Product SiteDocumentation Site

9.3. مدیریت دسترسی

لینوکس بدون شک یک سیستم چندکاربره حقیقی است، پس فراهم کردن یک سیستم محوز برای کنترل عملیات مورد مجاز روی فایل‌ها و دایرکتوری‌ها، که شامل تمام منابع و دستگاه‌های سیستم می‌شود، امری لازم و ضروری است (در یک سیستم یونیکس، هر دستگاهی توسط یک فایل یا دایرکتوری مشحص می‌گردد). این اصل درباره تمام سیستم‌های یونیکس صدق می‌کند، اما ذکر این نکته مفید است که کاربردهای پیشرفته دیگری نیز برای این منظور وجود دارند.
هر فایل یا دایرکتوری شامل مجوزهای مشخصی برای سه گروه از کاربران است:
سه نوع دسترسی قابل ترکیب هستند:
در مورد یک فایل این دسترسی‌ها به سادگی قابل درک هستند: دسترسی خواندن اجازه خواندن محتوا را می‌دهد (از جمله رونوشت گرفتن)، دسترسی نوشتن اجازه تغییر آن را می‌دهد و دسترسی اجراکردن اجازه اجرای فایل را می‌دهد (که در صورت برنامه بودن معنی دارد).

امنیت برنامه‌های اجرایی setuid و setgid

دو دسترسی مشحص مربوط به فایل‌های اجرایی هستند: setuid و setgid (که با حرف “s” نمایش می‌یابند). نکته اینکه با اغلب از “بیت” صحبت می‌کنیم، چرا که هر یک از این مقادیر می‌توانند با ۰ یا ۱ نمایش داده شوند. این دو دسترسی اجازه اجرا برنامه توسط هر کاربری که مالک آن مالک گروه آن باشد را می‌دهند. این مکانیزم اجازه دسترسی بالاتر به قابلیت‌هایی را می‌دهد که ممکن است خارج از محدوده اختیارات کاربر باشد.
از آنجا که یک برنامه setuid تحت نظارت کاربر root اجرا می‌شود، امنیت و پایداری آن از اهمیت بالایی برخوردار است. در حقیقت، کاربری که قصد استفاده از آن را دارد می‌تواند با دسترسی root به کل سیستم اشراف داشته باشد.
یک دایرکتوری به شیوه متفاوتی مدیریت می‌شود. دسترسی خواندن اجازه فهرست‌گیری از محتوای آن را می‌دهد (فایل‌ها و دایرکتوری‌ها)، دسترسی نوشتن اجازه ایجاد یا حذف فایل‌ها را می‌دهد و دسترسی اجرا کردن اجازه عبور و مرور از دایرکتوری را می‌دهد (به خصوص هنگام استفاده از دستور cd). توانایی عبور از یک دایرکتوری بدون آنکه قادر باشیم محتوای آن را بخوانیم اجازه دسترسی به موارد شناخته شده در آن را می‌دهد، اما در صورتی که نام یا محل فایل را ندانیم نمی‌توان آن‌ها را پیدا کرد.

