Τι είναι τα δικαιώματα Set UID, Get UID και Sticky Bits στα δικαιώματα αρχείων Linux;

Ως αρχάριος χρήστης Linux, μαθαίνετε για τα δικαιώματα και την ιδιοκτησία που σχετίζονται με το αρχείο και τους καταλόγους. Τα λειτουργικά συστήματα που μοιάζουν με Linux/Unix σάς επιτρέπουν να ορίσετε έναν συνδυασμό δικαιωμάτων εννέα bit για να αποτρέψετε την περιττή πρόσβαση άλλων χρηστών σε αρχεία/κατάλογο. Παρόμοια με αυτά είναι τα ειδικά δικαιώματα για εκτελέσιμα αρχεία γνωστά ως set UID, set GID και sticky bits.

Η κατανόηση των ειδικών αδειών μπορεί να είναι λίγο συντριπτική για τους επίδοξους διαχειριστές Linux. Εδώ θα μάθετε ένα μικρό υπόβαθρο για τα κανονικά δικαιώματα αρχείων και θα εξηγήσετε πώς διαφέρουν από τα ειδικά δικαιώματα. Επιδεικνύουμε επίσης τη λειτουργικότητα SetID, GetID και sticky bits με παραδείγματα για μια ολοκληρωμένη κατανόηση.

Κανονικά δικαιώματα αρχείων Linux

Το Linux χρησιμοποιεί το εντολή chmod για εκχώρηση/αλλαγή ανάγνωσης (r=4), γράψε (w=2), και εκτελέστε (x=1) δικαιώματα σε αρχεία και φακέλους. Δηλαδή, τα εννέα bit που αναφέρονται παραπάνω ισχύουν για τις τρεις κύριες κατηγορίες ομάδων δικαιωμάτων. Τα τρία πρώτα είναι για τον χρήστη στον οποίο ανήκει το αρχείο, το δεύτερο σύνολο είναι για την ομάδα που έχει εκχωρηθεί στο αρχείο/κατάλογο και τα τρία τελευταία αντιπροσωπεύουν όλους τους άλλους χρήστες.

Για παράδειγμα, ένα κανονικό αρχείο θα εμφανίζονται όλοι οι τύποι δικαιωμάτων για όλες τις κατηγορίες χρηστών ως -rwxrwxrwx. Ενώ - σε αντικατάσταση γραμμάτων αντιπροσωπεύουν την απουσία αυτής της άδειας. Τώρα chmod Η εντολή χρησιμοποιεί αριθμούς και γράμματα για να αλλάξει τα δικαιώματα ως εξής:

sudo chmod 755 αρχείο #για rwxr-xr-x 

αρχείο sudo chmod 644 #for rw-r--r-- 

sudo chmod a-w αρχείο #για r-xr-xr-x 

sudo chmod a+x αρχείο #for --x--x--x

Ειδικά δικαιώματα αρχείων Linux

ο setuid bit αντιπροσωπεύει άδεια σε ένα εκτελέσιμο αρχείο που μπορεί να εκτελεστεί από άλλους χρήστες με την εξουσιοδότηση του κατόχου. Για παράδειγμα, όταν ο χρήστης Μέγιστη εκτελεί την εντολή vi ως χρήστης Γιάννης, θα έχετε τα δικαιώματα ανάγνωσης/εγγραφής του Γιάννης.

Για να αναγνωρίσετε αρχεία με το setuid, χρησιμοποιήστε το ls εντολή και αναζητήστε το μικρό bit στη θέση του εκτελέσιμου bit Χ, ως εξής.

