Avancerade rättigheter i Linux
ACL (Access Control List) är något relativt okänt och sällan använt i Linux. Men trots det finns ACL i Linux som standard för filsystemen ext4 och XFS. Det erbjuder mer kontroll över vem som har tillgång till vad och är ett komplement till de vanliga rättigheterna.
De vanliga rättigheterna i Linux räcker ofta långt, särskilt om man använder
grupper. Men ibland behöver man något mer flexibelt och kraftfullt. Exempelvis
om man vill ge flera användare tillgång en katalog utan att göra personerna
medlemmar i en särskild grupp. Eller om man vill sätta specifika rättigheter
och medlemskap för nya filer i en katalog utan att förlita sig på användarnas
umask
. Allt detta och mycket med går att åstadkomma med ACL i Linux. Det är
dessutom inget nytt eller unik för Linux; det är en POSIX-funktion.
Repetition av de vanliga rättigheterna
Men innan vi tittar vi på ACL är det värt att repetera de vanliga rättigheterna i Linux.
$> ls -l
total 4
-rw-r--r-- 1 jake jake 21 apr 14 15:58 rapport.txt
I exemplet ovan har användaren Jake läs- och skrivrättigheter till filen
rapport.txt
(rw-
). Gruppen med samma namn – Jake – har läsrättigheter till
filen (r--
). Övriga användare på systemet har också läsrättigheter (den sista
gruppen, r--
). Man delar således in -rw-r--r--
i fyra delar, inräknat
filtypen:
-
= filtypen, i det här fallet en vanlig filrw-
= skriv- och läsrättigheter för användarenr--
= läsrättigheter för gruppenr--
= läsrättigheter för övriga
För att ändra ägaren och/eller gruppen använder vi chown
. För att ändra
gruppen använder vi chgrp
. För att ändra rättigheterna använder vi chmod
.
Tänk dock på att ägaren av en fil inte kan ge bort sina filer till någon annan,
det måste root göra. Men om användaren är medlem i gruppen kan hon själv
ändra ägargruppen till den gruppen.
$> chmod u=rw,g=rw,o= rapport.txt
$> ls -l
total 4
rw-rw---- 1 jake jake 21 apr 14 15:58 rapport.txt
$> chown jake:devops rapport.txt
$> ls -l
total 4
-rw-rw---- 1 jake devops 21 apr 14 15:58 rapport.txt
Introduktion till ACL
Kommandona för att läsa respektive sätta ACL i Linux är getfacl
och
setfacl
. Dessa kommandon finns redan installerade i de flesta
Linux-distributioner, med undantaget av Ubuntu Server och Debian.
För att installera ACL-kommandona i Ubuntu Server (och andra Debian-baserade system där de eventuellt saknas):
$> sudo apt-get install acl
Om vi nu vill ge användarna Kalle och Knatte tillgång till filen rapport.txt
från det tidigare exemplet – utan att behöva göra dem till medlemmar av gruppen
DevOps – behöver vi använda oss av ACL. Detta kan vi dessutom göra som ägaren
av filen, i det här fallet Jake. Här ger vi Kalle och Knatte läs- och
skrivrättigheter till filen rapport.txt
:
$> setfacl -m kalle:rw rapport.txt
$> setfacl -m knatte:rw rapport.txt
Flaggan -m
i kommandot ovan betyder att vi anger rättigheterna direkt på
kommandoraden, inte via en fil.
För att kontrollera ACL använder vi getfacl
. Här ser vi först att det är Jake
med gruppen DevOps som äger filen. Men här ser vi även att Kalle och Knatte har
tillgång till filen enligt ACL.
$> getfacl rapport.txt
# file: rapport.txt
# owner: jake
# group: devops
user::rw-
user:kalle:rw-
user:knatte:rw-
group::rw-
mask::rw-
other::---
Sätta standardrättigheter
Med ACL kan vi även sätta grupptillhörighet och rättigheter för nya filer och
kataloger. Om vi vill att alla nya filer och kataloger som skapas i den
aktuella katalogen (project
) ska gå att läsas och skrivas av gruppen DevOps,
sätter vi detta med d
som i defaults.
$> cd ..
$> setfacl -m d:g:devops:rwX project
Här står d
för default och g
för group. devops
är gruppen som ska ha
tillgång till nya filer och kataloger. rwX
betyder att filer ska få läs- och
skrivrättigheter för gruppen DevOps och exekveringsrättigheter för kataloger.
(Ett litet x
sätter exekveringsrättigheten för både filer och kataloger, men
ett stort X
sätter det enbart för kataloger.)
