Содержание

Права доступа к файлам и директориям

Система прав POSIX

Каждый файл или директория принадлежат какой-то определённой учётной записи и группе. Система позволяет независимо установить разрешения на чтение, запись и исполнение для владельца, группы и для всех остальных. При отсутствии разрешения соответствующая операция будет блокироваться операционной системой.

По умолчанию создаваемые пользователями файлы доступны на чтение всем остальным пользователям. Модифицировать файлы может только их владелец.

Учётная запись пользователя может входить в несколько групп. Одна группа, обязательно существующая у любой учетной записи, называется основной ('primary'), остальные - дополнительными ('supplementary', 'secondary'). На нашем комплексе основная группа у всех пользователей - 'users'. При необходимости организовать коллективную работу нескольких пользователей могут создаваться дополнительные группы, как описано ниже.

Отобразить установленные права и владельцев файлов можно следующей командой:

ls -l

Одиночная работа

Если вы хотите, чтобы ваши файлы были доступны на чтение только вам (и администраторам ИВЦ), добавьте в файл '.bashrc' в своей домашней директории такую строчку:

umask 077

Затем необходимо разорвать все SSH-соединения к интерфейсному сервера и подключиться заново. С этого момента все новые файлы и директории будут создаваться с правами, запрещающими доступ всем остальным пользователям.

Кроме этого, необходимо запретить доступ к файлам, созданным ранее. Для этого выполните такую команду:

chmod -R go-rwx ~


:!: Никогда не выполняйте над домашней директорией 'обратную' операцию, предоставляя права всем. Этим вы установите некорректные права на свои служебные файлы, некоторые из которых должны быть доступны на чтение только самому владельцу, и заблокируете себе SSH-доступ. Если необходимо восстановить доступ другим пользователям комплекса, делайте это только для определённых поддиректорий:

chmod -R go+rX ~/поддиректория

Символ 'X' в параметрах этой команды должен быть именно заглавным, в отличии от предыдущей команды.

Коллективная работа

Часто возникает задача организовать соместную работу нескольких пользователей с индивидуальными учётными записями.

Дополнительная группа

Может потребоваться запретить просмотр определённых директорий всем, кроме членов определённого коллектива. Например, ограничить доступ к домашним директориям или к установленному коммерческому ПО, лицензированному только для определённого коллектива. В таком случае коллективу создаётся дополнительная POSIX группа.

Затем для всех указанных директорий группа меняется на эту новую дополнительную группу, а для категории «все остальные» (т.е. всем учётным записям, не входящим в эту дополнительную группу) доступ полностью запрещается:

chgrp -R дополнительная_группа путь_до_директории
chmod -R o-rwx путь_до_директории

Также необходимо сделать так, чтобы все новые файлы и директории, создаваемые в этих директориях, сразу: