Право доступу (англ. access right) — дозвіл або заборона здійснення певного типу доступу до інформаційної системи. Прикладами типів права доступу є читання, запис, виконання, додавання, зміна, видалення та створення. Більшість файлових систем містять атрибути файлів і каталогів, які контролюють здатність користувачів читати, змінювати та виконувати вміст файлової системи.
При спільному використанні файлів можливі розмежування доступу і керування доступом, тобто надання доступу до файлу тільки обмеженому колу користувачів і (або) з певних комп'ютерів.
Варіації файлової системи
Оригінальна таблиця розміщення файлів, яка розроблена для систем, що підтримують лише одного користувача, має атрибут read-only (англ. лише для читання), який насправді не є дозволом. NTFS, реалізована в Microsoft Windows NT і її похідних системах, використовує ACL для надання комплексних прав доступу.
OpenVMS використовує схожу до Unix схему доступів. Є чотири категорії (Система, Власник, Група та Всесвіт) і чотири типи права доступу (Читання, Зміна, Виконання і Видалення). Ці категорії не є взаємовиключними: Власник входить в Групу, яка в свою чергу входить у Всесвіт. Категорії також незалежно містять системних користувачів. HFS, реалізований в оперційних системах не підтримують прав доступу в цілому.
До Mac OS X версії 10.3 (“Пантера”) використовувалось POSIX система. Починаючи з версії 10.4 (“Тигр”) також підтримують використання NFSv4 ACLs. Вони користуються традиційною Unix системою
Традиційні права доступу Unix
Дозволи в Unix-подібних файлових системах керуються трьома класами, відомими як User (користувач), Group(група) та Others(інші). Коли файл створюється, його налаштування доступів обмежені командою процесу, який його створив
Класи
- Файли та папки є у власності користувача, якого визначає клас user. Окремі дозволи надаються власнику файлу.
- Файли та папки призначені групі, яку визначає клас group. Окремі дозволи надаються членам групи. Власник може бути її членом.
- Інші користувачі, що не є ні власниками, ні членами групи, визначаються класом others. Окремі дозволи надаються.
Дозволи
В Unix-подібних системах реалізовані три конкретні дозволи, які надаються кожному з класів:
- Дозвіл на читання гарантує можливість читання файлу. Коли він встановлений у папці, можливим є читання назв файлів в цій папці, але недоступна жодна подальша інформація, така як вміст, тип файлу, розмір, власність та дозволи.
- Дозвіл на зміни гарантує можливість вносити зміни до файлу. Коли встановлено для папки, можливою є зміна записів в папці, що включає створення, видалення та редагування назв файлів. Варто зазначити, що такий рівень доступу потребує встановленого дозволу на виконання, інакше дозвіл на зміни для папок втрачає суть.
- Дозвіл на виконання гарантує можливість виконання файлу. Цей дозвіл повинен бути встановленим для виконуваних програм, щоб операційна система могла їх виконувати. Коли встановлено для папки, його можна інтерпретувати як дозвіл на пошук: можливим є доступ до вмісту файлів та мета-інформації, якщо відоме ім’я. Але виведення списку всередині директорії буде неможливим без дозволу на читання.
Наслідок встановлення рівнів доступу для папок, на відміну від файлів, є "однією з тих проблем, які найчастіше спричиняють непорозуміння".
Коли дозвіл не встановлений, у відповідних правах відмовлено. На відміну від ACL систем, дозволи у Unix-подібних системах не є наслідуваними. Файли, створені в папці, не обов’язково мають такі ж дозволи, як ця папка.
Зміна поведінки дозволів за допомогою бітів setuid, setgid і sticky
В Unix-подібних системах типово влаштовані три додаткові режими. Насправді це атрибути, але на них часто посилаються, як на дозволи або режими. Ці спеціальні режими створені для файлів чи папок в загальному, а не залежно від класу. Однак в символьному позначенні (див. нижче) частина встановлена в тріаді для користувача, - для групи і прапорець - для інших.
