Zarządzanie uprawnieniami dostępu do zasobów w Debianie
Wprowadzenie
Bezpieczeństwo systemu Linux, w tym Debiana, opiera się na precyzyjnym zarządzaniu uprawnieniami dostępu do plików, katalogów i procesów. Właściwa konfiguracja pozwala kontrolować, kto i w jaki sposób może korzystać z zasobów systemowych.
W tym artykule omówimy:
- Podstawowe uprawnienia w Linuxie (rwx)
- Zarządzanie uprawnieniami za pomocą chmod, chown i chgrp
- Listy ACL dla bardziej zaawansowanej kontroli dostępu
- SELinux i AppArmor jako dodatkowe mechanizmy zabezpieczeń
1. Podstawowe uprawnienia w Linuxie
W Debianie każdy plik i katalog ma trzy poziomy dostępu:
- Właściciel (user – u)
- Grupa (group – g)
- Inni użytkownicy (others – o)
Uprawnienia te określają, co użytkownik może zrobić z danym zasobem:
r(read) – odczytw(write) – zapisx(execute) – wykonanie
Aby zobaczyć uprawnienia pliku, użyj polecenia:
ls -l
Przykładowy wynik:
-rw-r--r-- 1 user grupa 2048 mar 9 10:00 dokument.txt
Interpretacja:
-rw-r--r--– oznacza plik, w którym:- Właściciel ma odczyt (
r) i zapis (w) - Grupa ma tylko odczyt (
r) - Inni użytkownicy mają tylko odczyt (
r)
- Właściciel ma odczyt (
user– właściciel plikugrupa– grupa właściciela
2. Zmiana uprawnień – chmod
Polecenie chmod pozwala na zmianę uprawnień pliku lub katalogu.
2.1 Zmiana uprawnień za pomocą symboli
Przykłady:
- Nadaj plikowi prawo do wykonania dla właściciela:
chmod u+x skrypt.sh - Usuń prawo zapisu dla grupy:
chmod g-w dokument.txt - Ustaw pełne prawa dostępu dla wszystkich (
rwxdla właściciela, grupy i innych):chmod ugo+rwx plik.txt
2.2 Zmiana uprawnień w systemie ósemkowym
Uprawnienia można także zapisać w systemie liczbowym:
r = 4,w = 2,x = 1chmod 755 skrypt.shoznacza:- Właściciel:
7(4+2+1 = rwx) - Grupa:
5(4+0+1 = r-x) - Inni:
5(4+0+1 = r-x)
- Właściciel:
3. Zmiana właściciela i grupy – chown i chgrp
Czasami konieczna jest zmiana właściciela lub grupy pliku.
- Zmiana właściciela pliku:
sudo chown nowy_użytkownik plik.txt - Zmiana grupy pliku:
sudo chgrp nowa_grupa plik.txt - Zmiana właściciela i grupy jednocześnie:
sudo chown nowy_użytkownik:nowa_grupa plik.txt
Aby zmienić właściciela plików w katalogu rekurencyjnie, użyj -R:
sudo chown -R user:group /ścieżka/do/katalogu
4. Kontrola dostępu za pomocą list ACL
Standardowe uprawnienia w Linuxie są ograniczone do właściciela, grupy i innych użytkowników. ACL (Access Control List) pozwala przypisać uprawnienia indywidualnym użytkownikom.
4.1 Instalacja narzędzi ACL
W Debianie ACL są zazwyczaj domyślnie dostępne. Jeśli nie masz ich zainstalowanych, użyj:
sudo apt install acl -y
4.2 Dodawanie specjalnych uprawnień
Aby nadać użytkownikowi jan prawo odczytu do plik.txt, użyj:
setfacl -m u:jan:r plik.txt
Aby dać pełne prawa zapisu i wykonania:
setfacl -m u:jan:rwx plik.txt
4.3 Sprawdzanie list ACL
Aby sprawdzić, jakie dodatkowe uprawnienia ma plik:
getfacl plik.txt
5. Rozszerzone zabezpieczenia: SELinux i AppArmor
5.1 SELinux
SELinux to zaawansowany mechanizm kontroli dostępu stosowany w systemach Linux. Aby sprawdzić, czy jest aktywny w Debianie, użyj:
sestatus
Jeśli chcesz go włączyć, zainstaluj:
sudo apt install selinux-basics selinux-policy-default -y
Po instalacji uruchom:
sudo selinux-activate
5.2 AppArmor
W Debianie domyślnie stosuje się AppArmor do ograniczania dostępu aplikacji do zasobów systemowych.
Aby sprawdzić status:
sudo aa-status
Jeśli chcesz włączyć AppArmor, użyj:
sudo systemctl enable apparmor
sudo systemctl start apparmor
6. Podsumowanie
Zarządzanie uprawnieniami w Debianie pozwala na skuteczne zabezpieczenie plików i katalogów. Kluczowe mechanizmy to:
✅ Standardowe uprawnienia (chmod, chown, chgrp)
✅ Rozszerzone listy ACL dla precyzyjniejszej kontroli
✅ SELinux i AppArmor jako dodatkowe warstwy bezpieczeństwa
Dzięki tym narzędziom możesz skutecznie kontrolować dostęp do zasobów i minimalizować ryzyko nieautoryzowanego dostępu do systemu.
Więcej o Linux możesz poczytać tu: Linux podstawy
Zarządzanie pamięcią podręczną DNS w Windows i Linux – optymalizacja i troubleshooting Pamięć podręczna DNS (DNS Cache) odgrywa kluczową rolę Czytaj dalej
MikroTik dla zaawansowanych — część 9: Automatyzacja reakcji: Self-Healing Network z MikroTik, Ansible i SOAR Wstęp: Dlaczego warto automatyzować reakcje? Czytaj dalej
