Al principio de este capítulo ha recibido el siguiente mensaje,
cuando intentó cambiarse al directorio login de root:
bash: /root: Permission denied
Esto es un ejemplo de las características de seguridad de Linux.
Linux, como UNIX, es un sistema multiusuario y los permisos para tener acceso a
los archivos presentan una solución para proteger la integridad del
sistema de cualquier daño.
Una manera de tener acceso cuando se le deniega el permiso es ejecutando
su a root, como vió anteriormente. Esto es porque quien
conoce la contraseña de root tiene acceso completo al sistema.
Pero cambiándose al superusuario no siempre es lo más conveniente
o recomendado, pues es posible cometer errores y alterar archivos de configuración
importantes como superusuario.
Todos los archivos y los directorios pertenecen a la persona que los ha
creado. Hemos creado el archivo sneakers.txt (vea la Sección 13.9.1) en su directorio login, por ello
sneakers.txt le pertenece.
Esto quiere decir que podemos especificar quién puede leer o
escribir un archivo. Además en el caso de que un archivo sea ejecutable es
posible especificar quién tiene el derecho a ejecutarlo.
Lectura, escritura, y ejecución son las tres configuraciones principales
de permisos. Como cada usuario del sistema está incluído en un grupo,
podemos también especificar qué grupos pueden leer, escribir o ejecutar un archivo.
Tome como ejemplo el archivo sneakers.txt con el comando
ls utilizando la opción -l
(consulte la Figura 13-11).
Hay mucha información aquí. Con esta opción se visualizan muchos de los
detalles. Podemos ver quién puede leer (r) y escribir (w) el archivo, el creador del
archivo (sam) y a qué grupo de usuarios pertenece (sam). Recuerde que por defecto, el
nombre de su grupo es el mismo que su nombre de login.
Figura 13-11. Permisos para sneakers.txt
Entre el nombre del grupo y el nombre del archivo hay informaciones
relativas al tamaño del archivo, a la fecha y a la hora de creación.
La primera columna muestra los permisos actuales; tiene diez espacios.
El primer espacio representa el tipo de archivo. Los nueve restantes son,
de hecho, tres grupos de permisos de tres categorías de usuarios diferentes.
Por ejemplo:
Estos tres grupos se refieren respectivamente al propietario del
archivo, al grupo al que pertenece el archivo y «otros», o sea todos los demás usuarios
del sistema.
| | | |
type owner group others
El primer elemento, que especifica el tipo de archivo, puede tener uno
de los siguientes valores:
d — un directorio
-(dash) — un archivo normal
(más que un directorio o enlace)
l — un enlace
simbólico a otro programa o archivo en algún otro lugar del sistema.
Después del primer carácter, en cada uno de los tres grupos que
siguen es posible especificar uno entre los siguientes valores:
r — indica que el archivo se
puede leer.
w — indica que el archivo se
puede escribir
x — indica que el archivo se
puede ejecutar (si es un programa)
Cuando aparece un guión en propietario, grupo u otros, quiere
decir que no se ha concedido un permiso en particular. Mire otra vez la primera
columna del archivo sneakers.txt e identifique sus permisos.
-rw-rw-r-- 1 sam sam 150 Mar 19 08:08 sneakers.txt
El propietario del archivo, (en este caso, sam) tiene los permisos para
escribir y leer el archivo. El grupo, sam, tiene los permisos
para escribir y leer sneakers.txt. El archivo no es
un programa por lo que ni el propietario (owner) ni el group tienen permiso
para ejecutarlo.
Puede utilizar el comando chmod para cambiar
los permisos en sneakers.txt.
En el archivo original están presentes los siguientes permisos:
Si es el propietario del archivo o está registrado en la
cuenta de root, puede cambiar cualquier permiso para el propietario, grupo u
otros.
Por el momento, el propietario y el grupo pueden leer y escribir el
archivo. Cualquiera fuera del grupo, sólo puede leer el archivo
(r--).
Atención Recuerde que los permisos de los archivos son muy importantes para
la seguridad. Cada vez que permite a todo el mundo leer, escribir o
ejecutar un archivo, está arriesgando la integridad del sistema. Como
regla general, le aconsejamos que sólo otorgue permisos de lectura y escritura a
aquellos que realmente los necesiten.
En el siguiente ejemplo, suponga que quiere conceder a todo el mundo el
permiso de escritura en un archivo, de forma que puedan leerlo, escribir en
él y grabarlo. Esto quiere decir que tendrá que cambiar la sección «otros» en los
permisos de archivos.
De un vistazo al archivo primero. En el intérprete de comandos de la shell,
escriba:
El comando previo visualiza la información de este archivo:
Teclee lo siguiente:
El comando o+w le dice al sistema que desea dar a
«otros» el permiso para escribir en el archivo sneakers.txt.
Para controlar los resultados, puede nuevamente listar los
detalles relativos al archivo:
Ahora, cualquiera puede leer o escribir el archivo
Para quitar los permisos de lectura y escritura
del archivo sneakers.txt use el comando chmod.
Al escribir go-rw, le está diciendo al sistema que quite
los permisos de lectura y escritura para el grupo y para otros del archivo
sneakers.txt.
El resultado sería similar a:
Piense que estas configuraciones usando chmod,
es como un tipo de taquigrafía para cambiar los privilegios de acceso,
porque todo lo que debe hacer realmente es recordar unos pocos símbolos
y letras para usar con chmod.
A continuación tiene una lista de la taquigrafía
utilizada y sus correspondencias:
Identidades
u — es el usuario propietario del
archivo
g — es el grupo al que el usuario pertenece
o — otros, el resto del mundo (ni el propietario,
ni su grupo)
a — todo el mundo
(u, g, y
o)
Permisos
r — acceso a lectura
w — acceso a escritura
x — acceso de ejecución
Acciones
+ — añadir los permisos
- — elimina los permisos
= — hace que sea el único permiso
¿Quiere comprobar sus habilidades de permisos? Suprima todos
los permisos de sneakers.txt — para todo el mundo.
Ahora vea si puede leer el archivo con el comando cat
sneakers.txt, que debería devolver lo siguiente:
¡Funciona! al remover todos los permisos, incluyendo
los suyos, ha bloqueado el archivo. No obstante, como el archivo le pertenece, siempre
puede cambiar sus permisos con el comando siguiente:
Use el comando cat sneakers.txt para verificar que usted
como propietario del archivo, lo puede leer otra vez.
He aquí algunos ejemplos comunes de configuración que se pueden realizar con
chmod:
g+w — añade el acceso de escritura para el grupo
o-rwx — eliminar los permisos para los
demás
a+rw — permite a cualquiera leer y
escribir en el archivo
ug+r — permitir al propietario o al
grupo leer el archivo
g=rx — concede al grupo la lectura y
la ejecución (no la escritura)
Añadiendo la opción -R puede cambiar los
permisos para el árbol entero del directorio donde se encuentra.
De todas formas puesto que no podemos «ejecutar» un
directorio como si fuera una aplicación; cuando añada o
elimine los permisos de ejecución para un directorio, estará concediendo (o
denegando) los permisos de búsqueda en el interior de este directorio
Si no le permite a otros tener permiso de ejecución sobre
tigger, no importa quién tenga permiso de lectura
o escritura. Nadie podrá accesar el directorio a menos que conozca exactamente
el nombre del archivo.
Por ejemplo, escriba:
para quitarle a todos los permisos de ejecución.
Esto es lo que ocurre cuando intenta de ejecutar cd en
tigger:
Luego, restaure su propio acceso y el del grupo:
Ahora, si verifica su trabajo usando ls -l verá que solamente
otros tendrán el acceso denegado para el directorio
tigger.
¿Se acuerda de cuando hablábamos del modo abreviado
(taquigráfico) para utilizar
chmod? Aquí tiene otra manera de cambiar los permisos;
que quizás en principio podrá parecerle algo más compleja.
Vuelva a los permisos originales de
sneakers.txt:
Cada configuración del permiso puede estar representada por
un valor numérico:
r = 4
w = 2
x = 1
– = 0
Si se suman estos valores, el resultado se utiliza para especificar
los permisos. Por ejemplo, si quiere leer y escribir permisos,
tendrá un valor de 6; 4 (leer)+ 2 (escribir)= 6.
Para el archivo sneakers.txt, aquí tiene un ejemplo
de los permisos codificados en números:
| | |
4+2+0 4+2+0 4+0+0
El total para los usuarios es seis, el total para los grupos es seis
y el total para para los demás es cuatro. El código de permisos será
664.
Si quiere cambiar el archivo sneakers.txt para que aquellos
en su grupo no tengan acceso a escritura, pero si lo puedan leer, quite el acceso
eliminando dos (2) de ese grupo de números.
Los valores numéricos serán seis, cuatro y cuatro (644).
Para llevar a cabo los nuevos valores, escriba:
Para controlar los cambios, teclee:
El resultado debería ser:
Ningún usuario, a parte del propietario, puede escribir el
archivo (ni el grupo ni otros)
sneakers.txt. Para reestablecer los derechos de
escritura del grupo en el archivo, puede añadir el valor de w (2)
al segundo grupo de permisos.
Aviso Los permisos a 666 (cualquiera puede leer o escribir) o 777 (cualquiera
puede leer, escribir y ejecutar) dan la posibilidad a todos de leer
o escribir un archivo o un directorio. Estos permisos pueden dañar los archivos,
por ello utilizarlos no es buena elección.
Aquí tiene una lista de algunos valores numéricos y de
los significados relativos:
-rw------- (600) — Sólo el
propietario tiene el derecho de leer y escribir.
-rw-r--r-- (644) — Sólo el propietario
tiene los permisos de leer y escribir; el grupo y los demás sólo pueden leer.
-rwx------ (700) — Sólo
el propietario tiene los derechos de leer, escribir y ejecutar el archivo.
-rwxr-xr-x (755) — El
propietario tiene los derechos de leer, escribir y ejecutar; el grupo y los
demás sólo pueden leer y ejecutar.
-rwx--x--x (711) — El propietario
tiene los derechos de lectura, escritura y ejecución; el grupo y los demás
sólo pueden ejecutar.
-rw-rw-rw- (666) — Todo el
mundo puede leer y escribir en el archivo. ¡No es una buena elección!
-rwxrwxrwx (777) — Todo el
mundo puede leer, escribir y ejecutar. ¡Otra mala elección!
Aquí tiene un conjunto de valores para los directorios:
drwx------ (700) — Sólo el
propietario puede leer y escribir en este directorio.
drwxr-xr-x (755) — Cualquiera
puede leer el directorio, pero su contenido lo puede cambiar
sólo el usuario
Encadenar comandos múltiples