Позначення прав доступу Unix
Символьне позначення
Права доступу Unix представлені в символьному позначенні, або у вісімковій системі числення.
Найпоширенішою формою є символьний запис, наприклад команда ls -l. Перший символ виконання команди ls вказує на тип файлу і не пов’язаний з дозволами. Решта дев’ять символів розташовані в трьох сетах, кожен з яких представляє клас дозволів у вигляді трьох символів. Перший сет представляє клас user (користувач). Другий представляє клас group (групи), а третій представляє клас others (інші).
Кожен із трьох символів представляє права на читання, запис і виконання:
- r якщо читання дозволено, - якщо ні.
- w якщо записування дозволено, - якщо ні.
- x якщо виконання дозволено, - якщо ні.
Нижче наведено кілька прикладів символьного позначення:
- -rwxr-xr-x: звичайний файл, клас користувача якого має повні права, а класи груп та інші мають лише дозволи на читання та виконання.
- crw-rw-r--: спеціальний файл символів, класи користувача і груп якого мають права читання та запису, а інші класи мають лише дозвіл на читання.
- dr-x------: каталог, клас користувача якого має дозволи на читання та виконання, а груп та інші класи не мають дозволів.
Числове позначення
Іншим методом представлення дозволів Unix є вісімкова система числення (base-8). Це позначення складається щонайменше з трьох цифр. Кожна з трьох цифр представляє дозволи різним групам: користувачу, групам та решті. Якщо є четверта цифра, найперша адресує три додаткові атрибути: , і sticky bit.
Кожна з цих цифр є сумою її складових бітів у двійковій системі числення. В результаті конкретні біти додаються до суми, як вона представлена числом:
- біт читання додає 4 до загальної суми (у двійковій системі 100)
- біт запису додає 2 до його загальної суми (у двійковій системі 010)
- біт виконання додає 1 до його загальної суми (у двійковій системі 001)
Ці значення ніколи не створюють неоднозначних комбінацій, адже кожна сума представляє конкретний набір дозволів.
Ось приклади символьних та числових позначень:
Symbolic notation | Numeric notation | English |
---|---|---|
---------- | 0000 | без дозволів |
-rwx------ | 0700 | читання, запис і виконання лише для власника (user) |
-rwxrwx--- | 0770 | read, write, & execute for owner and group |
-rwxrwxrwx | 0777 | читання, запис і виконання для власника, груп та інших |
---x--x--x | 0111 | виконання |
--w--w--w- | 0222 | запис |
--wx-wx-wx | 0333 | виконання та запис |
-r--r--r-- | 0444 | читання |
-r-xr-xr-x | 0555 | читання та виконання |
-rw-rw-rw- | 0666 | читання та запис |
-rwxr----- | 0740 | власник може читати, писати та виконувати; група може тільки читати; інші не мають дозволів |
Див. також
Примітки
- Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу
- File and Folder Permissions. Microsoft.
- Hatch, Bri. "Linux File Permission Confusion pt 2", "Hacking Linux Exposed", April 24, 2003, accessed July 6, 2011.
Це незавершена стаття з інформаційної безпеки. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Pravo dostupu angl access right dozvil abo zaborona zdijsnennya pevnogo tipu dostupu do informacijnoyi sistemi Prikladami tipiv prava dostupu ye chitannya zapis vikonannya dodavannya zmina vidalennya ta stvorennya Bilshist fajlovih sistem mistyat atributi fajliv i katalogiv yaki kontrolyuyut zdatnist koristuvachiv chitati zminyuvati ta vikonuvati vmist fajlovoyi sistemi Pri spilnomu vikoristanni fajliv mozhlivi rozmezhuvannya dostupu i keruvannya dostupom tobto nadannya dostupu do fajlu tilki obmezhenomu kolu koristuvachiv i abo z pevnih komp yuteriv Variaciyi fajlovoyi sistemiOriginalna tablicya rozmishennya fajliv yaka rozroblena dlya sistem sho pidtrimuyut lishe odnogo koristuvacha maye atribut read only angl lishe dlya chitannya yakij naspravdi ne ye dozvolom NTFS realizovana v Microsoft Windows NT i yiyi pohidnih sistemah vikoristovuye ACL dlya nadannya kompleksnih prav dostupu OpenVMS vikoristovuye shozhu do Unix shemu dostupiv Ye chotiri kategoriyi Sistema Vlasnik Grupa ta Vsesvit i chotiri tipi prava dostupu Chitannya Zmina Vikonannya i Vidalennya Ci kategoriyi ne ye vzayemoviklyuchnimi Vlasnik vhodit v Grupu yaka v svoyu chergu vhodit u Vsesvit Kategoriyi takozh nezalezhno mistyat sistemnih koristuvachiv HFS realizovanij v opercijnih sistemah ne pidtrimuyut prav dostupu v cilomu Do Mac OS X versiyi 10 3 Pantera vikoristovuvalos POSIX sistema Pochinayuchi z versiyi 10 4 Tigr takozh pidtrimuyut vikoristannya NFSv4 ACLs Voni koristuyutsya tradicijnoyu Unix sistemoyuTradicijni prava dostupu UnixDozvoli v Unix podibnih fajlovih sistemah keruyutsya troma klasami vidomimi yak User koristuvach Group grupa ta Others inshi Koli fajl stvoryuyetsya jogo nalashtuvannya dostupiv obmezheni komandoyu procesu yakij jogo stvoriv Klasi Fajli ta papki ye u vlasnosti koristuvacha yakogo viznachaye klas user Okremi dozvoli nadayutsya vlasniku fajlu Fajli ta papki priznacheni grupi yaku viznachaye klas group Okremi dozvoli nadayutsya chlenam grupi Vlasnik mozhe buti yiyi chlenom Inshi koristuvachi sho ne ye ni vlasnikami ni chlenami grupi viznachayutsya klasom others Okremi dozvoli nadayutsya Dozvoli V Unix podibnih sistemah realizovani tri konkretni dozvoli yaki nadayutsya kozhnomu z klasiv Dozvil na chitannya garantuye mozhlivist chitannya fajlu Koli vin vstanovlenij u papci mozhlivim ye chitannya nazv fajliv v cij papci ale nedostupna zhodna podalsha informaciya taka yak vmist tip fajlu rozmir vlasnist ta dozvoli Dozvil na zmini garantuye mozhlivist vnositi zmini do fajlu Koli vstanovleno dlya papki mozhlivoyu ye zmina zapisiv v papci sho vklyuchaye stvorennya vidalennya ta redaguvannya nazv fajliv Varto zaznachiti sho takij riven dostupu potrebuye vstanovlenogo dozvolu na vikonannya inakshe dozvil na zmini dlya papok vtrachaye sut Dozvil na vikonannya garantuye mozhlivist vikonannya fajlu Cej dozvil povinen buti vstanovlenim dlya vikonuvanih program shob operacijna sistema mogla yih vikonuvati Koli vstanovleno dlya papki jogo mozhna interpretuvati yak dozvil na poshuk mozhlivim ye dostup do vmistu fajliv ta meta informaciyi yaksho vidome im ya Ale vivedennya spisku vseredini direktoriyi bude nemozhlivim bez dozvolu na chitannya Naslidok vstanovlennya rivniv dostupu dlya papok na vidminu vid fajliv ye odniyeyu z tih problem yaki najchastishe sprichinyayut neporozuminnya Koli dozvil ne vstanovlenij u vidpovidnih pravah vidmovleno Na vidminu vid ACL sistem dozvoli u Unix podibnih sistemah ne ye nasliduvanimi Fajli stvoreni v papci ne obov yazkovo mayut taki zh dozvoli yak cya papka Zmina povedinki dozvoliv za dopomogoyu bitiv setuid setgid i sticky V Unix podibnih sistemah tipovo vlashtovani tri dodatkovi rezhimi Naspravdi ce atributi ale na nih chasto posilayutsya yak na dozvoli abo rezhimi Ci specialni rezhimi stvoreni dlya fajliv chi papok v zagalnomu a ne zalezhno vid klasu Odnak v simvolnomu poznachenni div nizhche chastina vstanovlena v triadi dlya koristuvacha dlya grupi i praporec dlya inshih Poznachennya prav dostupu UnixSimvolne poznachennya Prava dostupu Unix predstavleni v simvolnomu poznachenni abo u visimkovij sistemi chislennya Najposhirenishoyu formoyu ye simvolnij zapis napriklad komanda ls l Pershij simvol vikonannya komandi ls vkazuye na tip fajlu i ne pov yazanij z dozvolami Reshta dev yat simvoliv roztashovani v troh setah kozhen z yakih predstavlyaye klas dozvoliv u viglyadi troh simvoliv Pershij set predstavlyaye klas user koristuvach Drugij predstavlyaye klas group grupi a tretij predstavlyaye klas others inshi Kozhen iz troh simvoliv predstavlyaye prava na chitannya zapis i vikonannya r yaksho chitannya dozvoleno yaksho ni w yaksho zapisuvannya dozvoleno yaksho ni x yaksho vikonannya dozvoleno yaksho ni Nizhche navedeno kilka prikladiv simvolnogo poznachennya rwxr xr x zvichajnij fajl klas koristuvacha yakogo maye povni prava a klasi grup ta inshi mayut lishe dozvoli na chitannya ta vikonannya crw rw r specialnij fajl simvoliv klasi koristuvacha i grup yakogo mayut prava chitannya ta zapisu a inshi klasi mayut lishe dozvil na chitannya dr x katalog klas koristuvacha yakogo maye dozvoli na chitannya ta vikonannya a grup ta inshi klasi ne mayut dozvoliv Chislove poznachennya Inshim metodom predstavlennya dozvoliv Unix ye visimkova sistema chislennya base 8 Ce poznachennya skladayetsya shonajmenshe z troh cifr Kozhna z troh cifr predstavlyaye dozvoli riznim grupam koristuvachu grupam ta reshti Yaksho ye chetverta cifra najpersha adresuye tri dodatkovi atributi i sticky bit Kozhna z cih cifr ye sumoyu yiyi skladovih bitiv u dvijkovij sistemi chislennya V rezultati konkretni biti dodayutsya do sumi yak vona predstavlena chislom bit chitannya dodaye 4 do zagalnoyi sumi u dvijkovij sistemi 100 bit zapisu dodaye 2 do jogo zagalnoyi sumi u dvijkovij sistemi 010 bit vikonannya dodaye 1 do jogo zagalnoyi sumi u dvijkovij sistemi 001 Ci znachennya nikoli ne stvoryuyut neodnoznachnih kombinacij adzhe kozhna suma predstavlyaye konkretnij nabir dozvoliv Os prikladi simvolnih ta chislovih poznachen Symbolic notation Numeric notation English 0000 bez dozvoliv rwx 0700 chitannya zapis i vikonannya lishe dlya vlasnika user rwxrwx 0770 read write amp execute for owner and group rwxrwxrwx 0777 chitannya zapis i vikonannya dlya vlasnika grup ta inshih x x x 0111 vikonannya w w w 0222 zapis wx wx wx 0333 vikonannya ta zapis r r r 0444 chitannya r xr xr x 0555 chitannya ta vikonannya rw rw rw 0666 chitannya ta zapis rwxr 0740 vlasnik mozhe chitati pisati ta vikonuvati grupa mozhe tilki chitati inshi ne mayut dozvolivDiv takozhPrava dostupu v UnixPrimitkiTerminologiya v galuzi zahistu informaciyi v komp yuternih sistemah vid nesankcionovanogo dostupu File and Folder Permissions Microsoft Hatch Bri Linux File Permission Confusion pt 2 Hacking Linux Exposed April 24 2003 accessed July 6 2011 Ce nezavershena stattya z informacijnoyi bezpeki Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi