Entendendo as permissões no Linux

No post anterior, falamos sobre a criação de usuários. Agora, vamos falar sobre as permissões de acesso nos diretórios que foram criados.

A primeira coisa que temos que entender quando falamos em controlar os acessos, são as permissões.

Permissão, antes de tudo, é o que o usuário pode ou não fazer quando está logado no sistema.

Quando executamos o comando:

# ls -ld /mnt/private/
drwxr-xr-x 2 root private 1024 2009-01-02 00:27 /mnt/private/

Na saída do comando acima, temos várias informações sobre o diretório /mnt/private… mas o que vamos analisar nessa saída, são as permissões do diretório, representadas pela sopa de letrinhas rwxr-xr-x.

Ahn, para conhecer os campos da saída do comando ls de forma detalhada, pode dar uma lida no post em que falei sobre o comando ls.

Bem, vamos lá… essa sopa de letrinhas que comentei acima, é a responsável por definir o que é chamado de permissão no Linux. Isso quer dizer que, esse conjunto de letras, irá permitir que usuários possam gravar, ler, ou entrar em um diretório!

No Linux, qualquer arquivo ou diretório precisa ter um dono, um grupo e permissões; ou seja, vamos ter 3 permissões e 3 pessoas que vão usar essas permissões.

Permissoes e usuariosNa tabela acima temos as permissões que podemos designar para os usuários (rwx) e as pessoas que vão usar as permissões (ugo).

Isso quer dizer que sempre temos que falar se o usuário (u), poderá ler, escrever ou executar um arquivo ou diretório. Ou ainda, se o grupo (g) desse diretório vai poder ler, escrever, ou executar o arquivo ou diretório. E por último, se os outros (o), vão poder ler, escrever ou executar esse arquivo ou diretório.

Lembrando aqui que outros (other), são os usuários cadastrados no sistema que não fazem parte do grupo e nem são os donos arquivo ou diretório! É o resto 😛 .

Para mudar as permissões, usamos o comando chmod (change mode). Vamos aprender a usar esse comando. Eu comentei que damos permissão para 3 pessoas: user, group, other e que temos 3 tipos de permissões: read, write, executable.

Sabendo disso, precisamos apenas configurar as permissões que queremos para as pessoas. Ah,e detalhe… cada bloquinho de rwx, representa permissão para alguém! Exemplo:

# cd /tmp/

# touch arquivo.txt

# ls -l arquivo.txt
-rw-r–r– 1 root root 0 2009-01-28 05:54 arquivo.txt

Acima, apenas criamos um arquivo no diretório /tmp.Vamos analisar as permissões: rw-r–r– .
Como falei, cada bloquinho de rwx indica a permissão para alguém… Então, se separarmos as permissões do arquivo que acabamos de criar temos:

Permissoes

Nas permissões acima, o dono (owner) terá permissão de leitura (r) e gravação (w). O grupo (g) e os outros (o) terão permissão somente de leitura (r).
Agora, vamos mudar as permissões do arquivo.txt:

# chmod u=rwx,g=rw,o=r arquivo.txt

# ls -l arquivo.txt
-rwxrw-r– 1 root root 0 2009-01-28 05:54 arquivo.txt

Acima, apenas dissemos que o dono (u) tem permissão total, leitura(r), gravação(w) e execução (x); o grupo tem permissão de leitura (r) e gravação (g) e o resto do povo, isto é, os outros (o) tem apenas permissão de leitura (r).

E onde tem os tracinhos ‘‘, quer dizer que não tem permissão nenhuma!

Essa forma de dar permissões (usando letras) é chamada de literal; e usa operadores aritméticos… No exemplo, usei o ‘=’; mas além dele temos:

= Aplique exatamente assim

+ Adicionar mais essa

Tirar essa

Agora, pensando no diretório private, que falei logo no início do post. O pessoal que faz parte do grupo private, deve ter permissão para entrar, ler e escrever nesse diretório! Mas o usuário smith e qualquer outra pessoa que não faz parte do grupo, nem pode ver o que tem lá dentro!

Por padrão, a permissão para qualquer diretório criado é rwxr-xr-x. Então, os usuários que fazem parte do grupo private, só podem entrar e ler o conteúdo do diretório. Vamos fazer um teste tentando criar um arquivo dentro do diretório private com algum usuário (trinity ou neo):

$ whoami
trinity

trinity@nixi:~$ cd /mnt/private/

$ touch trinity.txt
touch: cannot touch `trinity.txt’: Permissão negada

Bem, a trinity, apesar de fazer parte do grupo private, não conseguiu criar um arquivo dentro do diretório! Isso acontece por conta das permissões! Vejam:

# ls -ld /mnt/private/
drwxr-xr-x 2 root private 1024 2009-01-02 00:27 /mnt/private/

No bloquinho de permissões do grupo, diz que o grupo pode ler e executar. No caso, executar seria entrar no diretório… e para escrever… nada!

