[ Pobierz całość w formacie PDF ]

DomyÅ›lna lista kontroli dost¹pu dla pliku resume.xml wyglÄ…da tak:
Domyślna lista ACL dla pliku tworzonego w katalogu, dla którego nie ustawiono jeszcze
jawnie domyślnej maski ACL, odpowiada standardowym uniksowym uprawnieniom,
przydzielanym użytkownikowi tworzącemu ten plik. Domyślne ustawienia uprawnień
systemu Unix uzależnione są natomiast od wartości zmiennej środowiskowej .
IstniejÄ… trzy powszechnie stosowane sposoby zmiany listy ACL pliku lub katalogu:
jawne ustawienie listy za pośrednictwem polecenia ,
zmodyfikowanie istniejącej listy za pośrednictwem polecenia ,
zmodyfikowanie istniejącej listy za pośrednictwem opcji polecenia .
Rozdział 7. f& System plików z kroniką: XFS 193
Zmienna środowiskowa to klasyczny uniksowy mechanizm ustawiania domyśl-
nych zabezpieczeń dla tworzonych przez użytkowników plików i katalogów. Domyślnie
zmienna jest trzycyfrową liczbą ósemkową odejmowaną od standardowej war-
tości uprawnienia dla nowo tworzonego pliku (666) lub katalogu (777). W większości
dystrybucji Linuksa wartość zmiennej wynosi 002, co oznacza, że każdy two-
rzony plik będzie objęty uprawnieniami reprezentowanymi ósemkową wartością 664
(zarówno właściciel pliku, jak i grupa, do której należy, mogą odczytywać i modyfiko-
wać plik; pozostali użytkownicy mogą jedynie odczytywać plik). Analogicznie każdy
nowo utworzony katalog będzie objęty uprawnieniami reprezentowanymi w postaci
ósemkowej jako 775, co oznacza, że właściciel katalogu i grupa, do której on należy,
mogą tworzyć pliki wewnątrz katalogu. Pozostali użytkownicy uprawnieni są jedynie
do odczytywania zawartości katalogu i wyszukiwania w nim plików.
Większość użytkowników ustawia zmienną na wartość 022, tak aby nowo
tworzone pliki mogły być zapisywane wyłącznie przez właściciela (pliki są wtedy
tworzone z uprawnieniami 664); katalogi otrzymujÄ… podobne uprawnienia (775).
Możliwość zmiany zmiennej to element składowy powłoki systemu Unix;
Szczegółowe informacje na ten temat znajdują się w dokumentacji man dołączo-
nej do używanej przez Ciebie powłoki.
W przykładach prezentowanych w bieżącym rozdziale wykorzystałem polecenie ,
ponieważ nie powoduje ono nadpisania aktualnej listy ACL dla danego pliku czy katalogu
(co nast¹puje w przypadku wykonania polecenia ), lepiej przy tym ilustrujÄ…c
sposób działania list ACL.
Listy kontroli dost¹pu dajÄ… możliwość przyznawania szczegółowych uprawnieÅ„ dost¹pu
do plików i katalogów, wykraczających poza możliwości standardowych mechani-
zmów zabezpieczających systemu Unix. Przykładowo dodanie do systemu użytkownika
, majÄ…cego dost¹p do pliku resume.xml w trybie do odczytu, wymaga jedynie
wykonania polecenia , jak pokazano poniżej:
Nie jest to wbrew pozorom ciąg modemowego połączenia z Internetem (podejrzewam,
że polecenie takie rozpoznawane jest przez wiekowy edytor TECO)  jest to rzeczy-
wista postać listy kontroli dost¹pu dla pliku. Jak już wspomniaÅ‚em, lista ACL skÅ‚ada
si¹ z trzech oddzielonych dwukropkami pól, reprezentujÄ…cych uprawnienia użytkownika
(właściciela pliku), grupy (grupy, do której należy właściciel pliku) oraz pozostałych
użytkowników. ModyfikujÄ…c list¹ ACL danego pliku, musimy najpierw podać poprzedniÄ…
postać listy, a dopiero potem określić nowe jej elementy. Fragment
w powyższym przykładzie to właśnie dotychczasowa zawartość listy ACL dla pliku
resume.xml; cz¹ść okreÅ›la nowego użytkownika pliku ( )
i tzw. maskę praw uzyskanych przez tego użytkownika. Maska praw uzyskanych jest sumą
wszystkich uprawnień istniejących użytkowników i grup do pliku lub katalogu. Podczas
dodawania użytkownika do listy ACL konieczne jest określenie maski praw uzyskanych.
O tym, że użytkownik rzeczywiÅ›cie zostaÅ‚ dodany do listy kontroli dost¹pu
pliku resume.xml, przekona nas wydruk polecenia :
194 Systemy plików w Linuksie

Tymczasem polecenie ujawnia, że standardowe uprawnienia systemu Unix do
tego pliku nie zostały zmodyfikowane:
Możemy jednak zweryfikować uprawnienia użytkownika , nakazując mu wy-
konanie próby odczytu pliku resume.xml  próba ta powinna si¹ udać (jeżeli znasz
hasło tego użytkownika możesz sam spróbować sprawdzić skuteczność działania po-
lecenia , nawiÄ…zujÄ…c z komputerem poÅ‚Ä…czenie telnetowe, logujÄ…c si¹ jako użyt-
kownik i próbując otworzyć plik w dowolnym edytorze tekstu lub przekazać
plik do poleceń takich jak lub ).
Bardziej jednak niż możliwość nadawania konkretnym użytkownikom prawa do odczytu
pliku interesuje nas oczywiście zdolność wskazywania pojedynczych użytkowników
jako uprawnionych do zapisu danego pliku. W systemie XFS aby wskazać użytkownika
jako osob¹ majÄ…cÄ… uprawnienia tak do odczytu, jak i do zapisu pliku resume.xml,
należy wykonać nast¹pujÄ…ce polecenie:
Polecenie pokaże aktualnÄ… zawartość listy ACL pliku resume.xml uwzgl¹d-
niającą nowe uprawnienia użytkownika :

Tak jak uprzednio, weryfikacja skuteczności działania polecenia jest możliwa
przy współpracy użytkownika . Współpraca ta polega na wykonaniu próby
odczytu i zapisu pliku resume.xml (znając hasło tego użytkownika można samodzielnie
sprawdzić dziaÅ‚anie nowej listy kontroli dost¹pu poprzez nawiÄ…zanie z komputerem
poÅ‚Ä…czenia telnetowego, zalogowanie si¹ w imieniu użytkownika i otwarcie
pliku w dowolnym edytorze tekstu lub przekazanie go do poleceń takich jak lub ).
Jestem wielkim fanem systemu list kontroli dost¹pu, ponieważ daje on doÅ›wiadczonemu
użytkownikowi peÅ‚nÄ… kontrol¹ nad tym, kto i w jakim trybie może uzyskać dost¹p do
plików b¹dÄ…cych wÅ‚asnoÅ›ciÄ… danego użytkownika. Listy kontroli dost¹pu sÄ… obsÅ‚ugiwane
w systemie plików XFS, ale docelowo mają być obsługiwane przez wszystkie linuksowe
Rozdział 7. f& System plików z kroniką: XFS 195
systemy plików; w tym momencie wyeliminowana zostanie najbardziej dokuczliwa
wada administracyjna systemów operacyjnych z rodziny Unix (i straci aktualność jeden [ Pobierz całość w formacie PDF ]