Tech

Hogyan kezelj jogosultságokat a parancssor segítségével?

iranyonline 0

A digitális világban a biztonság alapköve a jogosultságkezelés. Legyen szó egy személyes fájlról, egy webkiszolgálón futó alkalmazásról, vagy egy vállalati adatbázisról, a hozzáférések megfelelő beállítása kulcsfontosságú az adatok integritásának és bizalmasságának megőrzéséhez. Bár grafikus felületek is léteznek erre a célra, a parancssor az igazi arzenál azok számára, akik teljes kontrollra, hatékonyságra és automatizálhatóságra vágynak. Ez a cikk részletesen bemutatja, hogyan kezelhetjük a fájl- és könyvtárjogosultságokat a parancssor segítségével, a legalapvetőbb lépésektől a haladó technikákig.

Miért a Parancssor a Jogosultságkezelés Királya?

Elsőre talán ijesztőnek tűnhet a fekete terminálablak, de a parancssori jogosultságkezelés számos előnnyel jár:

  • Hatékonyság: Gyorsan beállíthatunk jogosultságokat több fájlra vagy könyvtárra egyszerre, rekurzívan.
  • Pontosság: Teljes kontrollt biztosít a beállítások felett, minimalizálva a hibalehetőségeket.
  • Automatizálhatóság: A parancsok könnyedén beépíthetők shell scriptekbe, így automatizálhatók a rutin feladatok, például új felhasználók létrehozásakor vagy alkalmazások telepítésekor.
  • Távfelügyelet: SSH-n keresztül távolról is végezhetünk beállításokat, ami elengedhetetlen a szerverek kezeléséhez.
  • Átláthatóság: A parancsok végrehajtása naplózható, így nyomon követhető, ki mikor és milyen jogosultságot módosított.

Alapvető Fogalmak: Felhasználók, Csoportok és Engedélyek

Mielőtt belevágnánk a parancsokba, tisztázzuk az alapokat. A Unix-szerű rendszerekben (mint a Linux vagy a macOS) a fájl- és könyvtárjogosultságok három kategóriába sorolhatók:

  • Tulajdonos (User – u): Az a felhasználó, aki a fájlt létrehozta, vagy akire a tulajdonjogot átruházták.
  • Csoport (Group – g): Az a csoport, amelyhez a fájl tartozik. A csoport tagjai speciális hozzáférést kaphatnak.
  • Mások (Others – o): Mindenki más, aki nem a tulajdonos és nem tagja a fájlhoz rendelt csoportnak.

Mindegyik kategóriára háromféle engedély (permission) vonatkozik:

  • Olvasás (Read – r): Lehetővé teszi a fájl tartalmának megtekintését vagy a könyvtár tartalmának listázását.
  • Írás (Write – w): Lehetővé teszi a fájl tartalmának módosítását, törlését vagy egy könyvtárban új fájlok létrehozását/törlését.
  • Végrehajtás (Execute – x): Lehetővé teszi egy program vagy szkript futtatását, vagy egy könyvtárba való belépést (navigációt).

Ezeket az engedélyeket megtekinthetjük az ls -l parancs segítségével:

-rw-r--r-- 1 user group 1024 Jan 1 10:00 myfile.txt
drwxr-xr-x 2 user group 4096 Jan 1 10:00 mydirectory/

Az első karakter (- vagy d) jelzi, hogy fájlról vagy könyvtárról van szó. Utána jön a három, háromkarakteres blokk (rwx, r-x, r--), amelyek rendre a tulajdonos, a csoport és a többiek engedélyeit mutatják.

A CHMOD Parancs: Engedélyek Módosítása

A chmod (change mode) parancs a leggyakrabban használt eszköz az engedélyek beállítására. Kétféle módon használható: szimbolikusan és oktális számokkal.

Szimbolikus Mód

Ez a módszer emberbarátabb, és lehetővé teszi az engedélyek növelését, csökkentését vagy pontos beállítását. A szintaxisa: chmod [ki_kire] [operátor] [engedély] [fájl/könyvtár]

  • Ki kire: u (tulajdonos), g (csoport), o (mások), a (összes)
  • Operátor: + (hozzáadás), - (elvétel), = (pontos beállítás)
  • Engedély: r (olvasás), w (írás), x (végrehajtás)

Példák:

  • chmod u+x myscript.sh: Hozzáadja a végrehajtási jogot a tulajdonosnak.
  • chmod g-w myfile.txt: Elveszi az írási jogot a csoporttól.
  • chmod o=r myfile.txt: A többieknek csak olvasási jogot ad (és elvesz minden mást).
  • chmod ug+rw,o-rwx mydir/: A tulajdonosnak és a csoportnak olvasási és írási jogot ad, a többiektől elvesz minden jogot a mydir/ könyvtáron.
  • chmod a+rwx public_share/: Mindenkinek teljes jogot ad (EZT LEHETŐLEG KERÜLJÜK!).

