å kunne lese den, gjør det mulig til å bevegese seg til de oppføringene som er kjent ved navn, men ikke til å finne dem hvis man ikke vet at de finnes, eller deres presise navn.

SIKKERHET setgid katalog og sticky bit

setgid-bit-et gjelder også kataloger. Ethvert nyopprettet element i slike kataloger blir automatisk knyttet til eiergruppen til den overordnede katalogen, i stedet for, som vanlig, å arve opphavsmannens (skaperens) hovedgruppe. Med dette oppsettet unngås det at brukeren trenger å endre sin hovedgruppe (med newgrp-kommandoen) når man arbeider i et fil-tre som deles mellom flere brukere i samme dediserte gruppe.

«Sticky bit» - det «klebrige» bit-et - (symbolisert med bokstaven «t») er en tilgang som bare er nyttig i kataloger. Det blir spesielt brukt for kataloger for midlertidige filer, der alle har skrivetilgang (for eksempel /tmp/): Bit-et begrenser slettingen av filer slik at bare fileieren (eller eieren av den overordnede katalogen) kan gjøre det. Uten denne så kan alle slette andre brukeres filer i /tmp/.

Tre kommandoer kontrollerer tilganger knyttet til en fil:

chown bruker fil endrer eieren av filen;
chgrp gruppe fil endrer eiergruppen;
chmod rettigheter fil endrer tilgangene for filen.

Det er to måter å presentere rettighetene på. Blant dem er den symbolske representasjon trolig den enkleste å forstå og huske. Det innebærer bokstavsymboler som nevnt ovenfor. Du kan definere rettigheter for hver kategori av brukere (u/g/o), ved å sette dem eksplisitt (ved =), ved å legge til (+), eller trekke fra (-). Dermed gir u=rwx,g+rw,o-r-formelen eieren lese-, skrive-, og utføringsrettigheter, legger til lese- og skriverettigheter for eiergruppen, og fjerner leserettigheter for andre brukere. Rettigheter som ikke er endret ved å legge til eller fjerne i en slik kommando, forblir uendret. Bokstaven a, for «alle», dekker alle tre kategorier brukere, slik at a=rx gir alle tre kategorier de samme rettigheter (lese og kjøre, men ikke skrive).

Den (åttetalls-) numeriske representasjonen forbinder hver rettighet med en verdi: 4 for lese-, 2 for skrive, og 1 for å utføre. Vi forbinder hver kombinasjon av rettigheter med summen av tallene. Hver verdi blir deretter knyttet til ulike kategorier av brukere ved å sette dem side ved side (end to end)i den vanlige rekkefølgen (eier, gruppe, andre).

For eksempel chmod 754 fil-kommandoen vil gi de følgende rettigheter: lese, skrive og utføre for eieren (fordi 7 = 4 + 2 + 1); lese og utføre for gruppen (fordi 5 = 4 + 1); bare lese for andre. 0 (zero) betyr ingen rettigheter; da chmod 600 fil tillater lese/skrive-rettigheter for eieren, og ingen rettigheter for noen andre. De hyppigste rettighetskombinasjonene er 755 for kjørbare filer og kataloger, og 644 for datafiler.

For å representere spesielle rettigheter kan du stille et fjerde siffer foran dette tallet etter samme prinsipp, der setuid, setgid og sticky-bit-ene er henholdsvis 4, 2 og 1. chmod 4754 vil knytte setuid-bit-et til den tidligere beskrevne rettigheten.

Merk at bruk av åttetallsystemet bare tillater å sette alle rettigheter samtidig i en fil; du kan ikke bruke den til å bare legge til en ny rett, slik som lesetilgang for gruppens eier, siden du må ta hensyn til eksisterende rettigheter, og beregne ny tilsvarende tallverdi.

TIPS Gjentatte operasjoner

Noen ganger må vi endre rettighetene for et helt fil-tre. Alle kommandoene ovenfor har en -R-mulighet til å operere gjentakende (rekursivt) i underkataloger.

Skillet mellom kataloger og filer kan noen ganger forårsake problemer med rekursive operasjoner. Det er derfor «X»-bokstaven har blitt introdusert i den symbolske representasjonen av rettigheter. Den representerer retten til kjøring, men har forskjellig innvirkning på kataloger og filer.