امنیت دایرکتوری setgid همراه با sticky bit

بیت setgid همچنین بر دایرکتوری نیز اعمال می‌شود. هر محتوای جدیدی که داخل آن ایجاد گردد بجای آنکه گروه اصلی کاربر ایجادکننده را شامل شود به صورت خودکار گروه مالک دایرکتوری والد را به ارث می‌برد. این گروه از تغییر نام گروه اصلی توسط کاربر جلوگیری می‌کند (با دستور newgrp) زمانی که در یک ساختار درختی از فایل‌های اشتراکی بین کاربران یک گروه استفاده شود.
بیت “چسبنده” (که با حرف “t” نمایش می‌یابد) نوعی مجوز است که تنها در دایرکتوری‌ها بکار می‌رود. به طور مخصوص در دایرکتوری‌های موقتی استفاده می‌شود که همگان دسترسی نوشتن داشته باشند (مانند /tmp/): از حذف فایل‌ها جلوگیری می‌کند به صورتی که تنها مالک فایل (یا مالک دایرکتوری والد) قادر به انجام آن باشد. بدون این ویژگی، هر کسی می‌تواند محتوای موجود در /tmp/ را حذف کند.
سه دستور وجود دارند که مجوزهای مربوط به یک فایل را کنترل می‌کنند:
دو روش برای ارائه دسترسی‌ها وجود دارد. از میان آن‌ها، شیوه نمادین به سادگی فرا گرفته و آموخته می‌شود. این شیوه شامل حروف نمادین ذکر شده در بالا هستند. می‌توانید برای هر دسته‌بندی از کاربران (u/g/o) دسترسی تعیین کنید با تنظیم آن‌ها به صورت انفرادی (با =)، با افزودن (+) یا کاستن (-). بنابراین فرمول u=rwx,g+rw,o-r به مالک فایل دسترسی خواندن، نوشتن و اجراکردن، به گروه مالک دسترسی خواندن و نوشتن و دسترسی خواندن را از سایر افراد می‌گیرد. دسترسی‌هایی که در چنین دستوری ذکر نشده باشند بدون تغییر باقی می‌مانند. حرف a، به معنی “all”، تمام دسته‌بندی‌های کاربران را شامل می‌شود. بنابراین، a=rx به سه دسته‌بندی موجود تمام دسترسی‌ها را (خواندن و اجراکردن، ولی نه نوشتن) می‌دهد.
نمایش عددی (اوکتال) هر دسترسی را به یک عدد نسبت می‌دهد: ۴ برای خواندن، ۲ برای نوشتن و ۱ برای اجراکردن. ترکیب دسترسی‌های یک گروه را با جمع اعداد آن به دست می‌آوریم. هر مقدار به دسته‌بندی‌های مختلف کاربران نسبت داده می‌شود درست به همان ترتیبی که قرار دارند (مالک، گروه و دیگران).
برای نمونه، دستور chmod 754 file دسترسی‌های زیر را تنظیم می‌کند: خواندن، نوشتن و اجراکردن برای مالک (چرا که ۷ = ۴ + ۲ + ۱)؛ خواندن و اجراکردن برای گروه (چرا که ۵ = ۴ + ۱)؛ خواندن برای دیگران. عدد 0 یعنی دسترسی وجود ندارد؛ بنابراین دستور chmod 600 file اجازه دسترسی خواندن و نوشتن را به مالک می‌دهد و هیچ دسترسی دیگری را شامل نمی‌شود. متداول‌ترین دسترسی‌های موجود عبارتند از 755 برای فایل‌ها و دایرکتوری‌های قابل اجرا و 644 برای فایل‌های داده‌ای.
برای نمایش دسترسی‌های ویژه، می‌توانید یک عدد چهارم نیز به قبل از آن اضافه کنید که بیت‌های setuid، setgid و sticky به ترتیب نشانگر ۴ و ۲ و ۱ هستند. دستور chmod 4754 بیت setuid را به همراه دسترسی‌های موجود اضافه می‌کند.
نکته اینکه استفاده از شیوه عددی برای تنظیم تمام دسترسی‌ها بکار می‌رود؛ پس نمی‌توانید از آن برای افزودن تنها یک دسترسی، مانند دسترسی خواندن برای گروه مالک، استفاده کنید چرا که باید تمام دسترسی‌های موجود و اعداد مربوط به آن‌ها را نیز به حساب بیاورید.

نکته عملیات بازگشتی

بعضی وقت‌ها باید دسترسی‌های تمام درخت فایل را تغییر دهیم. تمام دستورات بالا شامل گزینه -R هستند که امکان عملیات بازگشتی روی دایرکتوری‌ها را فراهم می‌آورد.
تفاوت بین فایل‌ها و دایرکتوری‌ها بعضی وقت‌ها برای عملیات بازگشتی مشکل آفرین می‌شود. به همین دلیل است که حرف “X” را در شیوه نمادین دسترسی‌ها معرفی کردیم. این حرف نشانگر اجرای یک دسترسی تنها روی دایرکتوری‌ها است (و نه فایل‌هایی که فاقد این دسترسی هستند). بنابراین، دستور chmod -R a+X directory تنها دسترسی اجراکردن را برای تمام دسته‌بندی کاربران (a) برای تمام دایرکتوری‌های فرزند و فایل‌هایی که حداقل یک دسته‌بندی از کاربر (حتی برای مالک انحصاری آن‌ها) هم‌اکنون دسترسی اجراکردن را داشته باشد، بکار می‌رود.

نکته تغییر کاربر و گروه

بسیار پیش می‌آید که می‌خواهید به طور همزمان گروه و کاربر یک فایل را تغییر دهید. دستور chown یک شیوه بخصوص برای اینکار دارد: chown user:group file

مطالعه بیشتر umask

زمانی که یک برنامه اقدام به ایجاد فایل می‌کند، به آن دسترسی‌های مشخصی اعطا می‌کند، با اینکه می‌داند سیستم به صورت خودکار و با استفاده از umask دسترسی‌ها اضافی را از بین می‌برد. umask را در یک پوسته اجرا کنید؛ یک ماسک به صورت 0022 را می‌بینید. این عدد نشانگر دسترسی‌هایی است که باید حذف گردند (در این مورد، دسترسی نوشتن برای گروه و سایر کاربران).
اگر عدد اوکتال دیگری به آن نسبت دهید، دستور umask اقدام به تغییر ماسک می‌کند. اگر اینکار را در یک فایل راه‌انداز پوسته ثبت کنید (برای نمونه، ~/.bash_profile)، ماسک پیش‌فرض برای نشست‌های کاری شما را تغییر می‌دهد.