Linux.yaroslavl.ru

Linux File Permissions

Прежде чем идти дальше, давайте объясним основную модель разрешений Linux.

В Linux каждый файл связан с владельцем и группой и ему назначены права доступа для трех разных классов пользователей:

Владелец файла. Участники группы. Другие (все остальные).

Владелец файла может быть изменен с помощью команд и .

Существует три типа прав доступа к файлам, которые применяются к каждому классу:

Разрешение на чтение. Разрешение на запись. Разрешение на выполнение.

Эта концепция позволяет вам указать, каким пользователям разрешено читать файл, записывать в файл или выполнять файл.

Права доступа к файлам можно просмотреть с помощью команды :

Первый символ показывает тип файла. Это может быть обычный файл ( ), каталог ( ), символическая ссылка ( ) или любой другой специальный тип файла.

Следующие девять символов представляют права доступа к файлу, три тройки по три символа в каждом. Первый триплет показывает разрешения владельца, второй — разрешения группы, а последний триплет — разрешения всех остальных. Разрешения могут иметь различное значение в зависимости от типа файла.

В приведенном выше примере ( ) означает, что владелец файла имеет разрешения на чтение и запись ( ), группа и другие пользователи имеют только разрешения на чтение ( ).

Каждая из трех тройок разрешений может состоять из следующих символов и иметь разные эффекты в зависимости от того, заданы они для файла или для каталога:

Влияние разрешений на файлы

разрешение	символ	Значение в файле
Читать		Файл не читается. Вы не можете просматривать содержимое файла.
		Файл доступен для чтения.
Написать		Файл не может быть изменен или изменен.
		Файл может быть изменен или изменен.
казнить		Файл не может быть выполнен.
		Файл может быть выполнен.
		Если он найден в триплете он устанавливает бит . Если он найден в триплете, он устанавливает бит . Это также означает, что установлен флаг . Когда в исполняемом файле флаги или , файл исполняется с правами владельца файла и / или группы.
		То же, что и но флаг не установлен. Этот флаг редко используется в файлах.
		Если он найден в триплете он устанавливает бит. Это также означает, что установлен флаг . Этот флаг бесполезен для файлов.
		То же, что и но флаг не установлен. Этот флаг бесполезен для файлов.

Влияние разрешений на каталоги (папки)

В Linux каталоги — это специальные типы файлов, которые содержат другие файлы и каталоги.

разрешение	символ	Значение по каталогу
Читать		Содержимое каталога не может быть показано.
		Содержимое каталога может быть показано. (Например, вы можете перечислить файлы внутри каталога с помощью .)
Написать		Содержимое каталога не может быть изменено.
		Содержимое каталога может быть изменено. (Например, вы не можете создавать новые файлы, удалять файлы .. и т. д.)
казнить		Каталог не может быть изменен на.
		Каталог может быть перемещен с помощью .
		Если он найден в триплете, он устанавливает бит . Если он найден в триплете, он устанавливает бит . Это также означает, что установлен флаг . Когда в каталоге флаг новые файлы, созданные в нем, наследуют идентификатор группы каталогов (GID) вместо идентификатора основной группы пользователя, создавшего файл. не влияет на каталоги.
		То же, что и но флаг не установлен. Этот флаг бесполезен для каталогов.
		Если он найден в триплете он устанавливает бит. Это также означает, что установлен флаг . Если для каталога установлен бит закрепления, только владелец файла, владелец каталога или пользователь с правами администратора могут удалять или переименовывать файлы в каталоге.
		То же, что и но флаг не установлен. Этот флаг бесполезен для каталогов.

Stiky

Stiky-бит применяется только к директориям. Если такой бит установлен на директорию, значит, в этой директории файл может удалить только хозяин файла или суперпользователь. Stiky-бит рекомендуется устанавливать на публичные директории, такие как: /tmp и /var/tmp.

$ ls -ld /tmp
drwxrwxrwt  27 root root 4096 2005-06-06 11:28 /tmp/
$ ls -ld /var/tmp
drwxrwxrwt  5 root root 4096 2005-06-05 17:28 /var/tmp/
$

На эти директории установлены права 777, то есть кто угодно может создавать файлы и удалять их

Но обратите внимание на символ t в правах доступа для всех остальных пользователей системы. Он означает, что у директории установлен stiky-бит

SUID

Рассмотрим пример применения бита SUID. В системе любой пользователь может поменять себе пароль. Новый пароль записывается в файл /etc/shadow:

$ ls -l /etc/shadow
-rw-r-----  1 root shadow 500 2005-03-02 17:14 /etc/shadow
$

Как видно из прав доступа файла shadow, право на запись имеет только суперпользователь root (Наличие право на чтение для группы — это особенность дистрибутива Slackware Linux, в других дистрибутивах права доступа обычно устанавливаются в 600). То есть другие пользователи системы не имеют права изменять содержимое этого файла, поэтому они не имеют права на изменение пароля. Но ведь каким-то образом им удается изменить свой пароль!

Для изменения пароля используется программа passwd.

$ ls -l /usr/bin/passwd
-rws--x--x  1 root bin 37880 2004-06-21 23:20 /usr/bin/passwd*
$

Обратите внимание на символ s, который стоит вместо x в правах хозяина файла. Наличие этого символа говорит о том, что у этого файла установлен бит SUID

А это значит, что программа будет выполняться с правами пользователя, которому принадлежит файл — с правами пользователя root! Root имеет право на запись в файл shadow, и именно поэтому обыкновенный пользователь может изменить свой пароль.

При выполнении программы chmod для установки бита SUID можно пользоваться как числовым, так и символьным форматом. Например:

$ ls -l test
-rwxr-x--x  1 artur users 12 2005-06-06 11:53 test*
$ chmod 4751 test
$ ls -l test
-rwsr-x--x  1 artur users 12 2005-06-06 11:53 test*
$

4 — это обозначение бита SUID. При установке SUID-бита с использованием символьного формата записи, строка будет выглядеть так:

$ chmod u+s test
$ ls -l test
-rwsr-x--x  1 artur users 12 2005-06-06 11:53 test*
$

Для сброса специальных бит при числовом формате записи прав желательно явно указывать ноль в соответствующей позиции:

$ chmod 0751 test
$ ls -l test
-rwxr-x--x  1 artur users 12 2005-06-06 11:53 test*
$

Внимание!
SUID-бит — это очень опасный механизм. Вы как администратор системы должны постоянно контролировать наличие файлов с установленным SUID-битом

Это можно сделать при помощи программы поиска файлов в файловой системе find.

$ find /usr/bin -perm +4000
/usr/bin/lppasswd
/usr/bin/crontab
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/chage
/usr/bin/expiry
/usr/bin/newgrp
/usr/bin/passwd
/usr/bin/gpasswd
/usr/bin/sudo
/usr/bin/procmail
/usr/bin/rcp
/usr/bin/rsh
/usr/bin/traceroute6
/usr/bin/rlogin
/usr/bin/traceroute
$

Липкий кусочек

Клейкая насадка получила свое название благодаря своему историческому назначению. Когда он установлен для исполняемого файла, он сообщит операционной системе, что текстовые части исполняемого файла должны храниться в свопинге, чтобы ускорить его повторное использование. В Linux липкий бит влияет только на один каталог — установка его для файла не имеет смысла.

Когда вы устанавливаете липкий бит для каталога, пользователи могут удалять только те файлы, которые им принадлежат в этом каталоге. Вы не можете удалить файлы, принадлежащие другому человеку, независимо от комбинации разрешений, установленных для файлов.

Это позволяет вам создать каталог, который любой — и процессы, которые они запускают — могут использовать в качестве общего хранилища файлов. Файлы защищены, потому что снова никто не может удалить чужие файлы.

Создадим каталог под названием «общий». Мы будем использовать это символический режим с чтобы установить липкий бит в этом каталоге. Затем мы увидим разрешения для этого каталога, а также и Справочники.

Вводим следующие команды:

mkdir общий

sudo chmod o + t общий

ls -lh -d общий

ls -lh -d / tmp

ls -lh -d / var / tmp

Когда бит закрепления установлен, исполняемый бит «другого» набора прав доступа к файлам устанавливается на «t». Имя файла также выделено синим цветом.

что собой представляет и Папки — это два примера каталогов, в которых все права доступа к файлам установлены для владельца, группы и других пользователей (поэтому они выделены зеленым). Они используются в качестве общих хранилищ для временных файлов.

Теоретически с этими разрешениями любой должен иметь возможность делать что угодно. Однако липкий бит перезаписывает их, и никто не может удалить файл, которым он не владеет.

5.4 «Троянские кони»

Термин «Троянский Конь» взят из великого творения Гомера. Идея состоит
в том, что вы создаете программу, который чем-либо привлекателен,
и каким-либо способом заставляете других людей скачать ее и запустить как
администратор. Затем, пока они не разобрались, вы можете разрушить их
систему. Пока они думают, что программа, которую они только-что вытянули,
делает одну вещь (и может даже очень хорошо), она также разрушает их
систему безопасности.

Вы должны быть очень внимательны при установке новых программ на вашу
машину. RedHat предоставляет MD5 контрольные суммы и PGP ключи для RPM
файлов, так что вы можете проверить действительно ли вы инсталируете
реальные продукты. Другие дистрибутивы имеют подобные методы. Вы никогда
не должны запускать из под администратора бинарники, для которых у вас нет
исходников, или о которых вы ничего не слышали! Немногие взломщики имеют
желание выложить на всеобщее обозрение исходный код.

Также может быть общим совет брать исходники некоторых программ с их
реальных дистрибутивных серверов. Если программу нужно запускать из
под администратора, проверьте исходный код сами или дайте на проверку
тому, кому вы доверяете.

NextPrevious

Повышают статус программы

Однако есть еще одна дилемма. Человек не должен вмешиваться в чужой пароль. Linux включает Схема, которая позволяет приложениям запускаться с диапазоном временно заимствованных разрешений — но это только половина истории безопасности.

Механизм контроля, который не позволяет кому-либо работать с чужим паролем, находится в Программа, а не операционная система и схема SUID.

Программы, которые выполняются с повышенными привилегиями, могут представлять угрозу безопасности, если они не созданы с менталитетом «безопасность по дизайну». Тем не менее, безопасность — это первое, о чем вы думаете, а затем опираетесь на нее. Не пишите свою программу, а затем пытайтесь обернуть ее защитной оболочкой.

Самым большим преимуществом программного обеспечения с открытым исходным кодом является Вы можете сами взглянуть на исходный код или обратитесь к надежным экспертным обзорам. В исходном коде для В программе есть проверки, чтобы вы могли видеть, . Допускаются другие навыки, если кто-то (или кто-то использовал ).

это код, который распознает, если кто-то .

Ниже приведен пример, в котором это учтено. потому что может изменить любой пароль, программе не нужно связываться с обычными проверками, чтобы увидеть, какие пароли разрешено менять. Таким образом, для , Он .

Используя основные команды и утилиты Linux, вы можете быть уверены, что они безопасны и что код проверялся много раз. Конечно, все еще есть риск неизвестных эксплойтов. Однако исправления или обновления появляются быстро, чтобы противостоять вновь обнаруженным уязвимостям.

Это сторонние программы, особенно те, которые не имеют открытого исходного кода, поэтому при их использовании необходимо соблюдать особую осторожность. с участием

Мы не говорим, что вы не должны этого делать, но когда вы хотите, вы хотите убедиться, что ваша система не подвергается никакому риску. Вы не хотите повышать привилегии программы, которая неправильно управляет собой и человеком, который ее запускает.

