'%3e%3cpath%20d='M13.1407%204.34375L9.12548%205.80383L6.93536%209.45402L4.38023%205.80383L0.365019%204.34375L5.11027%2011.6441L0%2019.6745H2.92015L6.57034%2013.8342L10.5856%2019.6745H13.5057L8.39544%2011.6441L13.1407%204.34375ZM17.1559%2012.0091C17.5209%2010.5491%2018.981%209.089%2020.8061%209.089C22.6312%209.089%2024.0913%2010.5491%2024.4563%2012.0091H17.1559ZM20.8061%206.89888C17.1559%206.89888%2014.2357%209.81904%2014.2357%2013.4692C14.2357%2017.4844%2017.1559%2020.0396%2020.8061%2020.0396C23.3612%2020.0396%2025.9164%2018.5795%2027.0114%2016.0244H24.0913C23.7262%2017.1194%2022.2662%2017.8495%2020.8061%2017.8495C18.616%2017.8495%2017.1559%2016.3894%2016.7909%2014.1993H27.0114C27.3764%2010.1841%2024.8213%206.89888%2020.8061%206.89888ZM40.8821%207.2639H37.597L32.1217%2012.7392V7.2639H29.5665V19.6745H32.1217V13.8342L38.327%2019.6745H41.6122L35.0418%2013.1042L40.8821%207.2639ZM48.5475%209.45402C50.0076%209.45402%2051.4677%2010.1841%2051.8327%2011.6441H54.3878C54.0228%208.72398%2051.4677%206.89888%2048.5475%206.89888C44.5323%206.89888%2041.9772%209.81904%2041.9772%2013.4692C41.9772%2017.1194%2044.5323%2020.0396%2048.1825%2020.0396C51.1027%2020.0396%2054.0228%2018.2145%2054.3878%2015.2943H51.8327C51.4677%2016.7544%2050.0076%2017.4844%2048.1825%2017.4844C45.9924%2017.4844%2044.5323%2016.0244%2044.5323%2013.4692C44.5323%2011.2791%2045.9924%209.45402%2048.5475%209.45402ZM58.403%2014.5643C58.038%2017.1194%2057.673%2017.4844%2056.2129%2017.4844H55.4829V20.0396H56.943C58.7681%2020.0396%2060.2281%2018.5795%2060.9582%2014.9293L61.6882%209.81904H66.0684V19.6745H68.6236V7.2639H59.4981L58.403%2014.5643ZM73.7338%2012.0091C74.4639%2010.5491%2075.5589%209.089%2077.7491%209.089C79.5742%209.089%2080.6692%2010.5491%2081.0342%2012.0091H73.7338ZM77.7491%206.89888C73.7338%206.89888%2071.1787%209.81904%2071.1787%2013.4692C71.1787%2017.4844%2073.7338%2020.0396%2077.7491%2020.0396C80.3042%2020.0396%2082.8593%2018.5795%2083.5894%2016.0244H81.0342C80.3042%2017.1194%2079.2091%2017.8495%2077.7491%2017.8495C75.5589%2017.8495%2074.0989%2016.3894%2073.7338%2014.1993H83.9544C84.3194%2010.1841%2081.7643%206.89888%2077.7491%206.89888ZM91.9848%207.2639H85.4145V9.81904H89.4297V19.6745H91.9848V9.81904H96V7.2639H91.9848Z'%20fill='%231D1D1B'%20/%3e%3cpath%20d='M13.1429%202.51607L6.93753%20-0.0390625L0.367188%202.51607L6.93753%204.70618L13.1429%202.51607Z'%20fill='%23136EF6'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_139_18360'%3e%3crect%20width='96'%20height='24'%20fill='%23fff'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Операционные системы
Теория: Права и маски доступа
В UNIX-системах каждый файл связан с владельцем, группой и набором разрешений. Именно они определяют, кто может читать, изменять или выполнять файл. Разрешения обозначаются тремя буквами — rwx, где r (read) отвечает за чтение, w (write) — за запись, а x (execute) — за выполнение. Для каталогов флаг x означает не запуск, а возможность войти внутрь и просматривать содержимое. Без него каталог остаётся «закрытым»: даже если можно читать список файлов, попасть внутрь нельзя.
У каждого файла есть три категории пользователей — владелец, группа и остальные. Если выполнить ls -l, система покажет строку вроде:
Это значит, что владелец может читать и редактировать файл (rw-), а все остальные — только читать (r--). Если первая буква — d, это каталог:
Здесь владелец может всё, а другие — только просматривать и заходить внутрь.
Изменять права можно командой chmod. Она работает в двух режимах: символьном и числовом. В символьном виде запись
добавляет группе право на запись, а
убирает чтение у всех остальных.
