А. Робачевский - Операционная система UNIX (1114671), страница 8
Текст из файла (страница 8)
outПрава доступа листинга отображаются в первой колонке (за исключениемпервого символа, обозначающего тип файла). Наличие права доступа обо!значается соответствующим символом, а отсутствие — символом '!'. Рас!смотрим, например, права доступа к файлуwww.books-shop.com31Файлы и файловая системаТип файлаПрава владельца[ Права владельца[пользователягруппыОбычный файл Чтение, запись,нениеЧтение и выполнениеПрава осталь[пользова[телейТолько чтениеПрава доступа могут быть изменены только владельцем файла или супер!пользователем (superuser) — администратором системы. Для этого исполь!зуется командаНиже приведен общий формат этой команды.В качестве аргументов команда принимает указание классов доступа—владелец!пользователь, 'g' — владелец!группа,— остальные пользовате!ли,все классы пользователей), права доступа— чтение, V — за!пись и Y — выполнение) и операцию, которую необходимо произвести('+' — добавить, '!' — удалить и '=' — присвоить) для списка файлови т.
д. Например, команда$ chmodлишит членов группы!владельца файла ownfile права на запись и выполне!ние этого файла.В одной команде можно задавать различные права для нескольких классовдоступа, разделив их запятыми.Приведем еще несколько примеров:$ chmod a+w textПредоставить право на запись для всехпользователей$ chmod go=r textУстановить право на чтение для всех пользо%вателей, за исключением владельца$ chmodДобавить для группы право на выполнениефайла runme и снять право на запись$ chmodtext2Добавить право записи для владельца, правона чтение для группы и остальных пользова%телей, отключить право на запись для всехпользователей, исключая владельцаwww.books-shop.com32Глава 1.
Работа всистеме UNIXПоследний пример демонстрирует достаточно сложную установку правдоступа. Вы можете установить сразу все девять прав доступа, используячисловую форму команды$754 *Число определяется следующим образом: нужно представить права доступав двоичном виде (0 — отсутствие соответствующего права, 1 — его нали!чие) и каждую триаду, соответствующую классу доступа, в свою очередьпреобразовать в десятичное число.ВладелецWX7Группа— х5Остальные— 4Таким образом, приведенный пример эквивалентен следующей символь!ной форме$ chmodo=r *Значение прав доступа различно для разных типов файлов. Для файлов опе!рации, которые можно производить, следуют из самих названий прав досту!па.
Например, чтобы просмотреть содержимое файла командой cat(l), поль!зователь должен иметь право на чтениеРедактирование файла, т. е. егоизменение, предусматривает наличие права на запись (w). Наконец, для тогочтобы запустить некоторую программу на выполнение, вы должны иметьсоответствующее право (х). Исполняемый файл может быть как скомпили!рованной программой, так и скриптом командного интерпретатора shell.В последнем случае вам также понадобится право на чтение, поскольку привыполнении скрипта командный интерпретатор должен иметь возможностьсчитывать команды из файла. Все сказанное, за исключением, пожалуй,права на выполнение, имеющего смысл лишь для обычных файлов и ката!логов, справедливо и для других типов файлов: специальных файлов уст!ройств, именованных каналов, и сокетов.
Например, чтобы иметь возмож!ность распечатать документ, вы должны иметь право на запись в специаль!ный файл устройства, связанный сДля каталогов эти праваимеют другой смысл, а для символических связей они вообще не использу!ются, поскольку контролируются целевым файлом.Права доступа для каталогов не столь очевидны. Это в первую очередьсвязано с тем, что система трактует операции чтения и записи для ката!логов отлично от остальных файлов. Право чтения каталога позволяет вамНа самом деле специальный файл, связанный с устройствомне имеет общедос!тупных прав на запись.
Доступ к принтеру контролируется системой печати, из которой ипроисходит доступ к этому файлу.www.books-shop.comФайлы и файловая системаполучить имена (и только имена) файлов, находящихся в данном каталоге.Чтобы получить дополнительную информацию о файлах каталога(например, подробный листинг командысистеме придется "загля!нуть" в метаданные файлов, что требует права на выполнения для катало!га.
Право на выполнения также потребуется для каталога, в который вызахотите перейти (т. е. сделать его текущим) с помощью команды cd (]).Это же право нужно иметь для доступа ко всем каталогам на пути к ука!занному. Например, если вы установите право на выполнения для всехпользователей в одном из своих подкаталогов, он все равно останется не!доступным, пока ваш домашний каталог не будет иметь такого же права.Права и х действуют независимо, право х для каталога не требует нали!чия права и наоборот. Комбинацией этих двух прав можно добиться ин!тересных эффектов, например, создания "темных" каталогов, файлы кото!рых доступны только в случае, если пользователь заранее знает их имена,поскольку получение списка файлов таких каталогов запрещено.
Данныйприем, кстати, используется при создании общедоступных архивов в сетикогда некоторые разделы архива могут использоватьсятолько "посвященными", знающими о наличии того или иного файла вкаталоге. Приведем пример создания "темного" каталога.$Где мы находимся?$darkroom$Создадим каталог! 1Получим его атрибуты2$$groupa!r+x darkroom— 12denied$ catokDec 2219:13darkroomПревратим его в "темный" каталогПолучим его атрибутыandy$ cp fdarkroom$ cd darkroom$darkroom65group65Dec 2219:13darkroomПоместим в каталог darkroom некоторый файлПерейдем в этот каталогПопытаемся получить листинг каталогаУвы...Тем не менее, заранее зная имя файламожноработать с ним (например, прочитать, если есть соответ%ствующее право доступа)Особого внимания требует право на запись для каталога.
Создание и удале!ние файлов в каталоге требуют изменения его содержимого, и, следователь!но, права на запись в этот каталог. Самое важное, что при этом не учиты!ваются права доступа для самого файла. То есть для того, чтобы удалить не!который файл из каталога, не обязательно иметь какие!либо права доступа кэтому файлу, важно лишь иметь право на запись для каталога, в которомнаходится этот файл. Имейте в виду, что право на запись в каталог даетwww.books-shop.comГлава34Работа в операционной системе UNIXбольшие полномочия, и предоставляйте это право с осторожностью.
Правда,существует способ несколько обезопасить себя в случае, когда необходимопредоставить право на запись другим пользователям, — установка флагаSticky bit на каталог. Но об этом мы поговорим чуть позже.В табл. 1.2 приведены примеры некоторых действий над файлами и мини!мальные права доступа, необходимые для выполнения этих операций.ТаблицаПримеры правправадоступаКомандаСмысл действиядля обычно%го файладля каталога,го файлcd%scatcatrunmeИтак,па, кэтогоправаПерейти в каталог/u/andreiВывести все файлыс суффиксом это%го каталогаВывестидополни%тельную информа%цию об этих файлах(размер)Вывести на экрансодержимое файлаreport.txtДобавить данные вфайл report.txtВыполнитьпро%грамму runmeВыполнитьскрипткомандного интер%претатораУдалить файл runmeв текущем каталогеXXWXXXX—XWдля выполнения операции над файлом имеют значение класс досту!которому вы принадлежите, и права доступа, установленные длякласса.
Поскольку для каждого класса устанавливаются отдельныедоступа, всего определено 9 прав доступа, по 3 на каждый класс.Операционная система производит проверку прав доступа при создании,открытии (для чтения или записи), запуске на выполнение или удалениифайла. При этом выполняются следующие проверки:1. Если операция запрашивается суперпользователем, доступ разрешает!ся. Никакие дополнительные проверки не производятся. Это позволя!www.books-shop.comФайлы и файловая системает администратору иметь неограниченный доступ ко всей файловойсистеме.2. Если операция запрашивается владельцем файла, то:а) если требуемое право доступа определено (например, при опера!ции чтения файла установлено право на чтение для владельца!пользователя данного файла), доступ разрешается,б) в противном случае доступ запрещается.Если операция запрашивается пользователем, являющимся членомгруппы, которая является владельцем файла, то:а) если требуемое право доступа определено, доступ разрешается,б) в противном случае доступ запрещается.4.
Если требуемое право доступа для прочих пользователей (other) уста!новлено, доступ разрешается, в противном случае доступ запрещается.Система проводит проверки в указанной последовательности. Например,если пользователь является владельцем файла, то доступ определяется ис!ключительно из прав владельца!пользователя, права владельца!группы непроверяются, даже если пользователь является членом владельца!группы.Чтобы проиллюстрировать это, рассмотрим следующее:2group65Dec 2219:13Даже если пользователь andy является членом группы group, он не сможетни прочитать, ни изменить содержимое файла filel. В то же время все ос!тальные члены этой группы имеют такую возможность.
В данном случае,владелец файла обладает наименьшими правами доступа к нему. Разумеет!ся, рассмотренная ситуация носит гипотетический характер, посколькупользователь andy в любой момент может изменить права доступа к дан!ному файлу как для себя (владельца), так и для группы, и всех остальныхпользователей в системе.Дополнительные атрибуты файлаМы рассмотрели основные атрибуты, управляющие доступом к файлу.Существует еще несколько атрибутов, изменяющихвыполне!ние различных операций.
Как и в случае прав доступа, эти атрибуты по!разному интерпретируются для каталогов и других типов файлов.Дополнительные атрибуты также устанавливаются утилитой chmod(l), новместо кодовили Y используются коды из табл. 1.3. Например, дляустановки атрибута SGID для файла filel необходимо выполнить команду$ chmod g+s f i l e l .В табл. 1.3 приведены дополнительные атрибуты для файлов, и показано,как они интерпретируются операционной системой.www.books-shop.com36ГлаваРабота в операционной системе UNIXТаблица 1.3. Дополнительные атрибуты для обычных файловКодНазваниеЗначениеtSticky bitSSSet1БлокированиеСохранить образ выполняемого файла в памяти послезавершения выполненияУстановить UID процесса при выполненииУстановитьпроцесса при выполненииУстановить обязательное блокирование файлаУстановка атрибута Sticky bitназвание — save text mode)редко используется в современных версиях UNIX для файлов. В раннихверсиях этот атрибут применялся с целью уменьшить время загрузки наи!более часто запускаемых программ (например, редактора или командногоПосле завершения выполнения задачи ее образ (т.
е. коди данные) оставались в памяти, поэтому последующие запуски этой про!граммы занимали значительно меньше времени.Атрибуты (или флаги) SUID и SGID позволяют изменить права пользова!теля при запуске на выполнение файла, имеющего эти атрибуты. Приэтом привилегии будут изменены (обычно расширены) лишь на время вы!полнения и только в отношении этойОбычно запускаемая программа получает права доступа к системным ре!сурсам на основе прав доступа пользователя, запустившего программу.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
