У каждого файла есть лишь один пользователь-владелец и одна группа-владелец . При создании файла за ним закрепляются идентификаторы пользователя и группы того процесса, в котором происходит эта операция.
Основные операции, производимые над файлами в Linux, — это чтение , запись и выполнение (создание и удаление файлов считаются операциями над каталогами, где находятся эти файлы). Если файл недоступен для чтения, Linux не позволит узнать его содержимое, а если файл защищен от записи, то нельзя будет модифицировать его содержимое. Программу, у которой отсутствует право выполнения, нельзя будет запустить.
Linux позволяет задавать, какие действия — чтение, запись, выполнение — разрешено осуществлять над файлом его владельцу, группе и остальным пользователям. Например, можно указать, что владелец имеет все права доступа к файлу, пользователям группы разрешено читать и выполнять файл (но не записывать в него), а остальные пользователи не должны получать к нему доступ.
Совокупность прав доступа к файлу называется кодом режима . Он состоит из трех триад битов, соответствующих владельцу, группе и остальным пользователям. В каждой триаде первый бит означает право чтения, второй — право записи, третий — право выполнения. Символьное представление этих битов называется строкой режима . Просмотреть ее можно с помощью команды ls -l
или системного вызова stat()
. Задание прав доступа к файлу осуществляется с помощью команды chmod
или одноименного системного вызова. Допустим, имеется файл hello
и требуется узнать права доступа к нему. Вот как это делается:
% ls -l hello
-rwxr-x--- 1 samuel csl 11734 Jan 22 16:29 hello
Третье и четвертое поля выводных данных сообщают о том, что файл принадлежит пользователю samuel
и группе csl
. В первом поле отображается строка режима. Начальный дефис указывает на то, что это обычный файл. В случае каталога здесь будет стоять буква d. Специальные файлы, например файлы устройств (см. главу 6, "Устройства") или каналы (см. раздел 5.4, "Каналы"), обозначаются другими буквами. Следующие три символа соответствуют правам владельца файла. В данном случае пользователь samuel
имеет право чтения, записи и выполнения файла. Далее указаны права группы, которой принадлежит файл. Пользователям группы разрешено читать и выполнять файл. Последние три символа в строке режима обозначают права остальных пользователей, которым запрещен доступ к файлу.
Давайте проверим, действительно ли все вышесказанное — правда. Для начала попробуем обратиться к файлу от имени пользователя nobody
, не входящего в группу csl
:
% id
uid=99(nobody) gid=99(nobody) groups=99(nobody)
% cat hello
cat: hello: Permission denied
% echo hi > hello
sh: ./hello: Permission denied
% ./hello
sh: ./hello: Permission denied
Команда cat
не смогла выполниться, потому что у нас нет права чтения файла. Запись в файл тоже не разрешена, поэтому потерпела неудачу команда echo
. А поскольку право выполнения также отсутствует, запустить программу hello
не удалось.
Посмотрим, что будет, если к файлу обратится пользователь mitchell
, являющийся членом группы csl
:
% id
uid=501 (mitchell) gid=501 {mitchell) groups=501 (mitchell), 503 (csl)
% cat hello
#!/bin/bash
echo "Hello, world."
% ./hello
Hello, world.
% echo hi > hello
bash: ./hello: Permission denied
В данном случае можно отобразить содержимое файла и запустить его на выполнение (файл является простейшим командным сценарием), но осуществить перезапись файла невозможно. Доступ для записи разрешен только владельцу файла (пользователь samuel
):
% id
uid=502(samuel) gid=502(samuel) groups=502(samuel),503(csl)
% echo hi > hello
% cat hello
hi
Менять режим доступа к файлу может только его владелец, а также суперпользователь. Если требуется разрешить всем пользователям запускать файл на выполнение, то это делается так:
% chmod o+k hello
% ls -l hello
-rwxr-x--x 1 samuel csl 3 Jan 22 16:38 hello
Обратите внимание на появление буквы x
в конце строки режима. Флаг о+x
команды chmod
означает добавление ( +
) права выполнения ( x
) для остальных пользователей ( о
). Если требуется, к примеру, отнять право записи у группы, следует задать такой флаг: g-w.
Функция stat()
позволяет определить режим доступа к файлу программным путем. Она принимает два аргумента: имя файла и адрес структуры, заполняемой информацией о файле. Подробнее функция stat()
описана в приложении Б, "Низкоуровневый ввод-вывод". Пример ее использования показан в листинге 10.2.
Читать дальше