SGID

Бит SGID на исполняемые файлы устанавливается очень редко. Его основное назначение — организация работы группы пользователей над файлами одного проекта.

Когда пользователь создает файл, этот файл принадлежит пользователю и его основной группе. Изменять хозяина файла и группу, которой он принадлежит, пользователь не имеет права. Теперь представьте, что есть некоторый проект, с файлами которого должны работать несколько пользователей системы. То есть они должны иметь полный доступ к этим файлам.

Предположим, что для размещения файлов проекта выделена отдельная директория, например, /usr/local/project. Для пользователей, работающих над проектом, создана специальная группа pr1, в которую добавлены пользователи artur и user1. На директорию установлены следующие права доступа:

$ ls -ld /usr/local/project
drwxrwx--- 2 root pr1 4096 2005-06-06 14:58 /usr/local/project
$

Поскольку пользователи artur и user1 входят в группу pr1, они имеют право на создание файлов в этой директории. Каждый пользователь создал в директории новый файл.

$ ls -l /usr/local/project/
итого 0
-rw-rw----  1 artur users 0 2005-06-06 15:06 artur_file
-rw-rw----  1 user1 user1 0 2005-06-06 15:09 file_user1
$

Как видно из прав доступа к файлам, artur ничего не может сделать с файлом пользователя user1 и наоборот. Они могут только удалить эти файлы, но не изменить их содержимое. Почему так получилось? Дело в том, что файл принадлежит пользователю, его создавшему, и основной группе пользователя. У artur основная группа — users, у user1 — user1. Поэтому эти файлы принадлежат именно эти группам.

Для решения проблемы необходимо сделать так, что бы все вновь создаваемые файлы принадлежали той группе, в которую входят оба пользователя. Это можно сделать, установив SGID-бит на директорию /usr/local/project. Тогда все создаваемые в этой директории файлы будут принадлежать не основным группам пользователей, а группе, которой принадлежит директория project.

# chmod g+s /usr/local/project
# ls -ld /usr/local/project
drwxrws--- 2 root pr1 4096 2005-06-06 15:09 /usr/local/project
# rm /usr/local/project/*
#

Изменение прав доступа к директории производил суперпользователь root. У root символ приглашения командной строки обычно заканчивается на #.

Обратите внимание на символ s, который стоит вместо x в правах группы. Таким образом обозначается бит SGID.. Теперь пользователь artur создаст в директории project свой файл (во всех дальнейших примерах необходимо учитывать, что установлена umask 007):

Теперь пользователь artur создаст в директории project свой файл (во всех дальнейших примерах необходимо учитывать, что установлена umask 007):

$ touch /usr/local/project/artur_file
$ ls -l /usr/local/project/
итого 0
-rw-rw----  1 artur pr1 0 2005-06-06 15:20 artur_file
$

Новый файл принадлежит пользователю artur и группе pr1, а не группе users. Если в этой директории создаст файл пользователь user1, файл тоже будет принадлежать группе pr1.

$ touch /usr/local/project/file_user1
$ ls -l /usr/local/project
итого 0
-rw-rw----  1 artur pr1 0 2005-06-06 15:20 artur_file
-rw-rw----  1 user1 pr1 0 2005-06-06 15:22 file_user1
$

Теперь оба пользователя могут работать с файлами этого проекта.

При создании новой директории в директории с уже установленным SGID-битом, у созданной директории SGID-бит устанавливается автоматически!