Ρύθμιση UID Bit

ο setuid bit αντιπροσωπεύει άδεια σε ένα εκτελέσιμο αρχείο που μπορεί να εκτελεστεί από άλλους χρήστες με την εξουσιοδότηση του κατόχου. Για παράδειγμα, όταν ο χρήστης Μέγιστη εκτελεί την εντολή vi ως το ρίζα, θα έχει τα δικαιώματα ανάγνωσης/εγγραφής του ρίζα. Για να αναγνωρίσετε αρχεία με το setuid, χρησιμοποιήστε το ls εντολή και αναζητήστε το μικρό bit στη θέση του bit εκτέλεσης Χ, ως εξής:

ls -la /etc/passwd 
-rwsr-xr-x 1 root root 88464 14 Δεκεμβρίου 12:46 passwd

Μερικά άλλα παραδείγματα είναι:

ls -la /bin/gpasswd
-rwsr-xr-x 1 root root 88464 14 Ιουλίου 15:08 gpasswd

ls -la /bin/su
-rwsr-xr-x 1 root root 67816 21 Ιουλίου 2020 su

ls -la /newgrp
-rwsr-xr-x 1 root root 44784 14 Ιουλίου 15:08 newgrp

ls -la /bin/sudo
-rwsr-xr-x 1 root root 166056 19 Ιανουαρίου 2021 sudo

Για να ορίσετε το bit setuid για εκτελέσιμα αρχεία, χρησιμοποιήστε την εντολή chmod ως εξής:

chmod u+s /etc/passwd

Για να καταργήσετε το δικαίωμα εκτέλεσης των αρχείων από χρήστες ή κατόχους που δεν είναι root:

chmod u-s /etc/passwd

Ρύθμιση GID Bit

Όπως αναφέρθηκε, το bit set uid ελέγχει την πρόσβαση αρχείων σε άλλους χρήστες, ενώ το bit setgid (GID) δημιουργεί συλλογικούς καταλόγους. Αυτό σημαίνει ότι κάθε αρχείο που δημιουργείται μέσα σε αυτόν τον κατάλογο είναι προσβάσιμο στην ομάδα του καταλόγου. Ως εκ τούτου, επιτρέπει σε όλα τα μέλη της ομάδας να εκτελούν εκτελέσιμα αρχεία χωρίς τα προνόμια του κατόχου και τα προστατεύει από άλλους χρήστες.

Ακολουθήστε αυτά τα βήματα για να δημιουργήσετε έναν συλλογικό κατάλογο στο σύστημά σας Linux:

Δημιουργήστε μια ομάδα χρησιμοποιώντας το ομαδική προσθήκη εντολή με αναγνωριστικό ομάδας 415 για συνεργασία:

groupadd -g 415 διαχειριστές

Χρησιμοποιήστε την εντολή usermod για προσθήκη Γιάννηςστην ομάδα για πρόσβαση/εκτέλεση αρχείου.

usermod -aG admins john

Χρησιμοποιήστε το mkdir εντολή για τη δημιουργία καταλόγου:

mkdir /tmp/collaborative_dir

Χρησιμοποιήστε το chgrp εντολή για την εκχώρηση του καταλόγου στο διαχειριστές ομάδα:

chgrp admins /tmp/collaborative_dir

Χρησιμοποιήστε το chmod εντολή για αλλαγή της άδειας καταλόγου σε 2775. Το 2 bit ενεργοποιεί το set gid, 7 για να εκχωρήσει πλήρες rwx στον χρήστη και την ομάδα, ενώ το 5 (r-w) για άλλους.

chmod 2775 /tmp/collaborative_dir

Τέλος, αλλάξτε τον λογαριασμό χρήστη σας σε Γιάννης και δημιουργήστε ένα αρχείο στον κατάλογο συνεργασίας για να ελέγξετε τα δικαιώματα του αρχείου.

su - John
αγγίξτε /tmp/collaborative_dir/file.txt

Η εντολή su μπορεί να σας δώσει ένα σφάλμα ελέγχου ταυτότητας. Σε αυτήν την περίπτωση, πληκτρολογήστε το sudo su εντολή για μετάβαση στο root και επανάληψη su - John για να αλλάξετε τον λογαριασμό χρήστη

Τώρα απαριθμήστε τα δικαιώματα για να ελέγξετε το σύνολο bit (α ) GID για τον κατάλογο και το αρχείο που δημιουργήθηκε πρόσφατα.