For mapper setter den kjørbartilgang for de(n) valgte bruker(ene). For filer, setter den til kjørbarbit-et kun hvis minst én av brukerne (eier, gruppe, eller andre) allerede har kjøringstilganger. Her er en demonstrasjon, siden dette kan være forvirrende:

$ ls test.txt
  -rw-r--r-- 1 daniel daniel 0 18. Nov 01:07 test.txt
  $ chmod u+X test.txt
  $ ls test.txt
  -rw-r--r-- 1 daniel daniel 0 18. Nov 01:07 test.txt
  $ chmod o+x test.txt
  $ ls test.txt
  -rw-r--r-x 1 daniel daniel 0 18. Nov 01:07 test.txt
  $ chmod u+X test.txt
  $ ls test.txt
  -rwxr--r-x 1 daniel daniel 0 18. Nov 01:07 test.txt

Eksempelet viser en typisk fil med sine forvalgte tilganger: eieren kan lese og skrive den, eierens gruppe og alle andre brukere kan lese den. Neste operasjon (u+X) legger ikke til kjøretilgang for eier av filen, fordi kjøretilgang ikke var tildelt. Operasjonen har ingen effekt på filen. Deretter tildeler vi kjørerettigheter for «andre» brukere og gjentar operasjonen. Denne gangen lykkes det, fordi minst én brukergruppe allerede har kjøringstilgang.

Det er en misforståelse at dette bit-et kun har innvirkning på mapper. Hvis filer og mapper har blandede tilganger er det ofte en god idé å bruke kommandoen find for å finne målene du vil utføre endringer på.

FOR VIDEREKOMMENDE umask

Når et program oppretter en fil, tildeler det indikative tilganger, vel vitende om at systemet fjerner visse rettigheter, satt av kommandoen umask. Skriv inn umask i et skall; og du vil se en maske ala 0022. Dette er rett og slett en oktal representasjon av rettighetene som systematisk skal fjernes (i dette tilfellet, skriverettigheten for gruppen og andre brukere: Med umask-verdien ovenfor endres forvalgt verdi for katalogene fra 777 til 755 og forvalgt tilgang for filer fra 666 til 644.

Systemets forvalgsverdi håndteres av pam_umask(8) og /etc/login.defs.

Hvis du gir den en ny oktal verdi, endrer umask-kommandoen masken. Brukt i en skall-initialiseringsfil (for eksempel ~/.bashrc eller ~/.profile), vil den effektivt sett endre forvalgt maske for dine arbeidsøkter.

9.3.2. ACL-er - Tilgangskontroll-lister

Mange filsystemer, for eksempel Btrfs, Ext3, Ext4, JFS, XFS, og så videre støtter bruk av tilgangskontroll-lister (ACL-er). Disse utvider grunnleggende funksjoner for eierskap og tilganger (beskrevet i den forrige delen) og tillater mer finmasket kontroll over hvert objekt (fil). For eksempel hvis en bruker ønsker å dele en fil med en annen og den brukeren kun skal kunne lese filen, men ikke skrive eller endre den.

For noen filsystemer er bruk av ACL-er påskrudd som forvalg (for eksempel Btrfs, Ext3, Ext4). For andre filsystemer eller eldre systemer må det skrus på ved bruk av acl-monteringsvalg. Enten i mount-kommandoen direkte, eller i /etc/fstab. På samme vis kan bruk av ACL-er skrus av ved bruk av noacl-monteringsvalget. For Ext*-filsystemer kan man også bruke tune2fs -o [no]acl /dev/enhet-kommandoen for å skru av/på bruk av ACL-er som forvalg. De forvalgte verdiene for hvert filsystem er vanligvis å finne i deres homonym-manualsider i del 5 (filsystem(5)) eller i mount(8).

Etter at ACL-er er skrudd på så kan tilganger styres med ved bruk av setfacl(1)-kommandoen, mens getfacl(1) lar en hente frem ACL-er for et gitt objekt eller sti. Disse kommandoene er en del av acl-pakken. Med setfacl kan man også sette opp at nylig opprettede filer eller mapper skal arve tilganger fra foreldremappe. Det er viktig å merke seg at ACL-er behandles i rekkefølge, og at en tidligere oppføring som passer situasjonen har rang over senere oppføringer.

Hvis en fil har ACL-er satt, vil utdata for ls -l-kommandoen vise et pluss-tegn etter de tradisjonelle tilgangene. Ved bruk av ACL-er oppfører chmod seg litt annerledes, og det kan hende at umask blir ignorert. Den fyldige dokumentasjonen, for eksempel acl(5), har mer info.