Главная » Linux

Linux дополнительные атрибуты файлов

На чтение 9 мин Просмотров 1 Опубликовано
Содержание
  1. Расширенные атрибуты файла linux
  2. Расширенные системные атрибуты файлов
  3. Расширенные пользовательские атрибуты файлов
  4. Атрибуты файлов в Linux
  5. Что это такое?
  6. Как это работает?
  7. Специальные биты режимов доступа setuid и setgid
  8. Sticky-бит

Расширенные атрибуты файла linux

Как было показано в статье «базовые права доступа«, базовые права доступа, дополнительные атрибуты SUID/SGID, владельцы, счетчик имен и другие основные свойства файлов хранятся в их метаданных. Кроме этого, файлам могут быть назначены списки контроля доступа и метки безопасности SELinux, которые являются их дополнительными свойствами и хранятся за пределами метаданных, при помощи расширенных атрибутов attr.

Каждый расширенный атрибут имеет имя вида namespace.attrname, при этом пространства имен namespace определяют назначение атрибута. Пространство, имен systen используется системными (ядерными) компонентами, например, для списков контроля доступа POSIX ACL. Пространство имен security используется системными компонентами безопасности, в частности .для хранения привилегий исполняемых программ (capabilities), и меток модуля принудительного контроля доступа SELinux. Пространства имен trusted и user предназначены для атрибутов внеядерных компонент программ, выполняющихся привилегированным и обычными пользователями соответственно. Для просмотра и назначения внеядерных (пользовательских) расширенных атрибутов используются утилиты getfattr и setfattr. Читать пользовательские расширенные атрибуты файла разрешено тем же субъектам, которым разрешено чтение данных этого файла.

Аналогично устанавливать (изменять) и удалять пользовательские расширенные атрибуты файла могут субъекты, допущенные к записи данных этого файла. Ядерные (системные) атрибуты обычно управляются специально предназначенными командами, например, getfacl и setfacl предназначены для списков контроля доступа, команды getcap и setcap — для привилегий исполняемых программ, команды chcon и ls-Z — для мандатных меток. Системные атрибуты, как правило, всегда доступны для чтения, но их установка и изменение требуют определенных привилегий процесса.

Расширенные системные атрибуты файлов

$ getcap /usr/bin/gnome-keyring-daemon $ getfattr -d -m — /usr/bin/gnome-keyring-daemon getfattr: Удаление начальных ’/’из абсолютных путей
# file: usr/bin/gnome-keyring-daemon
security.capability=QsAQAAAgBAAAAAAAAAAAAAAAAAAAA= $ cd /srv/kingdon/stash john@ubuntu:/srv/kingdon/stash$ ls -l README.mike
-rw-rw—-+ john candy 0 нояб. 4 14:17 README.mike
finn@ubuntu:/srv/kingdon/stash$ getfacl README.jake
# file: README.mike
# owner: john
# group: candy

user: mike:rw-
group:: rwx #effective:rw-
mask:: rx-
other::—
john@ubuntu:/srv/kingdon/stash$ getfattr -d -m — README.mike
# file: README.mike
systen. posix_acl_access=0sAgAAAAEABgD/////AgAGAOoDAAAEAAcA/////xAABgD/////IAAAAP////8= john@ubuntu:/srv/kingdon/staSh$ setfattr -n user.color -v orange README.mike john@ubuntu:/srv/kingdon/stash$ setfattr -n user.flavour -v vanilla README.mike finn@ubuntu:/srv/kingdon/stash$ getfattr -d README.mike
# file: README.mike
user.color=»orange»
user. flavour=»vanilla» В примере из листинга выше показано, что привилегии исполняемых программ на самом деле сохранены в атрибуте security.capability, списки контроля доступа — в атрибуте system.posix_acl_access, а в атрибутах пространства имен user можно разместить любые значения. Наиболее известным применением пользовательских атрибутов являются атрибуты user.xdg.origin.url и user.xdg.referrer.url, использующиеся браузером chromium-browser для сохранения URL файлов, которые были загружены из Интернета.

Читайте также:  Устанавливаем nod32 на linux

Расширенные пользовательские атрибуты файлов

Атрибуты файлов в Linux

Файловую систему (ФС) невозможно представить без такого важного её компонента, как атрибуты файлов. С технической точки зрения такое, конечно же, возможно, однако это было бы абсолютно бессмысленно. Поскольку не отвечало бы даже далеко не самым «строгим» требованиям для обеспечения безопасности, надёжности и масштабируемости. Поскольку вся работа с операционными системами Linux «завязана» на ФС. То становится очевидным то, как важно уметь её (ФС) понимать. Атрибуты файлов — это, образно выражаясь, «язык», на котором «общаются» между собой, собственно ФС и пользователи (особенно системные администраторы) систем Linux.

Что это такое?