Por isso que a trinity não conseguiu criar o arquivo dela! Vamos mudar isso… afinal de contas ela faz parte da diretoria, né?

Então, como root, vamos aplicar permissão de escrita para o grupo no diretório private:

# chmod u=rwx,g=rwx,o= /mnt/private

No comando acima, usando a forma literal, estamos aplicando permissão total para o dono (u), o grupo (g), e, como é o diretório que só o pessoal da diretoria vai acessar, não colocamos nada de permissão para outros (o=).

Vejam como ficou:

# ls -ld /mnt/private/
drwxrwx— 2 root private 1024 2009-01-02 00:27 /mnt/private/

Bom, aproveitando, vejam agora também a outra forma que também é utilizada para dar permissões; é o modo octal (usando números)!

Vejam a tabela:

1 – execução (x)

2 – gravação (w)

4 – leitura (r)

É a mesma lógica… só que agora, usando números!!! Sendo assim, as permissões que definimos acima, usando números, ficaria assim:

# chmod 770 /mnt/private/

# ls -ld /mnt/private/
drwxrwx— 2 root private 1024 2009-01-02 00:27 /mnt/private/

E o valor das permissões para cada pessoa, vem da soma: 4+2+1 = 7.

É importante falar que os dois modos de definir permissão (literal e octal), são bons! Mas a melhor parte da notícia, é que é você quem escolhe qual dos dois melhor se adapta.

Bem, para não se estender mais aqui, no próximo post, vou continuar falando sobre permissões! Até lá! 🙂

Anúncios

Criando usuários e grupos

No post anterior, falei sobre os arquivos que são utilizados na administração dos usuários.

Agora, vamos ver comandos para criação de usuários e grupos. Para facilitar, vamos ver um cenário que envolvam esses comandos!

Imaginem o seguinte: começamos hoje a empresa Zion S/A. E, como a empresa está começando agora, temos poucos funcionários! Na verdade, 3 funcionários, para ser mais exata… e aqui, existem diretórios que os usuários poderão acessar, e outros que eles não podem nem dar uma espiadinha!

Para isso, vamos usar 4 terminais:

Terminal 1 – vamos logar como root
Terminal 2 – Usuário trinity a ser criado ainda
Terminal 3 – Usuário neo a ser criado ainda
Terminal 4 – Usuário smith a ser criado ainda

Nossa primeira tarefa, é criar os usuários que vamos administrar! O comando que adiciona usuários, é o adduser. Vou mostrar aqui a saída do comando adduser para criar o usuário trinity no sistema:

# adduser trinity
Adding user `trinity’ …
Adding new group `trinity’ (1001) …
Adding new user `trinity’ (1001) with group `trinity’ …
Creating home directory `/home/trinity’ …
Copying files from `/etc/skel’ …
Enter new UNIX password:
Retype new UNIX password:
passwd: senha atualizada com sucesso
Modificando as informações de usuário para trinity
Informe o novo valor ou pressione ENTER para aceitar o padrão
Nome Completo []: Trinity
Número da Sala []:
Fone de Trabalho []:
Fone Doméstico []:
Outro []:
A informação está correta? [s/N] s

Vejam que o comando já pede para definir uma senha para o usuário e podemos colocar informações sobre o usuário tais como nome, telefone, número de sala, etc.

Para criar os demais usuários:

# adduser neo

# adduser smith

No post anterior, vimos que o arquivo que guarda as informações dos usuários é o /etc/passwd. Para checar os usuários que acabamos de criar, vamos olhar como está o arquivo:

# tail -3 /etc/passwd
trinity: x:1001:1001:Trinity,,,:/home/trinity:/bin/bash
neo: x:1002:1002:Neo,,,:/home/neo:/bin/bash
smith: x:1003:1003:Smith,,,:/home/smith:/bin/bash

Os usuários estão criados… e a senha deles, já estão guardadas criptografadas no /etc/shadow:

# tail -3 /etc/shadow
trinity:$1$S/0yDNO.$HL8QXJ77ChzruQ2xKM6Zw0:14245:0:99999:7:::
neo:$1$sy2V2cMG$IFIp0OmcvJEBT953/pb4R/:14245:0:99999:7:::
smith:$1$oeNNr8oo$QrjHUuoYCv54LaRDmcffv0:14245:0:99999:7:::

