GESTIONE DEI PERMESSI IN GNU/LINUX

Introduzione
Questi sistemi hanno una gestione dei permessi unico e particolarmente adatto su un sistema del tipo multiuser.
In questa sezione descriveremo i comandi che si possono adoperare per la gestione dei permessi su file e directory.


Permessi sui file
( u=user, g=group, o=other, a=all, 1/X=esecuzione, 2/W=scrittura, 4/R=lettura)
chmod ugo+rxw nomefile (assegna i permessi di lettura,esecuzione e scrittura a tutti)

analogamente
chmod 777 nomefile

o anche
chmod a+777

chmod -R o+r nomecartella (per i gruppi other, assegna i permessi di lettura alla cartella e con dell'opzione -R alle subcartelle nidificate)

chmod -R o-wx nomecartella (da notare il segno meno; per i gruppi other, toglie i permessi di scrittura ed esecuzione sulla cartella e subcartella)

chown proprietario nomefile (cambia il proprietario del file o cartella)

chown proprietario:nuovogruppo nomefile (cambia il proprietario e il gruppo del file o cartella)

chgrp nuovogruppo nomefile (cambia il gruppo del file o cartella)

chown -R dom:admin cartelladom (con l'opzione -R cambia i permessi nelle subdirectory)

Permessi Speciali - SUID, SGID e Stiky
A ciascun file o directory e possibile assegnare un permesso speciale e precisamente:
SUID(Set User Identification), SGID(Set Group ID) e stiky.
SUID, è valido per i file di proprietà di un utente; impostando questa modalità ad un file, chiunque esegue quel file ottiene gli stessi permessi dell'utente proprietario(limitatamente all'esecuzione) nel caso di un file di root impostato con SUID, rappresenterebbe un problema per la sicurezza.

SUID
Per trovare tutti i file con SUID impostato il comando è:
find / -perm +u+s

un esempio di programma suid è /bin/ping
ls -l /bin/ping
-rwsr-xr-x 1 root root 35108 16 giu 2004 /bin/ping
Da notare il carattere s nella prima terzina che rappresenta il bit suid impostato.

Se il file /bin/ping non fosse eseguibile si avrebbe:
-rwSrw-rw- 1 root root 35108 16 giu 2004 /bin/ping

Per impostare la modalità SUID al programma /bin/programma che ha di per se modalità ottale 755 eseguire:
chmod 4755 /bin/programma
oppure
chmod u+s /bin/programma

chmod 0755 /bin/programma (per disattivarla)
oppure
chmod u-s /bin/programma (per disattivarla)

SGID
SGID, ha le stesse funzionalità di SUID, applicata però al gruppo piuttosto che all'utente.
Impostando il bit SGID ad una directory, qualsiasi file creato all'interno della stessa ereditera` lo stesso gruppo di appartenenza della directory
Assume dunque una funzionalità importante quando è applicata ad una cartella e cioè tutti i file dentro la directory appartengono al gruppo di afferenza della directory.

Per impostare la modalità SGID eseguire:
chmod 2755 /home/cartella
oppure
chmod g+s /home/cartella

chmod 0755 /home/cartella (per disattivarla)
oppure
chmod g-s /home/cartella (per disattivarla)

Stiky
La modalità stiky applicata ad un directory consente la cancellazione dei file solo ai legittimi proprietari.
Un esempio di directory stiky bit è /tmp:
ls -la / |grep tmp

drwxrwxrwt 18 root root 4096 10 ago 06:48 tmp
da notare il carattere t nella terza terzina il quale indica che la directory è stiky.

chmod 1777 /home/comune (per impostare la directory in stiky)
oppure
chmod o+t /home/comune (per impostare la directory in stiky)

chmod 0777 /home/comune (per disattivare la modalità stiky)
oppure
chmod o-t /home/comune (per disattivare la modalità stiky)

Impostazione degli Attributi con chattr
Oltre ai permessi esaminati finora, esiste la possibilità di impostare ulteriori attributi a file e directory attraverso il comando chattr. Col segno "+" si imposta l'attributo viceversa col segno "-".

chattr +a nome_file (fa in modo che un file può essere aperto in scrittura solo in modalità append)

chattr +c nome_file (fa in modo che il file venga compresso automaticamente prima di essere scritto su disco e decompresso durante l'apertura del file)

chattr +i nome_file (rende il file immutabile, non può essere eliminato, alterato, rinominato o linkato)

chattr +d nome_file (un file con tale attributo impostato non è candidato per il backup via dump)

chattr +u nome_file (tale attributo, permette di recuperare il contenuto di un file anche se viene cancellato)

chattr +s nome_file (quando il file viene cancellato, ne azzera i blocchi sul disco)

e con questo finisce questo mini-HowTo :)
bye :)