$ mkdir /usr/local/project/dir
$ ls -l /usr/local/project
итого 4
-rw-rw----  1 artur pr1    0 2005-06-06 15:20 artur_file
drwxrws---  2 user1 pr1 4096 2005-06-06 15:24 dir/
-rw-rw----  1 user1 pr1    0 2005-06-06 15:22 file_user1
$

5.3 Проверка целостности с помощью Tripwire

Другим хорошим способом обнаружить локальные (а также сетевые) атаки
на вашу систему является использование тестеров целестности (integrity
checkers) подобных Tripwire. Tripwire вычисляет контрольные суммы для
всех важных бинарных и конфигурационных файлов в вашей системе и
сравнивает их с предыдущими, хорошо известными, из базы данных. Таким
образом любые изменения в файлах будут замечены.

Хорошей идеей будет записать tripwire на дискету, а затем
установить на нее защиту от записи. Таким образом взломщик не
сможет подделать tripwire или изменить базу данных. Как только
вы установили tripwire будет неплохо включить в свои обязанности
администратора безопасности проверку с помощью него на предмет
каких-либо изменений.

Вы можете даже добавить в список задач crontab запуск tripwire c
вашей дискеты каждую ночь и посылку результатов вам по почте утром.
Что-то наподобие этого:

Tripwire может быть всевышним в обнаружении взломщиков еще до того,
как вы заметите их. Как только в системе появится некоторое количество
измененных файлов, вы должны понимать, что имеет место деятельность
взломщика, и знать, что делать вам самим.

Использование команды в числовом виде

Права записываются одной строкой сразу для трёх типов пользователей:

• владельца файла (u);
• других пользователей, входящих в группу владельца (g);
• всех прочих пользователей (o);

В числовом виде файлу или каталогу устанавливаются абсолютные права , в то же время в символьном виде можно установить отдельные права для разных типов пользователей.

Пример: в числовом виде, установить права rwx-rx-rx:

chmod 755 filename

Пример — значение права «755»

	Владелец	Группа	Остальные
восьмеричное значение	7	5	5
символьная запись	rwx	r-x	r-x
обозначение типа пользователя	u	g	o

Таким образом, права «755» записываются в символьном виде как «rwxr-xr-x». При этом для понимания сути задания прав в Unix-системах полезно знать представление чисел в двоичной системе счисления.

Варианты записи прав пользователя

двоичная	восьмеричная	символьная	права на файл	права на директорию
000	—	нет	нет
001	1	—x	выполнение	чтение файлов и их свойств
010	2	-w-	запись	нет
011	3	-wx	запись и выполнение	всё, кроме чтения списка файлов
100	4	r—	чтение	чтение имён файлов
101	5	r-x	чтение и выполнение	доступ на чтение
110	6	rw-	чтение и запись	чтение имён файлов
111	7	rwx	все права	все права

Часть разрешений имеет смысл только в сочетании с другими. Из первых четырёх пунктов (не дающих права на чтение файла) для файлов обычно используется только «—», то есть полный запрет доступа к файлу данному типу пользователей. Для директорий из всего списка обычно применяются только 0, 5 и 7 — запрет, чтение и выполнение, и полный доступ.

Суммировав эти коды для трёх типов пользователей, можно получить числовую или символьную запись. Например, chmod 444 {имяфайла}: 400+40+4=444 — все имеют право только на чтение (идентично «r—r—r—»).

Помимо стандартных разрешений ‘rwx’, команда chmod осуществляет также управление битами SGID, SUID и T. Установленные атрибуты SUID или SGID позволяют запускать файл на выполнение с правами владельца файла или группы соответственно.

Для SUID вес — 4000, а для SGID — 2000. Данные атрибуты имеют смысл при установленном соответствующем бите исполнения и обозначаются при символьной записи буквой «s»: и соответственно.

Пример: chmod 4555 {имяфайла} — все имеют право на чтение и выполнение, но запускаться файл на исполнение будет с правами владельца.