E eles também já tem o seu grupo pessoal:

# tail -3 /etc/group
trinity: x:1001:
neo: x:1002:
smith: x:1003:

Já temos os usuários criados, com seus respectivos grupos pessoais e senhas. Então, no terminal que estamos como root, vamos criar dentro do /mnt os diretórios generics e private; o diretório generics, será acessado por todos da empresa, e o diretório private, será acessado pelo pessoal da diretoria:

# cd /mnt/
# mkdir generics private

Conferindo os diretórios criados:

# ls
generics  private

Agora que já temos os diretórios, vamos criar os grupos! Para facilitar, vamos criar os grupos generics e o private (só prá ficar bonito…) mas poderia ser qualquer nome!

Para criar um grupo no sistema, usamos o comando groupadd:

# groupadd private

# groupadd generics

Como disse anteriormente, os grupos são armazenados no /etc/group; vamos conferir se os grupos que criamos estão lá:

# tail -2 /etc/group
private: x:1004:
generics: x:1005:

Grupos criados, nosso próximo passo, é ir até o diretório /mnt e definir os grupos dos diretórios que criamos, pois, se executarmos o comando ls -ld no diretório /mnt, veremos que o dono dos diretórios que criamos é o root, e o grupo também é root:

# ls -ld /mnt/*
drwxr-xr-x 2 root root 1024 2009-01-02 00:27 /mnt/generics
drwxr-xr-x 2 root root 1024 2009-01-02 00:27 /mnt/private

Isso acontece porque, quando um usuário cria um arquivo ou diretório na máquina, acaba ficando com o seu grupo particular; como foi o root quem criou o diretório, temos que tirar o grupo root e colocar um grupo público para inserirmos usuários nesse grupo.

Como será um diretório público, vamos deixar o root como sendo o dono, e mudar apenas o grupo. O comando que altera um grupo de um arquivo ou diretório, é o chgrp (change group):

# chgrp private private/

# chgrp generics generics/

# ls -l
total 2
drwxr-xr-x 2 root generics 1024 2009-01-02 00:27 generics
drwxr-xr-x 2 root private  1024 2009-01-02 00:27 private

Agora, que já mudamos os grupos dos diretórios, podemos inserir os usuários nos grupos! Os usuários neo e trinity, são os diretores de Zion… então, eles terão acesso tanto ao diretório generics, como o private. Já o usuário smith, poderá acessar somente o diretório generics… ele tem que ficar bem longe do diretório private!

Aproveitando… podemos abrir os outros terminais que falei no início do post, se tornando trinity em um, no outro neo e smith no terceiro. Para virar o usuário, utilizamos o comando su (substitute user).

Se você estiver no terminal logado como root, não será solicitado a senha; caso você seja um usuário comum, será solicitado a senha do usuário que você deseja se tornar. Por exemplo, estou no terminal logada como ivani. Caso queira virar trinity, executo o comando:

$ su – trinity
Password:

Vejam que ele pede a senha… caso forneça a senha correta, irei me tornar usuário trinity. É sempre bom usar o ‘‘ (hífen) quando for mudar de usuário, para carregar as variáveis de ambiente do usuário que você vai se tornar.

Depois que viramos os usuários, vamos no terminal onde estamos como root, e vamos inserir os usuários no grupo. O comando para inserir usuários em um grupo, é o gpasswd. A opção -a, no comando, indica que vamos adicionar usuários; veja abaixo, como inserir os usuários nos respectivos grupos; trinity e neo no grupos private e generics e o smith no grupo generics:

# gpasswd -a trinity private
Adicionando usuário trinity ao grupo private

# gpasswd -a trinity generics
Adicionando usuário trinity ao grupo generics

# gpasswd -a neo private
Adicionando usuário neo ao grupo private

# gpasswd -a neo generics
Adicionando usuário neo ao grupo generics

# gpasswd -a smith generics
Adicionando usuário smith ao grupo generics

Para checar a lista de grupos que o usuário participa, usamos o comando groups:

# groups trinity
trinity : trinity private generics

# groups neo
neo : neo private generics

# groups smith
smith : smith generics

Se checarmos o /etc/group, veremos que nos grupos que criamos, os usuários já estão incluídos:

# tail -2 /etc/group
private: x:1004:trinity,neo
generics: x:1005:trinity,neo,smith

Bem, a fase de criação dos usuários e grupos acabou. Temos então, 2 usuários que participam dos grupos private e generics, e um usuário que participa do grupo generics.

O próximo passo, é analisar as permissões do diretório que criamos! Mas isso, vai ficar para o próximo post 🙂 !

Até lá! 😀