En kontroll med getfacl
:
$> getfacl project
# file: project
# owner: jake
# group: jake
user::rwx
group::r-x
other::r-x
default:user::rwx
default:group::r-x
default:group:devops:rwx
default:mask::rwx
default:other::r-x
Om vi nu testar att skapa en ny fil som Jake i katalogen project
kommer denna
att få gruppen DevOps och rättigheterna rw-rw-r---
(plustecknet efter
rättigheterna betyder att ACL är aktivt för filen):
$> cd project
$> touch test.txt
$> ls -l test.txt
-rw-rw-r--+ 1 jake jake 0 apr 14 16:45 test.txt
Notera att här visas gruppen fortfarande som Jake, vilket är korrekt enligt de
“vanliga” Linux-rättigheterna. Men om vi kontrollerar filen med getfacl
ser
vi att även gruppen DevOps och läs- och skrivrättigheter. Vi ser också att den
“vanliga” gruppen fortfarande är Jake.
$> getfacl test.txt
# file: test.txt
# owner: jake
# group: jake
user::rw-
group::r-x #effective:r--
group:devops:rwx #effective:rw-
mask::rw-
other::r--
Vi kan bekräfta att vi kan skriva till filen med en användare som är medlem i gruppen DevOps (men som inte är Jake själv):
$> su knatte
Password:
$> id
uid=1002(knatte) gid=1003(knatte) groups=1003(knatte),1001(devops)
$> echo "Hejsan" > test.txt
$> cat test.txt
Hejsan
$> ls -l test.txt
-rw-rw-r--+ 1 jake jake 7 apr 14 17:10 test.txt
Det går även att lägga till användare som ska ha tillgång till alla nya filer i
katalogen. Då byter vi bara ut g
(för grupp) mot u
(för user). Till
exempel:
$> cd ..
$> setfacl -m d:u:kalle:rwX project
$> getfacl project
# file: project/
# owner: jake
# group: devops
user::rwx
group::r-x
other::r-x
default:user::rwx
default:user:kalle:rwx
default:group::r-x
default:group:devops:rwx
default:mask::rwx
default:other::r-x
Tyckte du om den här artikeln? Då kanske du även tycker om någon av våra böcker.
Relaterat
-
Docker Desktop för Linux är här
Nu finns Docker Desktop även för Linux. Precis som Docker Desktop för macOS och Windows, finns även Kubernetes inkluderat i Linux-versionen. Man använder även ett VM för att köra containrarna.
-
Hårda och mjuka länkar i Linux
Hårda länkar är filnamn som pekar på en inode. Mjuka länkar är en speciell filtyp som pekar på hårda länkar, eller andra mjuk läknar. En inode i sin tur innehåller metadata om filen, samt information om var den faktiska datan finns lagrad på disken.
-
Drifta din egen molnlagring med Seafile
Seafile är ett program med öppen källkod för att synkronisera och lagra filer. Det kan liknas med ett privat Dropbox. Seafile har både en webbklient och klienter för Linux, Windows, macOS, Android och iPad/iPhone.
-
QCAD – ett prisvänligt CAD-program
AutoCAD är det mest populära och välkända CAD-programmet, men det har en stor prislapp. Cirka 21 700 kr inklusive moms per år. Men det finns alternativ. QCAD är ett av dem och kostar cirka 430 kr i engångssumma.
-
Blandade säkerhetstips
Här hittar du alla artiklarna i serien Blandade säkerhetstips. Listan fylls på efterhand som fler artiklar skrivs. Tipsen i denna artikelserie gäller främst för Linux och andra Unixsystem.
Senaste nyheterna och inläggen
-
Docker Desktop för Linux är här
Nu finns Docker Desktop även för Linux. Precis som Docker Desktop för macOS och Windows, finns även Kubernetes inkluderat i Linux-versionen. Man använder även ett VM för att köra containrarna.
-
Fortsatt låga IPv6-siffror i Sverige
Det är fortfarande knappt fem procent av internetanvändarna som har tillgång till IPv6. Det visar Post- och telestyrelsens senaste kartläggning. Samtidigt ökar andelen internetoperatörer som använder adressöversättning.
-
Hårda och mjuka länkar i Linux
Hårda länkar är filnamn som pekar på en inode. Mjuka länkar är en speciell filtyp som pekar på hårda länkar, eller andra mjuk läknar. En inode i sin tur innehåller metadata om filen, samt information om var den faktiska datan finns lagrad på disken.
-
Drifta din egen molnlagring med Seafile
Seafile är ett program med öppen källkod för att synkronisera och lagra filer. Det kan liknas med ett privat Dropbox. Seafile har både en webbklient och klienter för Linux, Windows, macOS, Android och iPad/iPhone.
CyberInfo Sverige är ett IT- och medieföretag i nordvästra Skåne som tillhandahåller böcker, utbildningar, nyheter och konsulttjänster inom Linux, säkerhet och programmering.
CyberInfo Sverige är godkänd för F-skatt, är momsregistrerat och innehar
utgivningsbevis för webbplatsen www.cyberinfo.se.