Oktális (Numerikus) Mód

Ez a módszer kompaktabb, és gyakran használják scriptekben vagy tapasztalt felhasználók. Minden engedélynek van egy numerikus értéke:

  • r (olvasás) = 4
  • w (írás) = 2
  • x (végrehajtás) = 1
  • - (nincs jog) = 0

Az engedélyek összegzésével kapunk egy-egy számot a tulajdonosra, a csoportra és a többiekre. Ezt a három számot egybeírva kapjuk az oktális kódot.

  • 7 = rwx (4+2+1)
  • 6 = rw- (4+2+0)
  • 5 = r-x (4+0+1)
  • 4 = r-- (4+0+0)
  • 0 = --- (0+0+0)

Gyakori beállítások és példák:

  • chmod 755 myscript.sh: A tulajdonosnak teljes jog (7), a csoportnak és a többieknek olvasás és végrehajtás (5). Ez tipikus szkriptjogosultság.
  • chmod 644 myfile.txt: A tulajdonosnak olvasás és írás (6), a csoportnak és a többieknek csak olvasás (4). Tipikus fájljogosultság.
  • chmod 700 mysecretfolder/: A tulajdonosnak teljes jog (7), másoknak semmi (0). Biztonságos magánkönyvtár.

Rekurzív Jogosultságmódosítás (-R opció)

A -R (recursive) opcióval egy könyvtárban lévő összes fájl és alkönyvtár jogosultságait is beállíthatjuk:

chmod -R 755 my_project/

Ez beállítja a my_project/ könyvtár és minden benne lévő elem jogosultságait 755-re. Fontos tudni, hogy ez a beállítás mindenre vonatkozni fog, függetlenül attól, hogy fájlról vagy könyvtárról van szó. Gyakran javasolt megfontoltan használni, vagy külön szabályokat alkalmazni fájlokra és könyvtárakra (pl. find . -type d -exec chmod 755 {} + és find . -type f -exec chmod 644 {} +).

Speciális Jogosultságok (Oktális Előtag)

Az oktális mód lehetővé teszi speciális bitek beállítását is, melyek az első (negyedik) számjeggyel adhatók meg:

  • 4xxx: SUID (Set User ID) – Ha egy végrehajtható fájlhoz van beállítva, akkor a fájl a tulajdonos jogosultságaival fut (pl. sudo).
  • 2xxx: SGID (Set Group ID) – Ha egy végrehajtható fájlhoz van beállítva, a fájl a csoport jogosultságaival fut. Ha egy könyvtárhoz van beállítva, az abban létrehozott új fájlok és alkönyvtárak automatikusan megöröklik a szülőkönyvtár csoportját.
  • 1xxx: Sticky Bit – Könyvtárhoz rendelve azt jelenti, hogy a könyvtáron belüli fájlokat csak azok tulajdonosai (vagy a root) törölhetik vagy nevezhetik át. Gyakori a /tmp könyvtáron.

Példák:

  • chmod 4755 /usr/bin/some_tool: A some_tool a tulajdonos (root) jogosultságaival fut.
  • chmod 2775 shared_docs/: Az shared_docs/ könyvtárban létrehozott fájlok a könyvtár csoportját öröklik.
  • chmod 1777 /tmp: A /tmp egy publikus könyvtár, ahol mindenki hozhat létre fájlokat, de csak a sajátját törölheti.

A CHOWN és CHGRP Parancsok: Tulajdonjog és Csoport Hozzárendelés

A chown (change owner) parancs a fájlok és könyvtárak tulajdonosának és/vagy csoportjának megváltoztatására szolgál, míg a chgrp (change group) csak a csoportot módosítja.

chown

A chown parancs használatához általában root jogosultság szükséges, mivel biztonsági okokból egy egyszerű felhasználó nem adhat át tulajdonjogot másnak.

  • chown [új_tulajdonos] [fájl/könyvtár]: Csak a tulajdonost változtatja meg.
  • chown :[új_csoport] [fájl/könyvtár]: Csak a csoportot változtatja meg (ugyanaz, mint a chgrp).
  • chown [új_tulajdonos]:[új_csoport] [fájl/könyvtár]: Módosítja a tulajdonost és a csoportot is.

Példák:

  • sudo chown www-data /var/www/html/index.php: A index.php fájl tulajdonosa a www-data felhasználó lesz.
  • sudo chown :developers my_project/: A my_project/ könyvtár csoportja a developers lesz.
  • sudo chown sysadmin:admins /etc/myapp/config.conf: A config.conf tulajdonosa sysadmin, csoportja admins lesz.

A -R opció itt is használható rekurzív módosításhoz:

sudo chown -R www-data:www-data /var/www/html/

Ez különösen hasznos webkiszolgálók beállításakor, ahol a webes fájloknak általában a webkiszolgáló felhasználójának (pl. www-data, apache, nginx) és csoportjának kell lenniük.

chgrp

A chgrp parancs egyszerűbb, mivel csak a csoportot módosítja. A szintaxisa:

chgrp [új_csoport] [fájl/könyvtár]

Ahhoz, hogy valaki egy fájl csoportját megváltoztassa, vagy a fájl tulajdonosának kell lennie, vagy root jogosultsággal kell rendelkeznie, és a célcsoportnak léteznie kell, és a felhasználónak, aki a parancsot kiadja, a célcsoport tagjának kell lennie (vagy rootnak).

Példa:

chgrp developers project_docs.odt

Ez átállítja a project_docs.odt fájl csoportját developers-re.

UMASK: Az Alapértelmezett Jogosultságok Kezelése

Amikor egy új fájlt vagy könyvtárat hozunk létre, a rendszer automatikusan hozzárendel egy alapértelmezett jogosultságkészletet. Ezt az alapértelmezett viselkedést a umask (user file-creation mode mask) parancs szabályozza.

A umask egy három vagy négy oktális szám, amely meghatározza, hogy milyen bitek legyenek *letiltva* az új fájlok és könyvtárak alapértelmezett jogosultságaiból.

  • Fájlok alapértelmezett jogosultsága: 666 (rw-rw-rw-)
  • Könyvtárak alapértelmezett jogosultsága: 777 (rwxrwxrwx)

A umask értéke kivonódik ezekből az alapértelmezett értékekből. Például, ha a umask értéke 022:

  • Fájlok: 666 - 022 = 644 (rw-r–r–)
  • Könyvtárak: 777 - 022 = 755 (rwxr-xr-x)

Parancsok:

  • umask: Megjeleníti az aktuális umask értéket.
  • umask 002: Beállítja az új umask értéket. Gyakori érték szervereken, ahol a csoporttagoknak írási joga van az új fájlokhoz/könyvtárakhoz.

A umask általában a felhasználói profilfájlokban (pl. ~/.bashrc, ~/.profile) van beállítva.

ACL-ek (Access Control Lists): Részletesebb Engedélykezelés

A hagyományos Unix/Linux jogosultságok (felhasználó, csoport, mások) néha nem elegendőek, amikor komplexebb forgatókönyveket kell kezelni. Például, ha egy fájlhoz három különböző felhasználónak és két különböző csoportnak kell egyedi jogosultságokat adni. Ekkor jönnek a képbe az ACL-ek (Access Control Lists).

Az ACL-ek lehetővé teszik további felhasználók és csoportok számára specifikus engedélyek hozzárendelését egy fájlhoz vagy könyvtárhoz, anélkül, hogy megváltoztatnánk az alapvető tulajdonost és csoportot.

Ehhez a getfacl és setfacl parancsokat használjuk. Fontos, hogy a fájlrendszer támogassa az ACL-eket (pl. ext4, XFS).

getfacl: ACL-ek Megtekintése

A getfacl paranccsal megtekinthetjük egy fájl vagy könyvtár ACL-jeit:

getfacl myfile.txt

A kimenet tartalmazza az alapvető jogosultságokat, plusz az esetleges ACL bejegyzéseket. Az ACL-ekkel rendelkező fájloknál az ls -l kimenetében egy + jel jelenik meg a jogosultságok után.

setfacl: ACL-ek Beállítása

A setfacl paranccsal adhatunk hozzá, módosíthatunk vagy törölhetünk ACL bejegyzéseket. A -m (modify) opcióval módosítunk, a -x (remove) opcióval törlünk.

  • setfacl -m u:john:rw- myfile.txt: Engedélyezi john felhasználónak az olvasást és írást a myfile.txt fájlon.
  • setfacl -m g:devteam:r-x project_folder/: Engedélyezi a devteam csoportnak az olvasást és végrehajtást a project_folder/ könyvtáron.
  • setfacl -x u:john myfile.txt: Eltávolítja john felhasználó ACL bejegyzését.
  • setfacl -b myfile.txt: Töröl minden ACL bejegyzést a fájlról.

A -R (recursive) opcióval itt is rekurzívan módosíthatjuk az ACL-eket.

Fontos ACL fogalmak:

  • Mask (maszk): Az ACL-eknél megjelenik egy maszk bejegyzés, amely korlátozza a megengedett maximális effektív engedélyeket az ACL bejegyzéseknél. A maszkot a setfacl -m m::rwx file paranccsal lehet beállítani. Ha a maszk alacsonyabb engedélyt enged meg, mint az egyedi ACL bejegyzés, akkor a maszk a domináns.
  • Default ACL (alapértelmezett ACL): Könyvtárakon állítható be a -d opcióval. Az alapértelmezett ACL-ek biztosítják, hogy a könyvtárban újonnan létrehozott fájlok és alkönyvtárak automatikusan örököljék az ACL beállításokat. Például: setfacl -d -m u:jane:rwx shared_data/.

Biztonsági Best Practices és Tippek

A jogosultságkezelés nem csak a működésről szól, hanem a biztonságról is. Íme néhány alapelv:

  • A legkisebb jogosultság elve (Principle of Least Privilege): Csak a feltétlenül szükséges jogokat add meg. Ha egy felhasználónak csak olvasásra van szüksége, ne adj neki írási vagy végrehajtási jogot.
  • Ne használj 777-et: Soha, semmilyen körülmények között ne állíts be chmod 777-et publikus szervereken vagy fontos fájlokon! Ez teljes írási, olvasási és végrehajtási jogot ad mindenkinek, ami óriási biztonsági rés.
  • Fájlok vs. Könyvtárak: Ne feledd, hogy a x (végrehajtás) bit másképp viselkedik fájlok és könyvtárak esetében. Fájloknál a futtatásról, könyvtáraknál a belépésről (listing) szól. Egy felhasználónak szüksége van a x bitre egy könyvtáron, hogy beléphessen, még ha csak olvasni is akarja a tartalmát.
  • Tulajdonjog és Csoport Fontossága: A jogosultságok beállítása mellett a fájlok tulajdonosának és csoportjának helyes beállítása is alapvető. Különösen igaz ez webes alkalmazások és szolgáltatások esetében.
  • Rendszeres Ellenőrzés: Időnként ellenőrizd a kritikus fájlok és könyvtárak jogosultságait az ls -l és getfacl parancsokkal.
  • Naplózás: A jogosultságmódosítások naplózása kulcsfontosságú a biztonsági auditokhoz és a problémák felderítéséhez.

Gyakori Forgatókönyvek és Példák

  • Webszerver konfiguráció: 
    sudo chown -R www-data:www-data /var/www/html/
sudo find /var/www/html/ -type d -exec chmod 755 {} +
sudo find /var/www/html/ -type f -exec chmod 644 {} +

    Ez beállítja a webgyökér könyvtárban lévő fájlok és könyvtárak alapértelmezett jogosultságait. A könyvtáraknak végrehajtási jogra van szükségük a listázáshoz/eléréshez (755), a fájloknak pedig csak olvasásra (644).

  • Megosztott projektkönyvtár fejlesztőknek: 
    sudo mkdir /srv/projects/my_dev_project
sudo chown root:devgroup /srv/projects/my_dev_project
sudo chmod 2770 /srv/projects/my_dev_project
sudo setfacl -d -m g:devgroup:rwx /srv/projects/my_dev_project

    Ez létrehoz egy könyvtárat, beállítja a csoportot devgroup-ra, a 2770 jogosultság biztosítja az SGID bitet (új fájlok öröklik a csoportot) és a 770 jogosultságokat (tulajdonos és csoport teljes jog, mások semmi). Az alapértelmezett ACL beállítás biztosítja, hogy az új fájlok és könyvtárak automatikusan örököljék a devgroup írási jogát.

Összefoglalás

A parancssori jogosultságkezelés elsajátítása elengedhetetlen a rendszergazdák, fejlesztők és mindenki számára, aki komolyan veszi a Linux vagy Unix-szerű rendszerek biztonságát és kezelését. A chmod, chown, chgrp, umask és ACL parancsok mélyebb megértésével olyan szintű kontrollt és automatizálási lehetőségeket kapunk, amelyek a grafikus felületeken soha nem lennének elérhetők. Gyakorlás, odafigyelés és a biztonsági elvek betartása mellett a parancssor a legjobb barátunk lesz a jogosultságok világában.

Kapcsolódó

Leave a Reply

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük