はじめに

私はいくつかのUnixファイルのアクセス権に関する誤った情報を見ている。私はストレートの記録を樹立することを試みる。 lsからいくつかの出力がこの例を見てください：

$ ls -ld /usr/bin /usr/bin/cat
drwxrwxr-x   3 root     bin         8704 Sep 23  2004 /usr/bin
-r-xr-xr-x   1 bin      bin         9388 Jul 16  1997 /usr/bin/cat
$

 |------file mode------|
 |                     |
 |
 |       |----full-----|
         |
 |-type| |   |--basic--|
 |     | |   |         |
 oo0 000 000 000 000 000
 ... ... ... ... ... ...
    |     |   |   |   |
    |     |   |   |   |---- rwx for other
    |     |   |   |
    |     |   |   |-------- rwx for group
    |     |   |
    |     |   |------------ rwx for user
    |     |
    |     |---------------- set uid, set gid, sticky bit
    |
    |---------------------- file type: regular (-)
                                       directory (d)
                                       character special (c)
                                       block special (b)
                                       fifo (p)
                                       symbolic link (l)
                                       socket (s)

  421
  rwx

--- = 0
--x = 1
-w- = 2
-wx = 3
r-- = 4
r-x = 5
rw- = 6
rwx = 7

----rwxrwx   1 joe        users           29 Mar 22 19:39 somefile

$ ls -l /etc/passwd /etc/shadow /usr/bin/passwd
-r--r--r--   1 root     sys        14006 Jan 14 11:17 /etc/passwd
-r--------   1 root     sys         8281 Jan 14 11:18 /etc/shadow
-r-sr-sr-x   3 root     sys        96244 Sep  5  2001 /usr/bin/passwd

drwxrwxrwt   5 root       root          1024 Feb 11 20:43 /tmp

The who part can be:
u  (user)
g  (group)
o  (other)
a  (all)
   (whatever is allowed by umask (subset of all))

The operator can be  = or - or +
= (set bits to bitlist)
- (subtract bitlist from current bit
+ (add bitllist to current bits)

The bitlist can be one of the following letters:
r (read permission)
w (write permission)
x (execute permision)
X (conditional execute permision)
u (current permissions for user)
g (current permissions for group)
o (current permissions for others)
s (set uid or set gid)
t (sticky bit)

私は、以前はディレクトリには、 stickyビットが設定されている、ファイルのみを削除することができますは、ファイルまたはディレクトリの所有者の所有者が言及している。この動作が指定されている のPosix ではなく、普遍的だ。しかしは、 stickyビットのは、本来の目的だった。そうなんですかは、 のPosix 実際の呼び出しの定義はlsコマンドでは、 stickyビット"は、制限の削除フラグ" 。このビットのためのヘッダファイルは、 Cの定数S_ISVTXされています。その svtx スタンドの テキストを保存 これはビットが本来の目的を明らかにします。

オリジナルのアイディアは、 stickyビットが設定されていたが、プロセスのテキストセグメントがスワップ領域に滞在していた。これは、メモリには、 1つのディスクを読み取ることができるように読んでください。当初は、 Unixの512のブロックサイズとは、ファイルシステムを使ってブロックを散布する傾向にあります。そのため、テキストセグメントを集めるのに時間がかかるだろうとメモリに読み込みます。最初ではないのページング処理は、交換された。完全にメモリにロードする必要があるようなプログラムを実行します。さて、ページをメモリにプログラムを故障。必要とされているページがロードされます。そのため、 stickyビットの元の使用して死んでいるか？いや、違う。これはOSに依存します。

のHP - UXのは、この使用法はまだ生きているのに記載されています HP - UXのchmod （ 2 ）のmanページ。どのような使用ですか？ 〜から は、 HP - UXのカーネルのチューニングとパフォーマンスガイド 経由 HP - UXのよくある質問：
"あるとき、リモートアプリケーションは、アプリケーションのバイナリの" stickyビット"は、 chmod + tコマンドを使用して設定してください。このページには、ローカルディスクには、テキストは、システムを説明しています。そうでなければ" "は、ネットワーク経由で取得されます。のもちろん、実際のページングが起こっている場合にのみ適用されます。さらに最近では、 1に設定したときは、カーネルパラメータ、 page_text_to_local 、 、ページのすべてのカーネルを伝える予定です NFSの ローカルスワップ空間に実行可能なテキストのページ。 "

Solarisの機能では、 stickyビットの元を使用していないが、している Solarisのchmod （ 2 ）のmanページ：
"もし、通常のファイルを実行されていませんS_ISVTX設定されていると、ファイルをスワップファイルと見なされます。この場合には、システムのページキャッシュは、ファイルのデータを保持するために使用することはできません。 S_ISVTXビットの場合、他に設定されているファイルが、結果は不特定されています。 "

ので）を、特定のOS用のmanページは、 chmod （ 2チェックし、もしあれば、 stickyビットをしているファイルにどんな影響を与えるかを参照する必要があります。また、その存在が認識される効果を、 OSのルートには、 stickyビットの設定を制限することがあります。例のHPは、 - UXのは、厄介なのは多くのビットを設定し、スワップ空間のシステムを実行し、悪意のあるユーザー。

HP - UXのは実際には、 stickyビットを設定していくつかのシンボリックリンクしている。私はこの下のアドレスをします。

私たちは簡単にはファイルは、ユーザとグループが関連付けられていることです。もともと、それだけで、誰が作成したユーザのグループだった。しかし、当初は、ユーザーのグループに一度に1つだけかもしれない。 BSDのコンセプトは、ユーザーがリアルタイムで複数のグループを紹介した。だからBSDのは、グループ内で使用されていたか？ BSDのは、新しく作成されたファイルが含まれているディレクトリのグループを使用することを決めた。

現代の多くのUnixのバージョンの両方の方法を試みてください。ディレクトリのsetgidビットをしている場合を除き、新たに作成されたファイルは、ユーザーのグループを取得します。その場合には、新しく作成したファイルは、ディレクトリのグループを取得します。

そこには例外です！ファイルの所有者またはグループを変更するセキュリティ上の懸念している。そのためには、 UNIXの一部のバージョン、オプション、ファイルの所有者の変更は、ユーザーのルートディレクトリ以外を禁止します。しない限り、彼は新しいグループのメンバであるまた、ユーザーがファイルのグループを変更することを禁じられています。この制限は、必要に応じてディレクトリのsetgidビットを上書きします。

私たちは、セット暈倒病ビットにはまだ終わっていない... Unixのファイルロックの概念があります。ファイルロックは、このスレッドの範囲を超えています。しかし、そのファイルのロックを知る必要がある2つのフレーバーでいます：助言およびmanditory 。フレーバーは、アクセス許可の設定に応じて特定のファイルに適用されます。ビットがオフの場合は、グループですが、 setgidビットは実行すると、任意のファイルをそのファイルにロックをmanditoryされています。

無駄なビットの組み合わせですか？

すべての内容は、私は見ているのは、 setgid /グループを実行しているがそれ以外の無駄な組み合わせです。さらにリチャードスティーブンス（ Unixの環境での高度なプログラミング） "グループIDビットは、グループ実行ビットは理にかなっているという設定がオフになって以来、 SVR3の設計を指定するためにこの方法を選んだのは、ファイルのロックとロックしないmaditory諮問される。 "

この場合も考慮：フレッドは、人的資源部が実行されます。フレッドと彼のグループ従業員の休暇を頻繁に使用されるルックアップする必要があります。フレッドのプログラムは従業員が自分自身の休暇を使用するルックアップすることができますを書くことが決定する。セキュリティのため、このプログラムをロギングフレッドは多くありません。フレッドは、このプログラムを使用するように彼のグループを望んでいません決める。彼らは他のツールは自分のログを混乱されませんしている。だからフレッドは：
フレッドはchown ：時間vdays
chmod 2701 vdays
今では時間のメンバーによってvdaysプログラム（フレッドを除く）を実行することはできません。しかし、誰もが、他のユーザーによって実行することができます。そしてそれを実行するときには時間のGIDを前提とします。私は、このように書かれているテストプログラムを設定し、両方のSolarisおよびHP - UX上で実行している。それに動作します。

lsの出力への影響

このビットの組み合わせが便利だと思われるいくつかの限られた場合には、良くも悪くも、 2つの効果があるだろう。プログラムは仕事のvdaysが、ロックの場合は、ファイルで実行しようとすると、 manditoryされます。実際問題として、これは、デバッガのようなプログラムへの影響のみを時折だろう。しかし、このビットの組み合わせの治療ls異なる場合があります。私はこの両方を見ている...

chown fred:hr vdays
chmod 2701 vdays
-rwx--S--x   1 fred     hr          9938 Jul 16  2004 vdays
-rwx--l--x   1 fred     hr          9938 Jul 16  2004 vdays

シンボリックリンクは、年間で進化しています。で、最初のシンボリックリンクファイルを開くときだけだった。だから：
タッチデータファイル
ln -データファイルコソコソ秒
700コソコソchmod
ファイルを"データファイル"と呼ばれる保護していない。これはセキュリティの問題が発生しました。今日は、 "データファイルのアクセス権を変更する700コソコソ" chmod 。また、データファイルを残すだけでコソコソと変更されます"フレッドはchownデータファイル" 。

シンボリックリンクの所有者が必要

は、シンボリックリンクの所有者を変更する方法です。 " - hでコソコソはchownです" 。このコソコソ変更し、データファイルだけを残す。理由は、元のシンボリックリンクの所有者が必要な機能と呼ばれる"枠"です。割当は、システム管理は、ユーザが使用するディスク領域を制限することができます。シンボリックリンクので、適切なユーザーに課金する必要がありますディスクリソースの少量を消費します。現在、 2つ目の理由：ディレクトリ粘着している。私たちは、粘り気のディレクトリからのシンボリックリンクを削除することができますを知る必要がある。

の所有者に加えて、 のPosix は、シンボリックリンクを必要とするサイズです。は、すべてあなたが依存することができます。シンボリックリンクの許可も、任意のビットがない場合があります。

ビットの許可が必要です のPosix 無視することに

SolarisおよびLinuxでは、シンボリックリンクで新しく作成され、このumaskを777との影響を受けません。私は、ビットを無効にする方法が見つからないことができませんでした。 HP - UXへ、シンボリックリンクも777で作成されますが、この影響を与えるのumaskありません。だから：
umaskを777
ln -データファイルコソコソ秒
すべてのビットとのシンボリックリンクを作成しますがオフになります。これは私が今何ができるかのデータファイルには全く影響を受けた。ディレクトリへのシンボリックリンク0のモード（ ）にも罰金働いた。

BSDのようにシンボリックリンクを許可ビットを変更して

様々なBSDのディストリビューションのすべて"は、 " chmodが必要な"時間のようなものはchown - h "をしている。私はFreeBSD上でシンボリックリンクをテストし、彼らにも許可ビットを無視するが、このコマンドを使用する。 " chmod - h "をコマンドをlchmod （ ）システムコールを使用して実装されています。 （ BSDのも）これまでのところ、それは良い。呼び出すにlutimes （ ）システムコールと"タッチ- h "をコマンドしています。ここでは何も違反している のPosix 標準規格です。

NetBSDの違反が5月 のPosix 標準

シンボリックリンクは、 NetBSDによると manページ： " readlink （ 2 ）システムコールを必要とするアクセス許可をシンボリックリンクを読む。 " readlink （ ） lsでのシンボリックリンクのターゲットを表示するために使用さ電話するシステムです。ので、このように：

lrwxrwxrwx   1 fred       users            8 May 24 11:15 slink -> datafile

$ ls -lds /bin
   0 lr-xr-xr-t   1 root       sys              8 Oct  1  2003 /bin -> /usr/bin

書き込み権限を設定する方法について説明している能力を、ファイル内のデータを変更することを制御します。しかし、許可ビットを変更する方法については、所有者、グループ、さらにはタイムスタンプか？誰も何も変更することができますは、 CDとは NFSの サーバーは、覆すことができる NFSの クライアント。以下の説明では、私とは、ローカルファイルシステムの読み取り書き込みを前提とは、ユーザーは" root " 、問題のファイルシステム用の適切な特別な管理者権限と呼ばれる。

chmod -ファイルのアクセス権を変更する

すべてのファイルのアクセス権を変更するには、ファイルの所有者または場合は、 rootユーザにしなければいけません。 rootユーザは、任意の許可ビットを変更することができます。これは、所有者に該当することはできません。は、 1ビットは、所有者にスイッチすることができない場合がありますSGIDビットです。