В числовом виде права кодируются суммой: 4 — чтение, 2 — запись, 1 — выполнение. Например:
даёт владельцу все права (rwx), а группе и остальным — только чтение и выполнение (r-x). Для конфигурационных файлов обычно используют 644, то есть чтение всем и запись только владельцу.
Права на каталоги устроены чуть иначе. Если задать им 644, то флаг x исчезнет, и внутрь каталога невозможно будет зайти — даже владельцу. Поэтому для каталогов почти всегда применяют 755: владелец может читать, писать и заходить, а другие — только читать и входить. Без этого каталог будет существовать, но окажется недоступным.
Владелец и группа управляются через команду chown.
делает пользователя user владельцем файла, а группу team — связанной с ним. Если нужно изменить только группу, достаточно указать её без имени пользователя:
Такое разделение прав важно в командной работе. Если несколько человек входят в одну группу, у них должны быть одинаковые разрешения на чтение и изменение общих файлов. Именно поэтому администраторы часто настраивают группы для каждой команды и задают каталоги с правами 775 — чтобы все могли работать, не мешая друг другу и не нарушая безопасность системы.
Маска доступа
Когда в Linux создаётся новый файл или каталог, система не выдаёт ему полные права доступа. Чтобы не было риска, что кто-то случайно получит слишком широкие разрешения, ядро применяет маску доступа — специальный фильтр под названием umask.
Umask работает просто: она отнимает права от базового шаблона. По умолчанию новые файлы создаются с правами 666 (чтение и запись для всех), а каталоги — с 777 (чтение, запись и выполнение для всех). Затем система вычитает из этого маску umask.
Например, если маска равна 0022, то из 666 для файлов убираются права на запись группе и остальным. В результате получается 644: владелец может читать и писать, а остальные — только читать. Для каталогов базовое значение 777 превращается в 755: владелец может всё, группа и остальные — только читать и заходить внутрь.
Проверить текущую маску можно командой:
Выведется, например:
Если нужно изменить её — задаётся новая:
Теперь новые файлы будут создаваться с правами 664, а каталоги — с 775. Это удобно при командной работе, когда несколько пользователей состоят в одной группе. Тогда каждый может читать и изменять общие файлы, не меняя вручную права на каждом объекте.
Маска действует на все программы, которые создают файлы: оболочку, редакторы, компиляторы, серверы. Поэтому администраторы часто настраивают её глобально — например, в файле /etc/profile или /etc/login.defs, чтобы все пользователи системы работали с одинаковыми политиками доступа.
Umask — тихий, но важный механизм безопасности. Он не даёт новым файлам стать слишком «открытыми» и поддерживает баланс между удобством совместной работы и защитой данных.
Специальные флаги
В Linux существуют не только обычные права доступа — чтение, запись и выполнение, — но и специальные флаги, которые меняют то, как система ведёт себя при запуске программ и работе с каталогами. Эти флаги — SUID, SGID и sticky bit. Они встроены прямо в механизм прав и дают системе гибкость, которая нужна для безопасной совместной работы пользователей.
Когда у программы установлен SUID (Set User ID), она всегда выполняется с правами владельца файла, а не того, кто её запустил. Это нужно для утилит, которым временно требуются привилегии администратора. Например, команда passwd изменяет файл /etc/shadow, где хранятся пароли пользователей, и обычный пользователь не имеет к нему доступа. Поэтому файл /usr/bin/passwd помечен SUID-битом. Когда пользователь запускает passwd, процесс получает временные права владельца — root, — чтобы обновить пароль. В правах такой файл выглядит так:
Буква s в поле владельца (rws) указывает, что установлен SUID.
Второй флаг — SGID (Set Group ID). Для программ он делает то же самое, но в отношении группы: процесс получает группу владельца файла. Однако особенно полезен SGID для каталогов. Если он установлен на каталоге, все новые файлы внутри автоматически наследуют его группу. Это упрощает совместную работу: в общей папке не нужно вручную менять группу у каждого файла, — система делает это сама. Установить SGID можно командой:
После этого все участники группы смогут создавать и редактировать файлы в каталоге /srv/shared, не теряя общих прав.
Третий флаг — sticky bit. Он защищает общие каталоги от случайного удаления чужих файлов. Если sticky bit установлен, удалить или переименовать файл может только его владелец, даже если у всех есть права на запись в каталог. Это особенно важно для /tmp: туда может писать любой пользователь, но никто не может удалить чужие временные файлы. Такой каталог выглядит так:
Буква t в конце показывает, что sticky bit активен.
Эти флаги легко установить вручную:
А снять — теми же командами с минусом.
SUID и SGID дают удобство, но требуют осторожности: ошибка в программе с SUID root может стать уязвимостью. Sticky bit, напротив, усиливает безопасность, ограничивая действия пользователей в общих каталогах.
