Nastavování oprávnění
Z MiS
(Rozdíly mezi verzemi)
m (→Změna vlastníka a skupiny: Přehledněji napsáno, kdo může měnit.) |
(Používáme termín „oprávnění“ (permission) místo „právo“ (right).) |
||
(Není zobrazena 1 mezilehlá verze od 1 uživatele.) | |||
Řádka 1: | Řádka 1: | ||
[[Category:VSE]][[Category:Informatika]][[Category:OSY]][[Category:Linux]][[Category:Uživatelské účty]] | [[Category:VSE]][[Category:Informatika]][[Category:OSY]][[Category:Linux]][[Category:Uživatelské účty]] | ||
− | == | + | == Oprávnění pro přístup k souborům a složkám == |
− | V tomto článku se zabýváme klasickým systémem nastavení oprávění tak, jak fungoval v Unixu a jak funguje dodnes v mnoha distribucích GNU/Linuxu. Existují ale | + | V tomto článku se zabýváme klasickým systémem nastavení oprávění tak, jak fungoval v Unixu a jak funguje dodnes v mnoha distribucích GNU/Linuxu. Existují ale rozšíření jako SELinux, AppArmor a další. |
− | Oprávnění k souboru si můžeme představit jako tabulku s devíti jednobitovými hodnotami (má | + | Oprávnění k souboru si můžeme představit jako tabulku s devíti jednobitovými hodnotami (má oprávnění/nemá oprávnění): |
{| class="wikitable" | {| class="wikitable" | ||
Řádka 32: | Řádka 32: | ||
=== Oprávnění nastavujeme === | === Oprávnění nastavujeme === | ||
* <tt>u</tt>... vlastníkovi souboru (neříkejte „uživateli“, nebylo by zřejmé, kterému) | * <tt>u</tt>... vlastníkovi souboru (neříkejte „uživateli“, nebylo by zřejmé, kterému) | ||
− | * <tt>g</tt>... skupině, která soubor vlastní | + | * <tt>g</tt>... skupině, která soubor vlastní („vlastnické skupině“) |
* <tt>o</tt>... všem ostatním uživatelům | * <tt>o</tt>... všem ostatním uživatelům | ||
Řádka 40: | Řádka 40: | ||
* <tt>w</tt>... upravit obsah souboru | * <tt>w</tt>... upravit obsah souboru | ||
* <tt>x</tt>... spustit soubor | * <tt>x</tt>... spustit soubor | ||
− | ; Pro složky: | + | ; Pro složky/adresáře: |
− | * <tt>r</tt>... zobrazit soubory | + | * <tt>r</tt>... zobrazit soubory v adresáři |
* <tt>w</tt>... umožní přidávat, mazat, přejmenovávat soubory a složky | * <tt>w</tt>... umožní přidávat, mazat, přejmenovávat soubory a složky | ||
* <tt>x</tt>... umožní přístup k souborům ve složce (v závislosti na oprávnění k danému souboru) | * <tt>x</tt>... umožní přístup k souborům ve složce (v závislosti na oprávnění k danému souboru) | ||
− | <div class="Poznamka">Poznámka: představte si složku jako soubor, obsahující seznam názvů souborů a odkazů na jejich datové bloky</div> | + | <div class="Poznamka">Poznámka: představte si složku/adresář jako soubor, obsahující seznam názvů souborů a odkazů na jejich datové bloky</div> |
<div class="Priklad"> | <div class="Priklad"> | ||
; Úkoly: | ; Úkoly: | ||
− | # Jaká | + | # Jaká oprávnění potřebujete mít pro provedení příkazů: |
#* <code>ls directory</code> | #* <code>ls directory</code> | ||
#* <code>mv directory/file.txt file.txt</code> | #* <code>mv directory/file.txt file.txt</code> | ||
Řádka 58: | Řádka 58: | ||
</div> | </div> | ||
− | == | + | == Výpis stávajících oprávnění == |
; Příkazem <code>ls -l</code> | ; Příkazem <code>ls -l</code> | ||
Řádka 68: | Řádka 68: | ||
** - ... běžný soubor | ** - ... běžný soubor | ||
** d ... adresář (složka) | ** d ... adresář (složka) | ||
− | * | + | * oprávnění k souboru |
** nejprve pro vlastníka, pak skupiny, pak pro ostatní | ** nejprve pro vlastníka, pak skupiny, pak pro ostatní | ||
** vždy v pořadí rwx | ** vždy v pořadí rwx | ||
Řádka 92: | Řádka 92: | ||
== Změna oprávnění (<code>chmod</code>) == | == Změna oprávnění (<code>chmod</code>) == | ||
− | * Dva režimy: změna všech | + | * Dva režimy: změna všech oprávnění naráz, nebo změna jednoho oprávnění. |
; Kompletní sada oprávnění naráz: | ; Kompletní sada oprávnění naráz: | ||
− | * Zapíšeme oprávnění jako posloupnost jedniček (má | + | * Zapíšeme oprávnění jako posloupnost jedniček (má oprávnění) a nul (nemá oprávnění) v pořadí: <tt>u(rwx) g(rwx) o(rwx)</tt>. |
* Trojice přečteme jako dvojkový zápis desítkových čísel. | * Trojice přečteme jako dvojkový zápis desítkových čísel. | ||
<div class="Priklad"> | <div class="Priklad"> | ||
− | Představme si, že chceme zapsat, že vlastník má všechna | + | Představme si, že chceme zapsat, že vlastník má všechna oprávnění, skupina nemůže zapisovat a ostatní mohou jen číst: |
u g o | u g o | ||
rwx rwx rwx | rwx rwx rwx | ||
Řádka 108: | Řádka 108: | ||
* Píšeme: <code>chmod ''komu''+/-''co'' ''soubor''</code> | * Píšeme: <code>chmod ''komu''+/-''co'' ''soubor''</code> | ||
** <code>''komu''</code>... <code>u</code>, <code>g</code>, <code>o</code>, ev. <code>a</code> jako ''all'' pro všechny typy. | ** <code>''komu''</code>... <code>u</code>, <code>g</code>, <code>o</code>, ev. <code>a</code> jako ''all'' pro všechny typy. | ||
− | ** <code>+</code>... nastavit | + | ** <code>+</code>... nastavit oprávnění nebo <code>-</code>... odebrat oprávnění, |
** <code>''co''</code>... <code>r</code>, <code>w</code>, <code>x</code>. | ** <code>''co''</code>... <code>r</code>, <code>w</code>, <code>x</code>. | ||
Příklad: | Příklad: | ||
Řádka 130: | Řádka 130: | ||
== Opakování == | == Opakování == | ||
* Zjistěte vlastníka souboru <tt>/etc/passwd</tt>. | * Zjistěte vlastníka souboru <tt>/etc/passwd</tt>. | ||
− | * Říká se, že administrátor počítače může v klasických desktopových distribucích všechno. Není to v rozporu s výše uvedeným nastavením | + | * Říká se, že administrátor počítače může v klasických desktopových distribucích všechno. Není to v rozporu s výše uvedeným nastavením oprávnění??? |
* Jak zjistíte, zda uživatel může soubor smazat? | * Jak zjistíte, zda uživatel může soubor smazat? | ||
Aktuální verze z 14. 4. 2021, 07:02
Obsah |
Oprávnění pro přístup k souborům a složkám
V tomto článku se zabýváme klasickým systémem nastavení oprávění tak, jak fungoval v Unixu a jak funguje dodnes v mnoha distribucích GNU/Linuxu. Existují ale rozšíření jako SELinux, AppArmor a další.