ビットをオンにするには、所有者のグループは、そのファイルの場所ではなく、この制限されている場合ですインチのメンバである必要がありますは、ユーザーは単に自分のファイルをグループで管理者以外にアクセスできるようにするためのプログラムを作成することもSGID彼は属しています。つまり、上記のように我々としては、 SGIDビットのファイルを頻繁に使用されてもロックされているが過負荷に注意してください。 Unixのバージョンやファイルの所有者は別のグループでは、ファイルのSGIDビットを変更することができない場合がありますビットがセットされていない場合は実行してください。

単純に1ビットをスードおよびSGIDビットを有効に実行される恐れがありますルート（も）をクリアしている。これは、ユーザーがスードおよびSGIDビットを設定することを確保するためのセキュリティ機能です。後ろには、ユーザーが明示的に切り替えることができます。または、単に、ユーザーが明示的に一度にすべてのビットをセットすることができます。また、注意しては、ファイルへの書き込みが、 Unixの一部のバージョン、およびSGIDビットをクリアするスード。下の所有者またはグループがファイルの変更の影響を参照してください。

はchown -ファイルの所有者を変更する

もともとは、 UNIXのファイルの所有者がファイルの距離を与えることができた。ファイルの所有者が第三者への所有者を変更する可能性がある。そこ以外の方法は、 rootユーザはこの操作を元に戻すことだった。 Unixの場合は、バークレー/ AT ＆ Tのバージョンについては、 USG （ Unixのサポートグループは、 AT ＆ T社の一部）は、 Unixのバージョンに分割し、この動作を継承する傾向があった。一方のBSD （バークレーソフトウェアの配布は、カリフォルニア大学の一部を、カリフォルニア大学バークレー校）以外からの削除はchown - rootユーザー。 BSDのファイルシステムを持っていることは、どれだけのディスク容量の上限は、ユーザーがディスククォータを実装していた。いたずら好きのユーザーは過去には、クォータスネーク大容量のファイルを与える可能性がある。

root以外の場合、ファイルはchownできる今日では、言うのは簡単ではありません。 Unixの多くのバージョンを許可 両方 行動。 HP - UXのをしている setprivgroup施設 のかどうかは、特定のグループのメンバーはchownを呼び出すことができますを制御できます。 Solarisは、世界的なパラメータがあります rstchown 地球はchownを許可するように設定することができます。このパラメータを変更するグループの制限の下（ SGID上記制限に影響を与えること）を記述を無効に設定する。最近のLinuxバージョンには、 CAP_CHOWN この機能を制御する能力。あなたのUnixのほかのバージョンについては、マニュアルを参照してする必要があります。そして、あなたのシステムの管理者にどのように構成されている特定のシステムを参照してくださいする必要があります。

ほとんどのOSのはchownをrootのみに制限されると、デフォルトの。また、セキュリティについての考慮事項についての合意は、この状態が続く必要があります。もしroot以外のユーザは、ファイルの所有者を変更する場合、任意のビットを実行すると、スードおよびSGIDビットをクリアする必要がありますしています。このルートではないが起こる可能性があります。

はchown 、 chgrp -ファイルのグループを変更する

にはchownコマンドをすることができます（任意の近代的で、 のPosix Unixの対応バージョン）も、グループを変更しよう。とはchgrpコマンドです。これら両方のグループを変更する（ ）システムコールを呼び出すのはchown 。という事実は、共通のシステムコールを関与している理由をいくつかのOSバージョンの共同実施やnon - rootユーザーに制限の両方の所有者とグループの変更を説明するための緩和に役立ちます。

root以外のユーザーが、彼は彼のメンバであるグループに所有しているファイルのグループを変更することができます。 のPosix メンバではありませんが、彼はグループへのファイルグループの変更をroot以外のユーザを禁止します。場合、ファイルの所有者を変更するとの制限が解除されていますしかし、一部のOSのこの制限を解除する。

グループの場合は、 root以外のユーザと1つまたは実行ビットによって変更されると、スードSGIDビットがクリアされると設定されている。

タッチ-ファイルのタイムスタンプを変更する

タッチ時のコマンドは、既存のファイルのタイムスタンプを変更するために使用されると、いずれかの古いutime （ ） 、または、新しいutimes （ ）システムコールを呼び出します。既存のファイルのタイムスタンプを変更するには、ファイルやルートが所有しなければなりません。また、ファイルに書き込み権限を設定する場合は、 rootになるかが必要です。