Технически это набор из девяти основных битов. Определяющих какие из пользователей обладают правами на чтение, запись. А также запуск файлов для выполнения. Данный набор формирует код, называемый режимом доступа к файлу/каталогу. Первые три бита определяют права доступа для владельца. Следующие — для группы пользователей, к которой относится файл. и последние три бита — права доступа для всех остальных пользователей в системе. На практике это выглядит так: Этот вывод говорит о том, что файл .mysql_history доступен для чтения и записи только его владельцу — пользователю john. О чём свидетельствуют первые три символа (rw-) в режима доступа. Символ «-», стоящий перед ними — это признак, что это файл, а не каталог, блочное устройство и т. д. Таким образом, ФС на всем понятном языке говорит, что данный файл может быть прочитан или отредактирован только его владельцем (или суперпользователем). Существует также ещё четыре дополнительных бита. Которые определяют тип самого файла и задаются непосредственно при создании файла. С помощью команды chmod можно менять основные (и некоторые дополнительные) биты режима доступа. Сделать это может только владелец файла или суперпользователь. Просматривать атрибуты (в том числе и режимы доступа) позволяет команда ls. Таким образом, характер поведения ФС, а также распределение доступа и управление им полностью определяется атрибутами файлов. Которые хранит сама ФС — это самодостаточный и универсальный подход.

Как это работает?

Для записи кода режима доступа используется восьмеричная запись чисел. Как уже было отмечено, код доступа содержит три «триады» битов — для пользователя, группы и всех остальных, именно в таком порядке. Битам из первой триады соответствуют значения в восьмеричной записи 400, 200 и 100. Для второй триады (т. е. для группы) — 40, 20 и 10. Наконец, для третьей (все остальные) — 4, 2 и 1. В свою очередь, первому биту в каждой триаде соответствует доступ на чтение (r — «read»). Второму — на запись (w — «write») и третьему — на выполнение, т. е. x — «execute». В традиционной модели прав доступа UNIX предполагается, что каждый пользователь «заперт» в пределах всего одной категории (триады). Это означает, что для неоднозначной ситуации применяются самые строгие права. Например, право на владение всегда определяется только битами из триады владельца. И никак и никогда группой или другими пользователями. Установка бита чтения (r) в одной из триад (или во всех) задаёт право открывать данный файл для чтения соответствующим категориям пользователей. Наличие бита записи (w) позволяет изменять файл. При этом возможно его удаление и/или переименование файла, но только в том случае, если заданы соответствующие биты для его родительского каталога, поскольку именно в его записях хранятся имена файлов. Установка бита запуска позволяет, собственно, запускать файл на выполнение. Такие файлы называются «исполняемыми». Исполняемых файлов существует две разновидности: бинарные — исполняемые центральным процессором, а также сценарии или скрипты, исполняемые командным интерпретатором. В последнем случае это обычный текстовый файл, но для того, чтобы интерпретатор мог определить, с кем «имеет дело», в самое начало таких файлов помещаются специальные инструкции, вроде такой:

Читайте также:  Genshin impact linux patch

В данном примере указывается, что файл является сценарием для выполнения интерпретатором Perl. Вместо perl может быть указан любой другой интерпретатор, например bash или sh. Когда бит выполнения устанавливается для каталога. То это означает, что в данный каталог разрешён переход, либо разрешён доступ к файлу через данный (транзитом, так сказать) каталог. Но без получения списка подкаталогов и всего содержимого каталога. Для того, чтобы получить содержимое какого-либо каталога. Необходимо, чтобы для него вместе с битом выполнения был установлен также и бит чтения.

Специальные биты режимов доступа setuid и setgid

Очень важное значение в системах Linux имеют биты setuid (бит смены идентификатора пользователя) и setgid (бит смены идентификатора группы). Их назначение в том, чтобы помочь, в определённых ситуациях, программам получить полноценный доступ к каким-либо файлам и/или процессам. Которые по спецификации основного режима доступа недоступны пользователям, от имени которых эти программы запускаются. Битам setuid и setgid в восьмеричной записи соответствуют значения 4000 и 2000. Так что всё это значит? Дело в том, что если для какого-либо файла установлен бит setuid.То какой-либо пользователь (неважно кто) может запускать на исполнение этот файл от имени владельца этого файла. Таким образом работают такие программы как passwd, которую может использовать пользователь для смены своего пароля. Однако исполняемый файл passwd принадлежит суперпользователю root. Естественно, setuid и setgid можно устанавливать командой chmod: Здесь первая команда устанавливает для файла settings.php бит setuid. Вторая — setgid, третья — оба этих бита сразу. В выводе команды ls это выглядит так: Здесь символ «s» в спецификации режима доступа. Говорит о том, что установлен бит setgid (вторая триада). Вместо него может быть символ «S», т. е. заглавная буква, которая говорит о том, что данный бит для этого файла был установлен впервые. В контексте каталога может устанавливаться бит setgid. В этом случае всем создаваемым внутри этого каталога файлам будут назначаться идентификатор группы этого каталога. А не группы владельца файлов.

Читайте также:  Linux curl keep alive

Sticky-бит

Этот дополнительный бит служит для того, чтобы внутри каталога, для которого установлен этот бит, удаление и/или переименование файлов могли производить только их владельцы или суперпользователь. Установить sticky-бит может только суперпользователь, но обычный пользователь-владелец файла может его снять. Sticky-биту соответствует восьмеричное значение 1000, пример: А в выводе команды ls это будет выглядеть следующим образом: В данном выводе в спецификации режима доступа символ «T» говорит об установленном sticky-бите. Его представление в виде заглавной и строчной букв имеет то же значение, как и по аналогии с битами setuid и setgid. В заключении стоит ещё раз отметить то, насколько важно понимать и правильно интерпретировать атрибуты файлов. От этого зависит, насколько корректно и надёжно будет функционировать вся система. Грамотное системное администрирование невозможно без понимания работы ФС, в частности того, что такое атрибуты файлов. Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter. Источник

Источник

Оцените статью
© 2023 Posetke
Adblock
detector