ls -ld /tmp/collaborative_dir /tmp/collaborative_dir/file.txt 

Σε ένα τυπικό σενάριο, ένα αρχείο που δημιουργείται από τον John θα έχει μια ομάδα john που του έχει εκχωρηθεί. Εφόσον δημιουργείτε το αρχείο μέσα σε έναν καθορισμένο κατάλογο bit GID, εκχωρεί δικαιώματα στο διαχειριστές ομάδα, έτσι ώστε ο χρήστης να αρέσει σε οποιονδήποτε ανήκει στην ομάδα chris, θα έχει πρόσβαση σε αυτό.Σχετίζεται με: Πώς να δημιουργήσετε νέα αρχεία στο Linux χρησιμοποιώντας την αφή

Sticky Bits

Σε αντίθεση με τα bit SID και GID, τα sticky bit διαφέρουν ως προς τη λειτουργικότητα καθώς προστατεύουν αρχεία και καταλόγους από μετονομασία και διαγραφή από άλλους χρήστες. Η κανονική άδεια αρχείου επιτρέπει σε κάθε χρήστη με δικαίωμα εγγραφής να διαγράψει ή να μετονομάσει το αρχείο. Ενώ με το σετ sticky bit, δεν είναι δυνατό, εκτός εάν είστε ο χρήστης root ή ο κάτοχος του αρχείου.

Το ιδανικό σενάριο για τη χρήση sticky bit είναι ο κατάλογος που είναι προσβάσιμος σε όλους τους χρήστες για τη δημιουργία αρχείων. Για παράδειγμα, χρησιμοποιήστε το ls -ld εντολή για έλεγχο του \tmp δικαιώματα καταλόγου, ως εξής:

Μπορείτε να παρατηρήσετε ότι το κολλώδες κομμάτι t αντικαθιστά το bit εκτέλεσης Χ. Ακολουθήστε το δεδομένο σύνολο οδηγιών για να δημιουργήσετε έναν κατάλογο περιορισμένης διαγραφής:

Τώρα δημιουργήστε έναν άλλο κατάλογο στο /tmp ντοσιέ:

mkdir /tmp/new_dir

Αλλάξτε τα δικαιώματα του αρχείου σε 1777 για να ρυθμίσετε το κολλώδες κομμάτι (t) και πλήρη πρόσβαση στον κατάλογο:

chmod 1777 /tmp/new_dir

Τώρα αντιγράψτε οποιοδήποτε αρχείο από το /etc φάκελο προς /tmp/new_dir και αλλάξτε τις άδειές του σε 666:

cp /etc/ /tmp/new_dir
chmod 666 /tmp/new_dir/services

Καταχωρίστε τον κατάλογο και όλο το περιεχόμενό του για προβολή αδειών:

ls -ld /tmp/new_dir /tmp/new_dir/services

Μπορείτε να παρατηρήσετε το sticky bit αντί για το execute bit, που σημαίνει ότι μόνο η ρίζα ή ο χρήστης john μπορεί να διαγράψει το αρχείο, καθώς το αρχείο βρίσκεται μέσα στον κατάλογο sticky bit.

Κατανόηση των ειδικών δικαιωμάτων αρχείων στο Linux

Το άρθρο δείχνει πώς να ορίσετε αυτά τα bit για να βελτιώσετε τη συνεργασία σε κοινόχρηστα αρχεία και καταλόγους και να τα προστατέψετε από μη εξουσιοδοτημένη πρόσβαση, εκτέλεση και διαγραφή. Ακόμα κι αν δεν δημιουργείτε αρχεία/καταλόγους με αυτά τα bit, η κατανόηση των ειδικών δικαιωμάτων αρχείων είναι χρήσιμη σε πολλές περιπτώσεις, ειδικά στην αντιμετώπιση προβλημάτων ή ως διαχειριστής συστήματος. Ενώ, η άσκοπη χρήση αυτών των bit μπορεί να προκαλέσει διάφορες ευπάθειες ασφαλείας.

Πώς να διατηρήσετε τα δικαιώματα αρχείων κατά την αντιγραφή αρχείων στο Linux

Θέλετε να διατηρήσετε τα δικαιώματα αρχείων κατά την αντιγραφή αρχείων στο Linux; Δείτε πώς μπορείτε να το κάνετε χρησιμοποιώντας cp και rsync.

Διαβάστε Επόμενο

Σχετικά με τον Συγγραφέα