Oprávnění k souboru si můžeme představit jako tabulku s devíti jednobitovými hodnotami (má oprávnění/nemá oprávnění):
r(ead) | w(rite) | x(eXecute) | |
---|---|---|---|
u(ser) | ? | ? | ? |
g(roup) | ? | ? | ? |
o(thers) | ? | ? | ? |
Oprávnění nastavujeme
- u... vlastníkovi souboru (neříkejte „uživateli“, nebylo by zřejmé, kterému)
- g... skupině, která soubor vlastní („vlastnické skupině“)
- o... všem ostatním uživatelům
Význam jednotlivých oprávnění
- Pro soubory
- r... zobrazit obsah souboru
- w... upravit obsah souboru
- x... spustit soubor
- Pro složky/adresáře
- r... zobrazit soubory v adresáři
- w... umožní přidávat, mazat, přejmenovávat soubory a složky
- x... umožní přístup k souborům ve složce (v závislosti na oprávnění k danému souboru)
Poznámka: představte si složku/adresář jako soubor, obsahující seznam názvů souborů a odkazů na jejich datové bloky
- Úkoly
- Jaká oprávnění potřebujete mít pro provedení příkazů:
-
ls directory
-
mv directory/file.txt file.txt
-
mv directory/file.txt directory/file-backup.txt
-
cp directory/file.txt file.txt
-
cat directory/file.txt
-
rm directory/file.txt
-
Výpis stávajících oprávnění
- Příkazem
ls -l
Příklad výstupu:
-rwxr--r-- 1 student skupina 1627 8. lis 10.52 soubor.txt
- Význam znaků
- první znak: typ souboru
- - ... běžný soubor
- d ... adresář (složka)
- oprávnění k souboru
- nejprve pro vlastníka, pak skupiny, pak pro ostatní
- vždy v pořadí rwx
- pokud je oprávnění nastaveno, je tam odpovídající písmeno
- pokud oprávnění není nastaveno, pak je uvedena pomlčka
- počet pevných linků (viz typy souborů)
- username vlastníka
- groupname skupiny, která soubor vlastní
- velikost souboru
- datum poslední změny
- název souboru
- Úkol
- Vypsali jste si oprávnění k souboru soubor.txt:
$ ls -l -rwxr----- 1 student skupina 1627 8. lis 10.52 soubor.txt
- Může uživatel
franta
zapisovat do souboru soubor.txt? - Co má případně
franta
dělat, aby do souboru mohl zapsat? - Může uživatel
franta
obsah souboru číst? - Co má případně
franta
dělat, aby obsah souboru mohl číst?
Změna oprávnění (chmod
)
- Dva režimy: změna všech oprávnění naráz, nebo změna jednoho oprávnění.
- Kompletní sada oprávnění naráz
- Zapíšeme oprávnění jako posloupnost jedniček (má oprávnění) a nul (nemá oprávnění) v pořadí: u(rwx) g(rwx) o(rwx).
- Trojice přečteme jako dvojkový zápis desítkových čísel.
Představme si, že chceme zapsat, že vlastník má všechna oprávnění, skupina nemůže zapisovat a ostatní mohou jen číst:
u g o rwx rwx rwx 111 101 100 7 5 4
Použití:
chmod 754 data.txt
- Nastavení jednotlivých oprávnění
- Píšeme:
chmod komu+/-co soubor
-
komu
...u
,g
,o
, ev.a
jako all pro všechny typy. -
+
... nastavit oprávnění nebo-
... odebrat oprávnění, -
co
...r
,w
,x
.
-
Příklad:
chmod u+r data.txt
Změna vlastníka a skupiny
- Při vytvoření souboru
- Vlastníkem souboru se při vytvoření souboru stane ten, kdo soubor vytvoří.
- Nový soubor vlastní skupina, která je primární skupinou vlastníka.
-
chown
- změna vlastníka
- obvykle může provádět pouze administrátor (root)(toto chování lze změnit)
sudo chown xmarek data.txt
-
chgrp
- změna vlastnické skupiny
- kdo může měnit vlastnickou skupinu:
- vlastník souboru či složky může přiřazovat soubor jen skupinám, do kterých sám patří
- administrátor (root) může přiřadit libovolnou skupinu.
chgrp ucetni data.txt
Opakování
- Zjistěte vlastníka souboru /etc/passwd.
- Říká se, že administrátor počítače může v klasických desktopových distribucích všechno. Není to v rozporu s výše uvedeným nastavením oprávnění???
- Jak zjistíte, zda uživatel může soubor smazat?