Установка SGID для директории приведёт к установке принадлежности каждого нового создаваемого файла к той же группе, к которой принадлежит сама директория, а не к основной группе владельца, как это происходит по умолчанию. SUID для директории не имеет смысла.
sticky bit или restricted deletion flag (t-бит) используется только с директориями. Когда t-бит для директории не установлен, файл в данной директории может удалить (переименовать) любой пользователь, имеющий доступ на запись к данному файлу. Устанавливая t-бит на директорию, мы меняем это правило таким образом, что удалить (переименовать) файл может только владелец этого файла. Следуя приведённой выше кодировке, t-бит имеет вес 1000.

Примечание: Право на запись (w) даёт пользователю возможность записывать или изменять файл, а право на запись для каталога — возможность создавать новые файлы или удалять файлы из этого каталога. Если на каталоге стоит возможность записи (w), то файл внутри этого каталога можно будет удалить, даже если право на запись для него не установлено. (В соответствии с концепцией файловой системы POSIX).

Популярные значения

— Владелец имеет право чтения; никто другой не имеет права выполнять никакие действия — Все пользователи имеют право чтения; владелец может редактировать — Владелец и группа могут читать и редактировать; остальные не имеют права выполнять никаких действий — Все пользователи имеют право чтения; владелец и группа могут редактировать — Все пользователи могут читать и редактировать — Владелец может читать, записывать и запускать на выполнение; никто другой не имеет права выполнять никакие действия — Каждый пользователь может читать, владелец имеет право редактировать и запускать на выполнение — Каждый пользователь имеет право читать и запускать на выполнение; владелец может редактировать — Каждый пользователь может читать, редактировать и запускать на выполнение — Каждый пользователь имеет право читать и запускать на выполнение; удалить файл может только владелец этого файла — Каждый пользователь имеет право читать и запускать на выполнение с правами группы(user group) владельца файла — Владелец и группа имеет право чтения никто другой не имеет права выполнять никакие действия — Каждый пользователь имеет право читать и запускать на выполнение с правами владельца файла

Они уже используются

Интеграция безопасности в многопользовательскую операционную систему создает несколько проблем. Возьмем (на первый взгляд) базовую концепцию паролей, например. Все они должны быть сохранены, чтобы при каждом входе в систему система могла сравнивать введенный пароль с сохраненной копией. Конечно, поскольку пароли — это ключи к королевству, их нужно защищать.

В Linux сохраненные пароли защищены двумя способами: они зашифрованы, и только кто-то с Разрешения могут получить доступ к файлу, содержащему пароли. Это может звучать хорошо, но это затруднительное положение: если бы только люди с Разрешения могут получить доступ к сохраненным паролям. Как могут те, у кого нет такого доступа, изменить свои пароли?

Команда chmod

Команда chmod предназначена для изменения прав доступа файлов и директорий в Linux. Название команды произошло от словосочетания «change mode».

Синтаксис команды chmod следующий:

Разрешения можно задавать двумя способами:

• Числом
• Символами

Запись прав доступа числом

Пример:

В данном формате права доступа задаются не символами rwx, как описано выше, а трехзначным числом. Каждая цифра числа означает определенный набор прав доступа.

• Первая цифра используется для указания прав доступа для пользователя.
• Вторая цифра для группы.
• Третья для всех остальных.

В таблице ниже приводятся все возможные комбинации разрешений rwx и соответсвующие им числа (которые используются в команде chmod):

Число	Разрешения	Символьное обозначение
разрешения отсутствуют	—
1	x — запуск	—x
2	w — изменение	-w-
3	x+w — запуск+изменение	-wx
4	r — чтение	r—
5	r+x — чтение+запуск	r-x
6	r+w — чтение+изменение	rw-
7	r+w+x — чтение+изменение+запуск	rwx

Рассмотрим использование команды chmod с записью прав доступа числом на примере. Установим для файла права доступа 764:

Это означает (см. таблицу выше), что для файла myfile мы устанавливаем права доступа 764, которые означают:

• 7 — права для владельца-пользователя. Владелец файла может читать, изменять и запускать файл (r+w+x).
• 6 — права для группы. Пользователи, которые принадлежат группе могут читать и изменять файл (r+w).
• 4 — права для всех остальных. Все остальные могут только читать файл (r).

Если записать 764 с помощью символов (см. таблицу), то мы получим: «rwxrw-r-».

В таблице ниже приведены некоторые часто используемые значения числовых значений прав доступа:

Числовоеобозначение	«rwx»-обозначение	Описание
400	-r———	Владелец файла может только читать файл. Для всех остальных все действия с файлом запрещены.
644	-rw-r—r—	Все пользователи могут читать файл. Владелец может изменять файл.
660	-rw-rw—-	Владелец и группа могут читать и изменять файл. Для всех остальных все действия с файлом запрещены.
664	-rw-rw-r—	Все могут читать файл. Владелец и группа могут изменять.
666	-rw-rw-rw-	Все могут читать и изменять файл.
700	-rwx——	Владелец может читать, изменять и запускать файл. Для всех остальных все действия с файлом запрещены.
744	-rwxr—r—	Все могут читать файл. Владелец может также изменять и запускать файл.
755	-rwxr-xr-x	Все могут читать и запускать файл. Владелец может также изменять файл.
777	-rwxrwxrwx	Все пользователи могут читать, изменять и редактировать файл.

Запись прав доступа символами

Примеры:

Как вы можете видеть, в данном формате права доступа задаются символами rwx, но в синтаксисе используются и другие вспомогательные символы, например, математические операции «+» и «—» и такие символы как, например, «g» или «u».

Общий синтаксис можно записать примерно так:

Обозначения для владельцев файла следующие:

Обозначение	Описание
u	Владелец-пользователь.
g	Группа.
o	Все остальные.
a	Вообще все.

Математические операции означают следующее:

Оператор	Описание
+	Добавляет к текущим правам доступа новое разрешение.
—	Удаляет из текущих прав доступа определенное разрешение.
=	Устанавливает полностью новые разрешения (предыдущие перезаписываются новыми).

В одной команде можно перечислять владельцев и их разрешения через запятую (см. пример ниже).

Рассмотрим примеры:

• В данном случае мы не используем обозначения для владельцев, а значит разрешения устанавливаются для всех пользователей. «+x» означает — установить разрешение на запуск (x) файла для всех пользователей. Это эквивалентно выполнению команды: chmod a+x myfile1.

• Здесь используется обозначение g и символ равенства «=». Это означает, что для группы мы устанавливаем права доступа на чтение и запись файла (rw).

• Для владельца файла (u) мы удаляем разрешение на изменение (w) файла.

• Разрешаем владельцу (u) и группе (g) запускать файл (x).

• Это как раз тот случай, когда мы перечисляем владельцев через запятую и устанавливаем для них разрешения. Для владельца файла (u) мы разрешаем запуск файла, для группы (g) мы запрещаем изменять файл, для всех остальных (o) мы запрещаем читать файл.

Рекурсивное изменение прав доступа

Если необходимо изменить права доступа на все файлы в директории, включая вложенные директории, то для этого существует опция -R, что означает рекурсивное изменение прав доступа для директорий и их содержимого. Например, изменим права доступа у всех файлов в директории Mydir:

И еще один момент. Если пользователь не является владельцем файла, но ему нужно изменить права доступа у данного файла, то команду chmod необходимо выполнять с использованием sudo, например:

№ 20: Защитите файлы, директории и почтовые ящики

В Linux предлагаются различные варианты защиты против несанкционированного доступа к данным. Использование  и методика MAC (Mandatory Access Control — принудительное управление доступом) предотвращают несанкционированный доступ к данным. Однако, права доступа, устанавливаемые Linux, бесполезны, если атакующий имеет физический доступ к компьютеру и может перенести жесткий диск компьютера на другую систему с тем, чтобы скопировать и проанализировать интересующие его данные. Вы можете легко защитить в Linux файлы и дисковые разделы с помощью следующих инструментальных средств: