ניהול הרשאות, משתמשים וקבוצות בלינוקס

מחבר:
בתאריך:

ניהול משתמשים

כיצד להוסיף משתמש?

$ sudo adduser [username]

אחרי שתריץ את הפקודה המערכת תבקש ממך להזין את הססמה עבור המשתמש, את השם המלא, ועוד פרטים.

כיצד לצפות במידע על המשתמשים?

כל המידע אודות המשתמשים במערכת מאוחסן בקובץ קונפיגורציה אחד, וכדי לצפות בו נשתמש בפקודה:

$ sudo vim /etc/passwd

אחרי שנפתח את הקובץ ניתן לצפות ולערוך את המידע אודות המשתמשים.

כיצד לשנות את ססמת המשתמש?

$ sudo passwd [username]

ועכשיו לינוקס יבקש ממך להזין את הססמה החדשה עבור המשתמש.

כיצד למחוק משתמש?

$ sudo userdel [username]

 

 

ניהול קבוצות

משתמשים בקבוצות כדי לתת לקבוצות של משתמשים גישה לקבצים ולתיקיות או כדי למנוע גישה מקבוצה של משתמשים. יש בזה הגיון כשעל אותה מערכת נמצאים עשרות או מאות משתמשים ובמקום לתת לכל אחד מהם הרשאת גישה, מקבצים אותם לקבוצה ואז מעניקים לקבוצה את ההרשאה.

כיצד מוסיפים קבוצה?

$ sudo groupadd [groupname]

כיצד מוחקים קבוצה?

$ sudo groupdel [groupname]

כיצד מצרפים משתמש לקבוצה?

$ sudo adduser [username] [groupname]

כיצד מוחקים משתמש מקבוצה?

$ sudo deluser [username] [groupname]

כל המידע אודות הקבוצות מאוחסן בקובץ קונפיגורציה אחד, וכדי לצפות בו נשתמש בפקודה:

$ sudo vim /etc/group

 

הרשאות

בעולם הלינוקס כשנתקל בהרשאות תהיה להם, במקרים רבים, צורה של 3 ספרות. לדוגמה:

777
755
644

3 הספרות מתייחסות ל-3 הקבוצות שיכולות להשתמש בקובץ או בתיקייה:

  • owner - הרשאות של הבעלים של הקובץ (הספרה הראשונה)
  • group - הרשאות הקבוצה שרשאית להשתמש בקובץ (הספרה השנייה)
  • all users - יתר המשתמשים שאינם משתייכים ל-2 הקבוצות האחרות (הספרה השלישית)

 

לכל אחת מהקבוצות ניתן לתת אחת מ-3 רמות של הרשאה:

  • read - הקבוצה רשאית לקרוא את הקובץ
  • write - הקבוצה רשאית לכתוב או לערוך את הקובץ
  • execute - הקבוצה רשאית להריץ את הקובץ. לדוגמה, הרצה של קוד של PHP

נציב 4 כדי להעניק לקבוצה הרשאה לקרוא את הקובץ בלבד (read) בלי יכולת לערוך או לנהל את הקובץ.
2 מאפשר לערוך את הקובץ (write) , ו-1 מאפשר להריץ (execute) .

לדוגמה, כדי לתת לקבוצה את היכולת להריץ סקריפט של PHP ניתן לה הרשאה של 1. וכדי לתת לקבוצה את הרשות לקרוא קובץ ניתן לה הרשאה של 4.

כדי לתת יותר מרמת הרשאה אחת מחברים את המספרים. לדוגמה, בשביל לתת לקבוצה יכולת לקרוא את הקובץ וגם להריץ אותו, ניתן להם הרשאה של 5 (1 + 4). 4 בשביל הקריאה, ו-1 בשביל ה- execute.

כדי לתת לקבוצה הרשאה מלאה, נעניק להם 7 (1 + 2 + 4 = 7) 1 בשביל הרצה של הקובץ, 2 בשביל עריכה, ו-4 בשביל קריאה.

השיטה של שימוש במספרים כדי לציין את רמת ההרשאה נקראת השיטה הבינרית, והשיטה הנוספת משתמשת באותיות.

  • r = 4
  • w = 2
  • x = 1

לפיכך,

rwxrwxrwx

נותן הרשאה מלאה לבעלים, הקבוצה וכל היתר (777).

וכך תראה הרשאה 755:

rwxr-xr-x

לבעלים יש הרשאה מלאה (rwx) או 7.
לקבוצה וליתר יש הרשאה לקרוא ולהריץ את הקבצים (r-x) או 5.

כיצד לצפות ברמת ההרשאה של כל הקבצים והתיקיות?

$ ls -l

ואז נקבל תוצאה דומה לזו:

drwxr-xr-x 2 owner group 4096 2017-06-09 12:07 foldername
  • d סוג הקובץ (שהוא תיקייה, directory)
  • rwxr-xr-x ההרשאות
  • owner שם המשתמש שהוא הבעלים
  • group שם הקבוצה
  • 4096 גודל הקובץ
  • 2017-06-09 12:07 תאריך השינוי האחרון
  • foldername שם הקובץ או התיקייה

כיצד משנים את ההרשאות לקובץ או תיקייה?

$ sudo chmod 755 [filename]

כיצד לשנות את ההרשאות לתיקייה וגם לכל הקבצים והתיקיות שבתוכה?

$ sudo chmod 755 [foldername] -R

משמעות הדגל R הוא שינוי רקורסיבי, על התיקייה וכל כל התוכן שלה.

 

כיצד לשנות את הבעלות על קובץ או תיקייה

כיצד לשנות את הבעלות עבור משתמש?

$ sudo chown [username] [filename]

וכדי לשנות את הבעלות בשביל התיקייה וכל מה שבתוכה נשתמש בדגל R

$ sudo chown -R [username] [foldername]

כיצד לשנות את הבעלות עבור קבוצה?

$ sudo chgrp [groupname] [filename]

וכדי לשנות את הבעלות בשביל התיקייה וכל מה שבתוכה נשתמש בדגל R

$ sudo chgrp -R [groupname] [foldername]

 

כיצד להשתמש בידע במדריך כדי לאבטח את האפליקציה?

הרבה פעמים כשעובדים לאורך זמן על פרויקט ובפרט בצוות הכולל מספר אנשים הבעלות וההרשאות אינם עקביים בגלל שמתכנתים עסוקים בלגרום לדברים לעבוד במקום באבטחת האפליקציה. לכן מדי פעם אני אוהב להריץ את הפקודות הבאות על תיקיית השורש של האתר כדי לאבטח את האתר ולהעניק למערכת הקבצים בעלות אחידה:

$ sudo chown -R username:group public_html

$ cd public_html

$ find . -type d -exec chmod 0755 {} \;

$ find . -type f -exec chmod 0644 {} \;
  • הפקודה chown מעניקה בעלות על כל הקבצים והתיקיות לאותו משתמש וקבוצה.
  • כל התיקיות מקבלות הרשאה 755 - הרשאה לקרוא ולהוציא לפועל לכולם בעוד היכולת לכתוב שמורה לבעלים.
  • כל הקבצים מקבלים הרשאה 644 - הבעלים רשאי לקרוא ולכתוב לקובץ וכל היתר רשאים לקרוא בלבד.
  • שימו לב! סט הפקודות הזה הוא מאוד חזק ומסוכן בידיים הלא נכונות. השתמשו בו רק אם אתם בטוחים שאתם יודעים מה אתם עושים.

 

אולי גם זה יעניין אותך:

מערכת הקבצים של Linux - מה שרצית לדעת ולא העזת לשאול

לינוקס - צינורות והפניות

עריכת קבצים על Linux באמצעות vim

 

לכל המדריכים בסדרת הלינוקס

 

אהבתם? לא אהבתם? דרגו!

0 הצבעות, ממוצע 0 מתוך 5 כוכבים

 

 

הוסף תגובה חדשה

 

= 7 + 6