chmod — программа для изменения прав доступа к файлам и каталогам. Название происходит от программы ОС Unix chmod, которая, собственно, изменяет права доступа к файлам, каталогам и символическим ссылкам.

• umask — функция изменяющая права доступа, которые присваиваются новым файлам и директориям по умолчанию.
• Поиск файлов в Linux изучаем команду find на примерах - наиболее эффективное средство поиска и «массовой обработки» файлов. Удобно использовать в связке с chmod.

Права устанавливаются командой chmod. Команда chmod поддерживает установку прав как в восьмеричном представлении, так и в символьном (маска режима доступа).

• Назначение прав всем объектам текущего каталога, включая подкаталоги.

  chmod -R 755 *

• Значениями по умолчанию являются (umask 0022):

  для файлов: 644 (-rw-r--r--)
  для директорий: 755 (drwxr-xr-x)

• Использование chmod. Рекурсивно изменить права доступа файла_или_папки

  chmod -R 755 имя_файла_или_папки ( 7 - хозяин, 5 - группа, 5 - другие)

• Сменить рекурсивно права на 640 на все файлы начиная с текущей директории:

  find . -type f -exec chmod 640 {} \;

• Сменить рекурсивно права на 750 на все директории начиная с текущей директории:

  find . -type d -exec chmod 750 {} \;

• Поиск файлов с установленным SUID -бит -битом. Для GUID perm будет 02000

  find / -type f -perm -04000 -ls
  4335260  340 -rwsr-xr--   1 root     dip        347296 кві 21 20:35 /usr/sbin/pppd
  4326414   20 -rwsr-sr-x   1 libuuid  libuuid     18904 вер  2 21:35 /usr/sbin/uuidd
  ...

• Рекурсивно удалить атрибуты SUID -бит и SGID:

  chmod -R u-s,g-s directory

Популярные цифровые значения:

• 777 (-rwxrwxrwx) Каждый пользователь может читать, редактировать и запускать на выполнение
• 1555 (-r-xr-xr-t) Каждый пользователь имеет право читать и запускать на выполнение; удалить файл может только владелец этого файла. Символ t обозначает Sticky бит, который указывает, что удалять файлы в этой директории может только владелец этого файла.
• 2555 (-r-xr-sr-x) GUID Каждый пользователь имеет право читать и запускать на выполнение с правами группы(user group) владельца файла.
• 2775 (drwxrwsr-x) GUID Созданные новые файлы всегда будут получать ту группу, какая стоит у папки, в которой они находятся. За это отвечает бит 2 в правах на папки. Это важно, если с этим файловым пространством (сайтом) работают несколько пользователей.
• 4555 (-r-sr-xr-x) SUID Каждый пользователь имеет право читать и запускать на выполнение с правами владельца файла

chown user:users daemon
chmod ug+sx daemon

• Bash скрипт для рекурсивного изменения права доступа для вложенных файлов и каталогов.Cкрипт не понимает файлы и директории с пробелами. Для устранения ошибки, названия файлов и директории в строке запуска chmod нужно заключить в одинарные скобки.

#!/bin/bash
 
ROOT_DIR=$1
DIR_PERM=$2
FILE_PERM=$3
 
for name in $(find ${ROOT_DIR})
do
if [ -d $name ]
then
chmod ${DIR_PERM} ${name}
echo "DIRECTORY: '${name}' PERMS CHANGED TO 0x${DIR_PERM}"
else
chmod ${FILE_PERM} ${name}
echo "FILE: '${name}' PERMS CHANGED TO 0x${FILE_PERM}"
fi
done
 
#Пример запуска:
#/понятный путь для FreeBSD/*doperm.sh(пробел)
#/полный путь к нужному каталогу/(пробел)аттрибуты каталога в цифрах,
#например: 00770(пробел) аттрибуты файла в цифрах, например: 00600
#./doperm.sh /mnt/archive/oldmail 00770 00600

Поскольку Linux — система многопользовательская, для нее был разработан механизм разграничения доступа.

В основе механизмов разграничения доступа лежат имена пользователей и имена групп пользователей. В Linux каждый пользователь имеет уникальное имя, под которым он входит в систему (логируется). Кроме того, в системе создается некоторое число групп пользователей, причем каждый пользователь может быть включен в одну или несколько групп. Создает и удаляет группы суперпользователь, он же может изменять состав участников той или иной группы. Члены разных групп могут иметь разные права по доступу к файлам, например, группа администраторов может иметь больше прав, чем группа программистов.

В индексном дескрипторе каждого файла записаны имя так называемого владельца файла и группы, которая имеет права на этот файл. Первоначально, при создании файла его владельцем объявляется тот пользователь, который этот файл создал. Точнее — тот пользователь, от чьего имени запущен процесс, создающий файл. Группа тоже назначается при создании файла — по идентификатору группы процесса, создающего файл.

Посмотреть права доступа на объекты можно командой ls или stat (которая выводим например права доступа сразу в символьном и цифровом виде). Утилита ls

ls -l /bin/ls
-rwxr-xr-x 1 root root 110080 Янв 14  2015 /bin/ls

Утилита stat

stat /bin/ls
Доступ: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)

 -    rwx    r-x    r-x
---  -----  -----  -----
 |     |      |      |
 |     |      |      +----  Права доступа для всех остальных
 |     |      |      
 |     |      +-----------  Права доступа для группы
 |     |
 |     +------------------  Права достува для владельца (read, write, execute)
 |
 +------------------------ Тип файла. "-" означет, что это обычный файл.
                           "d" - директория. "l" - ссылка

Для назначения прав используются три группы флагов, первая определяет права для владельца, вторая - права для основной группы пользователя, третья - для всех остальных пользователей в системе.

Для файлов: r - право на чтение из файла; w - разрешает запись в файл (в частности перезапись или изменение); x - позволяет исполнить файл.

Для каталогов, флаги r w x имеют несколько отличный смысл: r - позволяет читать только имена файлов в каталоге; x - позволяет иметь доступ к самим файлам и их атрибутам (но не именам); w имеет смысл только в сочетании с x, и позволяет (в дополнение к x) манипулировать с файлами в каталоге (создавать, удалять и переименовывать). w без x - не имеет никакого эффекта.

Очень любопытный режим доступа к каталогу - 3 (-wx): он позволяет делать в директории все, что угодно, но не позволяет прочитать имена объектов в директории. Т.е. если вам не известны названия объектов в этом каталоге, то вы сделать с ними ничего не сможете (даже удалить по маске * т.к. маску не к чему применять - имена то недоступны).

В каталоге с режимом доступа 3 (-wx) можно создавать новые, переименовывать и удалять файлы и каталоги (если вы знаете их имя); читать, изменять, запускать файл (если достаточно на него прав, и опять же - вы знаете его имя). Можно даже менять права доступа на файлы и каталоги (если вы знаете имя). Но самое интересное, что если вы сможете перейти по команде cd в подкаталог такого каталога (а для этого вам опять нужно знать его имя), то там у вас будет «все в ожуре» (если конечно у этого подкаталога будет нормальный режим доступа).

Никакой рекурсивный поиск/удаление тоже не сможет залезть внутрь такого каталога - ему ведь нужны названия - а их из такого каталога - никак не получить.

В этом примере пользователь "user1" может создавать, удалять или изменять файлы в каталоге "my_directory" и также может переходить в него, но не может видеть его содержимое.

d-wx-wx-wx 2 user1 users 4096 Apr  1 12:00 my_directory

Но не надо думать, что такой каталог полноценно заменяет крипто-контейнер (т.е. может использоваться для хранения очень секретных данных). Да, имен объектов из такого каталога никак не получить, однако если попытаться создать объект с именем, которое уже существует, то такая операция закончится неудачей (т.е. мы получим подтверждение, что такое имя уже есть). Так же можно пытаться открыть (как файл или как каталог) объект с произвольным именем, если такого имени нет, то мы получим ошибку. Безусловно имя может быть очень длинным и шансы угадать его могут быть не велики, но не надо забывать, что права доступа могут сменить как владелец каталога так root. Да и пути доступа могут сохраниться в различных логах и файлах истории.

Несколько команд, которые помогут вам управлять правами доступа в Linux:

• chown: Команда chown используется для изменения владельца и/или группы файла или директории. Пример использования:

  chown user:group my_file.txt  # Изменить владельца и группу файла

• chgrp: Команда chgrp используется для изменения группы файла или директории.
• id: Команда id показывает информацию о текущем пользователе, включая UID (User Identifier) и GID (Group Identifier)