http://www.zago.eti.br/direitos.txt FAQ com mensagens relacionadas a permissões, também indicação pra outros FAQ relacionados ao controle de acesso. Use CTRL+F para refinar a pesquisa. Algumas indicações de outros arquivos do FAQ e comandos. Usuario comum executar tarefas de root. http://www.zago.eti.br/sudo.txt Permissão em arquivos e diretorios. http://www.zago.eti.br/chmod.txt Alterar o dono do arquivo ou diretório. http://www.zago.eti.br/chown.txt FAQ com mensagens relacionadas a usuários em geral. http://www.zago.eti.br/user.txt ACL - controle de acesso via ACL, FAQ e indicações. http://www.zago.eti.br/acl.txt Pra pacotes especificos como Samba, senhas em diretórios do servidor web (apache), ftp, ldap, assuntos relacionados a e-mail, banco de datos e outros aplicativos, veja no FAQ especifico sobre o pacote. Pesquise também sobre os comandos: chattr - change file attributes on a Linux second extended file system man chattr lsattr - list file attributes on a Linux second extended file system man lsattr groupadd - Criar um novo grupo man groupadd usermod - Modify a user account man usermod userdel - Delete a user account and related files man userdel useradd - Create a new user or update default new user information man useradd groupmod - Modifica um grupo man groupmod groupdel - Apaga um grupo man groupdel passwd - atualiza a senha de um usuário man passwd chsh - altera o interpretador de comandos do usuário (login shell) man chsh chfn - muda a informação do usuário apresentada no utilitário finger man chfn Veja o /etc/security/ console.perms e outros arquivos que controla as permissões. SELinux - Security-Enhanced Linux http://www.nsa.gov/selinux/ Neste texto contém mensagens sobre ACL, use CTRL+F para localiza-las. ********************************** ls -la exibe a lista de arquivos com as permissões Quando tiver problemas com atributos de arquivos veja: chattr lsattr ********************************** Suid é permitir que usuários executem um programa que exige privilégios de root é dar permissão a qualquer pessoa executar um programa que só root poderia executar. Muito cuidado com estas permissões, mas precisando execute: # cd /usr/bin # chmod +s programa1 programa2 chmod muda as permissões do arquivo. o "+s" torna o(s) programa(s) como suid. o "-s" tira o suid do programa ex.: #chmod -s programa1 ********************************** ********************************** De: crg Responder-a: crg3k@terra.com.br Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) RES: (linux-br) mudar permissoes de uma vez Data: 24 Jul 2002 10:02:04 -0300 On Quarta 24 Julho 2002 09:30, Joselito Batista wrote: > Já tentou: > chmod -R permissao Arquivo/Diretorio > -R -Altera recursivamente as permissões dos diretórios e sub. O problema com esse comando eh que ele vai mudar todas as permissoes inclusive dos diretorios, se voce tirar o "x" das permissoes de um diretorio voce nao vai mais poder entrar nele. Usando o find vc pode definir que quer apenas mudar o que for arquivo como no meu exemplo: find ./ -type f -exec chmod 640 {} \; > Cuidado com esse comando! :-) ********************************** De: crg Responder-a: crg3k@terra.com.br Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) mudar permissoes de uma vez Data: 24 Jul 2002 09:48:57 -0300 On Quarta 24 Julho 2002 09:03, Marcus Cavalcanti wrote: > Estou querendo alterar as permissoes de todos os arquivos pertencentes a um > diretório e dos arquivos pertencentes aos subdiretórios abaixo e assim por > diante... como são muitos os subdiretórios abaixo do diretório principal, > eu gostaria de saber se existe alguma forma de alterar todas as permissoes > de uma vez... ou o jeito é mesmo ter que entrar de diretório em diretório e > alterar as permissões dos arquivos ? find ./ -type f -exec chmod 640 {} \; Esse comando muda todas as permissoes dos arquivos no diretorio atual e todos os arquivos nos subs para rw-r----- mas nao altera as permicoes dos diretorios. Lembre que se voce remover o x das permicoes de um diretorio voce nao vai mais poder entrar nele ate colocar a permissao novamente. ********************************** >Por exemplo, se um arquivo no Linux tiver as seguintes permissões: > >-rwxrwxrwx > >ele será delével pelo dono, pelo grupo e pelo resto do mundo. Para tornar um >arquivo indelével, você deve alterar as permissões para: > >-r-xr-xr-x > >Bonito, não? É bonito. Mas está errado. O usuario root pode deletar qualquer arquivo com qualquer propriedade, mesmo que ele esteja marcado como somente leitura. Faça o teste :). A unica solucao para isso é mudar o atributo do arquivo direto no filesystem com: # chattr + i arquivo.arq Daí, ele será marcado como imutavel direto nos inodes, e nao pode ser deletado por ninguem, nem mesmo root, a nao ser que o root desligue esse atributo com chattr -i. -- ********************************** > um arquivo dessa pasta. Tentei usar permissão 777 na pasta e 755 nos > arquivos dentro dela, mas eles acabam sendo deletados mesmo. Gostaria > de saber se há uma opção para resolver essa questão. Procure por "sticky bit" no histórico. ********************************** De: Leandro Hoffman Responder-a: leandroh@ieg.com.br Para: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Usuario com permissao deescrita em particao vfat Data: 24 Jun 2002 17:55:29 +0000 > >mesmo no fstab estando rw nas opcoes... ou montando manualmente. > Coloque a opção "user" depois do "rw"... Geralmente eu coloco assim: /dev/hdXY /mnt/win vfat noauto,user,rw,nosuid,noexec Qq coisa: man mount, man fstab. FaloW! ********************************** De: Claudio Matsuoka Para: lg.lima Cc: linux-br Assunto: Re: (linux-br) Diretório com senha Data: 30 Jul 2002 10:22:38 -0300 On Tue, 30 Jul 2002, lg.lima wrote: > preciso criar um diretório em minha máquina e gostaria de protegê-lo > com uma senha de acesso. Isso é possível ? Eu uso o cfs para isso. Description: Cryptographic Filesystem CFS pushes encryption services into the Unix(tm) file system. It supports secure storage at the system level through a standard Unix file system interface to encrypted files. Users associate a cryptographic key with the directories they wish to protect. Files in these directories (as well as their pathname components) are transparently encrypted and decrypted with the specified key without further user intervention. . CFS employs a novel combination of DES stream and codebook cipher modes to provide high security with good performance on a modern workstation. CFS can use any available file system for its underlying storage without modification, including remote file servers such as NFS. ********************************** De: Geison Tel Para: Marcos S.Trazzzini Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Problemas com ACL Data: 11 Sep 2002 21:44:54 -0300 Olá Marcos, Vamos ver se posso te ajudar. > > Recentemente habilitei o suporte para as ACLs POSIX no meu linux (RedHat 7.3, kernel 2.4.19). Fiz tudo como mandava no tutorial. > Legal. > Mas acontece o seguinte, quando eu dou "setfacl" no arquivo teste.txt, por axemplo ocorre o seguinte: > > setfacl: teste.txt: Operation not supported > > Isso acontece com a opcao "-m", agora com a opcao "-s" ocorre o seguinte: > > setfacl: teste.txt: Resulting ACL `user:root:r-x,mask::r-x': Missing or wrong entry at entry 1 Bom eu suspeito que você não está fazendo a configuração certa do arquivo que você que no caso o arquivo "teste.txt", estou passando um procedimento abaixo, veja: 1- Para abilitar diretorio ou arquivo faça os seguintes passos: setfacl -s u::---,g::---,o:---,m:---,d:u::---,d:g::---,d:o:---,d:m:--- teste.ps Na opção acima você preparou o arquivo ou diretório para aceitar ACL, você pode dar um ls -la e perceber que o seu arquivo deve estar assim: -rwxr-x---+ 1 root other 548864 Aug 2 18:19 teste.ps O sina de "+" no fim dos campos que indicam direitos do arquivo sgnifica que esse arquivo está com ACL. 2- Apos configurar o arquivo ou diretório para receber ACL você deve inserir as permissõe default: setfacl -m default:group:administrador:rwx teste.ps 3- E depois insira as permissões do arquivo ou diretório: setfacl -m group:administrador:rwx teste.ps Espero ter ajudado, caso tenha problemas envie um mail Ok. até mais -- _ Geison Tel °v° RNP - Rede Nacional de Pesquisa /(_)\ Brasil - Campinas - SP ^ ^ http://www.rnp.br ********************************** De: Fábio Berbert de Paula Para: clrangel@uol.com.br Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) bits de suid Data: 13 Nov 2002 16:02:39 -0200 Olá Cezar, > com o comando > chmod a-s `cat suid.txt` (desativador dos bits de suid) > criei um grande transtorno em meu linux slack8.1. Assim, > gostaria de reverter, mas a dica para comandar > chmod a+s `cat suid.txt` > não está dando certo, como abaixo: > bash-2.05a# chmod a+s `cat suid.txt` > bash: /bin/chmod: Argument list too long Tente assim: # for ARQUIVO in `cat suid.txt`; do chmod a+s $ARQUIVO; done Atenciosamente, ********************************** De: Marcus Lima Responder-a: marcuslima@marcuslima.eti.br Para: Fernando , linux-br@bazar.conectiva.com.br Assunto: (linux-br) chown e chmod Data: 01 Dec 2002 14:53:38 -0200 Bom, a sintaxe e metodos de utilização podem ser encontrados no man page dos comandos, leia com atenção. Sobre a utilização do formato binário das permissões, segue um macete que utilizo em minhas aulas. Se: 7 é igual a rwx (permissão completa) 4 é igual a r-- (somente leitura) 2 é igual a -w- (somente escrita) 1 é igual a --x (somente execução) 0 é igual a --- (nenhuma permissão) Observe: 6 é igual a rw-, porque 4+2 é igual a r-- + -w- 5 é igual a r-x, porque 4+1 é igual a r-- + --x 3 é igual a -wx, porque 2+1 é igual a -w- + --x Agora que temos todas as permissões (de 0 até 7), vale observar que não precisamos gravar que 7 é tudo e 0 é nada, mas precisamos gravar que 1 equivale a execução, 2 a gravação e 4 a leitura. Assim podemos formar qualquer permissão que desejarmos com binários. Como o comando chmod iguala as permissões desejadas não importanto as anteriores, para trocar a permissão de um arquivo, basta digitar o comando com a nova permissão. exemplo: rwxr-xr-x e quero trocar para rw-r--r--, não preciso subtrair a execução do que já existe e sim jogar a nova permissão por cima da antiga... (se a antiga era 755 e quero 644, basta digitar: chmod 644 arquivo). Sobre as permissões extras (bit suid, bit sgid e stick bit), basta adicionar no início do binário os seguintes números: 1 para Stick bit 2 para Bit sgid 4 para Bit suid Exemplo: chmod 4755 arquivo - Marcus Limaa ********************************** De: Humberto L Jucá Responder-a: ginux-l@comp.ufla.br Para: ginux-l@comp.ufla.br Assunto: [ginux-l] Re: permissões Data: 21 Jan 2003 12:15:25 -0400 As permissões "s" e "t" são relacionadas a bits especiais de controle. O "suid bit" pode ser aplicado ao dono do arquivo (usuário) e grupo. Vc utiliza estes bits qdo desejar que um arquivo seja executado usando as permissões do dono do arquivo. Vc faz com que o processo rode com as permissões de um usuário específico. Por exemplo: ls /sbin/shutdown -rwxr-xr-x 1 root root 16664 Ago 13 21:51 /sbin/shutdown* Mesmo que vc dê permissão de execução a outros, alguns sistemas não permitirão o shutdown a usuários comuns (pq ele faz acesso a arquivos restritos). Existem diferentes formas de se resolver isto - neste caso de preferencia ao "sudo" (é muito mais seguro). Se vc quiser que um usuário comum, execute o shutdown como se fosse o root, então vc precisa fazer isto: chmod u+sx /sbin/shutdown chmod o+x /sbin/shutdown O bit precisa da permissão "x" para funcionar, e para que qualquer usuário possa executar o arquivo, vc precisa colocar a permissão "x" a "outros" tb. "Se vc esqueçer de dar permissão de execução ao dono, o 's' aparecerá em maiúsculo". A grosso modo, vc "vira root" (que é o dono) qdo executar. O bit para o grupo faz vc herdar as permissões do grupo. Evite usar suid e sgid, pq é altamente inseguro. Muitos rootkits procuram por arquivos com suid para explorar - uma falha em arquivos com suid pode facilitar muito a vida para quem fizer um ataque. O "t" (sticky bit) é outro bit de controle. Vc aplica, normalmente, a diretórios. Arquivos criados em diretórios com sticky bit ativo, só poderão ser removidos pelo DONO do arquivo. Se não me engano, a permissão "t" sobre arquivo dará prioridade de CPU. Ahhh... existem outros TIPOS de arquivos como b (blocado) e c (caracter). T mais..... ********************************** De: NightWolf Para: Maycon , linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Permissão a arquivos Data: 24 Feb 2003 10:14:18 -0300 Maycon, faz o seguinte : groupadd dqa chgrp dqa /pasta/deptos/ -R usermod -G dqa danieli depois de um chmod 775 na pasta onde vc gostaria que outros usuarios acessasem como somente leitura. Caso queira que outros usuarios nao vejam os arquivos de a permissao 770 Explique melhor o que gostaria de fazer. Willian ********************************** De: Helder Jean Para: Edson Ahlert Cc: linux-br Assunto: Re: (linux-br) Re: Permitir usuário normal ter acesso a pasta sobre a qual não possui privilégios Data: 10 Apr 2003 14:23:01 -0300 Edson Ahlert wrote: > E aí!!! > > Tenho hoje dois grupos principais: professor e aluno. > > Gostaria que apenas alguns professores pudessem acessar as pastas dos > alunos, para correção de exercícios... > > As pastas de todos os dos alunos estão como: d rwx --- --- > nomealuno.aluno > (corta) Cria um grupo extra pra esses professores que devem ter acesso aos diratórios dos alunos. groupadd profs usermod -G profs login_do_professor Assim ele fica pertencente a dois grupos, e você então pode dar permissão a esse novo grupo acessar os diretórios. []'s ********************************** De: Márcio Schneider Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) RES: (linux-br) Re: Permitir usuário normal ter acesso a pasta sobre a qual não possui privilégios Data: 10 Apr 2003 08:45:24 -0300 Use file ACLS ou trustees. Ambos estão disponíveis para o kernel linux. ACL: http://acl.bestbits.at/ Exemplo de quem usa: Windows NT Trustees http://trustees.sourceforge.net/ Exemplo: Netware Se você me perguntar qual é melhor, diria que prefiro trustees. Mas ACLs é muito mais utilizado. []´s Márcio > [mailto:linux-br@bazar.conectiva.com.br]Em nome de Edson Ahlert > Para: linux-br > Assunto: Re: (linux-br) Re: Permitir usuário normal ter acesso a pasta > sobre a qual não possui privilégios > E aí!!! > > Tenho hoje dois grupos principais: professor e aluno. > > Gostaria que apenas alguns professores pudessem acessar as pastas dos > alunos, para correção de exercícios... > > As pastas de todos os dos alunos estão como: d rwx --- --- > nomealuno.aluno > > Não posso fazer um chmod g+r, pois estaria liberando para todos > professores > e para outros grupos, que porventura venham a existir. > > Por isso não posso usar chmod, chown ou chgrp. ********************************** De: Artur Coutinho Responder-a: arturpc@uai.com.br Para: Anderson Silva Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) Remover arquivo corrompido Data: 14 Apr 2003 21:22:10 -0300 Em Seg 14 Abr 2003 12:57, Anderson Silva escreveu: > voce conhece o comando "chattr" ? > > On Sat, 2003-04-12 at 22:51, Artur Coutinho wrote: > > [root@spider log]# chmod 777 messages > > chmod: changing permissions of `messages': Operação não permitida Olá, Anderson! Essa era a dica que faltava! Realmente o arquivo estava cheio de atributos que o tornavam "indeletável". Foi só excluir os atributos e consegui removê-lo. Aliás, descobri uma grande falha pessoal: ainda não conhecia a dupla chattr e lsattr. Quanta ignorância! Muito Obrigado, ********************************** De:  Marcio Merlone Para:  Rubens Aurelio Mascari Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Como fazer no ProFTPD Data:  Wed, 30 Jul 2003 17:45:21 -0300 On Tue, 29 Jul 2003 22:49:46 -0300 Rubens Aurelio Mascari wrote: > Olá a todos, > > Preciso configurar meu servidor FTP para permitir que um usuário possa > administrar as contas de vários usuários, assim como eles mesmos, ou Pera um pouco, administrar as contas ou os arquivos dos usuários. Administrar contas é criar/remover usuários no passwd... > seja, o usuário admin tem acesso (alteração) a todo o conteúdo dos > usuários user1, user2,..., userN. Desta forma, a área do usuário user1 > pode ser modificada pelo usuário user1 e pelo admin e assim > sucessivamente para todos os outros usuários. Em sendo alterar conteúdo de arquivos, é possível independente de ser proftpd. Basta engenhar os grupos e homedirs. no filesystem: admin   |   -- user1   |   |   |   -- user1.1   -- user2   |   -- user3 Nesta situação, o home de user1, 2 e 3 estão dentro do home do admin. Os users têm um grupo com o nome deles, o admin pertence a estes grupos e o umask para esta arvore de diretorios é definido em 002. Defina também default_chroot = ~ para estes usuários (não tenho certeza do nome do parâmetro, vê lá o que chroota o usuário no home). O único senão deste esquema é que quando o admin criar um arquivo dentro do home de algum user, o user não vai conseguir escrever nele, a não ser que pertençam ao mesmo grupo principal do admin, o que não me parece problema. O mesmo raciocínio para sub-users (user1.1), onde admin e user1 pertencem ao grupo user1.1 -- Marcio Merlone ********************************** De:  Leonardo Vicenzi Para:  Pedro Losco Takecian , Linux-BR Assunto:  Re: (linux-br) Samba - dúvida... Data:  Mon, 23 Jun 2003 10:28:16 -0300 Tu poderia colocar esse usuarios restritos num grupo diferente, ex RESTRITO. e no diretorio dar o comando " chown -R root:restrito nomedir " .. e depois o comando " chmod -R 750 ou 770 nomedir ". Aih soh os usuarios pertencentes ao grupo restrito terao acesso ao diretorio! A opcao -R dos comando eh de recursivo (todos os diretorios abaixo (dentro) dele ficarao com as mesmas permissoes). E faz um compartilhamento soh contendo o diretorio principal! Falow abracos > Compartilhar um diretório (que contém subdiretórios) para que possa ser acessados nas > máquinas windows. > Porém, um destes subdiretórios deve ter acesso restrito a alguns usuários. ********************************** De:  Otavio Augusto Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)SUID (chmod) Data:  Mon, 15 Sep 2003 10:53:57 -0300 Galera eu to com uma duvida sobre permissoes de arquivos . por exemplo eu tenho um programa chamado prog e este programa so pode ser executato pelo root devido ao seu funcionamento mas eu gostaria que um usuario (somente um usuario ) pudesse excutar somente este programa como se fosse o root eu sei que se eu der um chmod +s prog , todos os usuario poderao executar este programa . tem alguma maneira de deixar que somente um usuario possa ter este privilegio . Sem usar o sudo pois isto tambem queria se aplicar a arquivos TXT que o sudo nao controla. De:  Marcus Lima Responder-a:  marcuslima@marcuslima.eti.br Para:  Otavio Augusto , linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)SUID (chmod) Data:  Mon, 15 Sep 2003 12:26:57 -0300 Crie um grupo que possa executar este programa, inclua esse usuário neste grupo e defina a seguinte permissão: chown root.grupo prog chmod 4750 prog Assim quando alguem do grupo executar o aplicativo terá poder de root. Att, Marcus Lima. Consultor de Segurança Aker Security Solutions - Regional RJ/ES www.aker.com.br ********************************** De:  Carlos Arroyo Junior Responder-a:  carlosar@horizon.com.br Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br) Permissão de arquivos Data:  Thu, 11 Dec 2003 08:40:05 -0200 Olá! Primeiro observe o seguinte: l   rwx  rwx  rwx H   U    G    O Quando quiser lembrar das permissões dos arquivos, lembre-se do nosso amigo HUGO: - (U)suários: permissões para os usuários(donos) dos arquivos. - (G)rupo: permissões para as pessoas do grupo - (O)utros: permissões para os outros. Qualquer outra pessoa do sistema.   -(H): explico mais tarde Se você fizer ls -l você verá o nome dos usuários(donos)  e o nome dos grupos que têm acesso aos arquivos. Exemplo: ls -l -rwxr-xr-x    1 carlosar users        2,3K 2003-10-18 07:59 .bashrc usuário dono do arquivo: carlosar grupo: users Agora, respondendo sua pergunta, a configuração do arquivo que você mostrou é:  l   rwx rwx rwx     ( I )  H   U   G    O e você quer mudar para:  -    rwx  r-x   r-x  ( II )  H    U    G    O A diferença ( I ) e ( II ) é que em ( II ) você não tem permissão de escrita(w) para o grupo e para os outros. Portanto o que você deve fazer é: chmod go-w  nome_do_arquivo Lembre-se: o sinal de + (mais) adiciona uma permissão e o sinal de - (menos) retira uma permissão. Com a opção:  go-w  você está tirando uma permissão de escrita do Grupo e dos Outros usuários. Resolvido? E aquela letra L minúscula que aparece debaixo do H? Bom, aquilo você não consegue mudar com o comando chmod. Aquilo que está debaixo do H representa a natureza do arquivo. Pode ser: uma letra d (o arquivo é um diretório), um traço (o arquivo é um arquivo mesmo) ou ainda uma letra L ( o arquivo é uma ligação simbólica, um atalho para um arquivo). Suponha que você é o dono de uma pequena empresa. Como o comando chmod você tem o poder para conceder ou retirar permissões de seus funcionários. Você pode conceder permissão a Ana Rita para trabalhar com o dinheiro da empresa, ou retirar a permissão do Juquinha para usar o gravador de cdrom. Todavia, você não consegue modificar a natureza deles, você não pode, por exemplo, mudar o sexo do Juquinha. Espero ter sido útil. Saudações e até logo! Em Qua 10 Dez 2003 12:07, Luciano escreveu: > Gente, > > Desculpem a minha ignorancia, mas como eu altero a permissão de arquivos de > lrwxrwxrwx     para -rwxr-xr-x > > Já fiz de tudo que era cheito de chmod > ********************************** De:  Thiago Macieira Para:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br) Negar cópia de arquivo ! Chmod ? Data:  Fri, 19 Dec 2003 17:32:45 -0200 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Geison_gsn wrote: >Boa tarde galera! > >tenho uns arquivos com as seguintes permissões..... >          drwxr-xr-x >como faço para negar, aos usuários do grupo de leitura, a cópia do arquivo >para outra pasta? Impossível. Ou você permite que os usuários leiam, ou que não leiam. Não tem meio-termo. Notando que tudo que podem ler, eles podem gravar em outro lugar (= copiar). - --   Thiago Macieira  -  Registered Linux user #65028    thiagom (AT) mail (dot) com     ICQ UIN: 1967141 ********************************* De:  Jorge Godoy Para:  linux-br@bazar.conectiva.com.br Assunto:  Re: (linux-br) Negar cópia de arquivo ! Chmod ? Data:  Sun, 21 Dec 2003 10:01:30 -0200 On Friday 19 December 2003 17:32, Thiago Macieira wrote: > Impossível. Ou você permite que os usuários leiam, ou que não > leiam. Não tem meio-termo. Com o kernel 2.6 já poderemos mudar isso: será possível usar ACLs. As coisas ficarão ainda mais complicadas, mas muito mais maleáveis para os administradores. Sds, -- Godoy.     ********************************* De:  Cássio Luiz Responder-a:  cassiol@transoft.com.br Para:  Davinio Ross Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Chown - como voltar a traz? Data:  Tue, 06 Jan 2004 08:14:42 -0200 Davinio Ross wrote:   > > > Olá! > > > > Como faço para desfazer, quando foi dado o comando chown bala -R *, na raiz > > ? Quero voltar a traz, como faço? > > > > > >    > > Se utiliza programas baseados em rpm pode utilizar os comandos abaixo: Para recuperar as permissões dos programas rpm --setperms "nomedopacote" Para recuperar o dono e grupo rpm --setugids "nomedopacote" Para realizar a operação para todos os programas pode crie um script. -- Atenciosamente, Cássio Luiz cassiol@transoft.com.br cassiol_bsb@yahoo.com.br ********************************* De:  ratmmmam@cnbf.org.br Para:  linux-br@bazar2.conectiva.com.br Cc:  Herbert de Carvalho Assunto:  Re: (linux-br)Problemas com permissões Data:  Wed, 2 Jun 2004 13:14:01 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 On Wednesday 02 June 2004 10:31, Herbert de Carvalho wrote: > Existe em pasta (/home/publicos) que desejo tenha permissão 777. > Contudo, depois que altero a permissão, no máximo 5 minutos depois ele > volta para a permissão anterior (755) sem que eu tenha feito nada. já te respondí isso na lista oficial do mdk, mas lá vai novamente: o msec quem faz isso... abra o mcc e verifique as opções da aba "segurança". lá, dentre outras coisas, encontrará uma opção onde vc configura as permissões padrões dos diretórios do sistema, altere a que tá te causando problema ou crie uma específica p/ o teu caso se não existir... em "levels and checks" vc pode definir também um monte de coisas que interferm no comportamento do msec, dê uma olhada nisso tb. vc tb pode baixar o nível de segurança do teu sistema (não recomendo). quanto à segurança disso que quer fazer (777), isso é com vc... PS - nada a ver, mas vc é meu "chará"... -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.4 (GNU/Linux) ********************************* De:  Carlos Carvalho Para:  linux-br@bazar2.conectiva.com.br Assunto:  RE: (linux-br) Estações Linux Data:  Tue, 31 Aug 2004 13:38:35 -0300 De cara da pra lembrar do chattr: chattr -R +i /home/user  Recursivamente a partir do diretorio home do usuario nada mais pode ser alterado..absolutamente nada dentro de /home/user.    Tem que prestar atencao , se qq aplicativo tentar gerar algum arquivo temporario ou qq coisa dentro de /home/user vai obter erro.   Devem haver outras solucoes, so nao lembro agora...   Voce poderia usar NFS e exportar esses diretorios dos clientes para o servidor tambem.  '>'  '>'Prezados,  '>'  '>'Presto serviços a uma empresa com 20 estações Win98 em um servidor  '>'Slackware 10. Iremos iniciar um piloto de conversão de 10 estações para  '>'Linux.  '>'Minha pergunta é: Existe algo ou algum programa que trabalhe nas  '>'estações Linux como um ?Policy ou Active Directory? da Microsoft, ou  '>'seja, que pelo servidor Linux eu possa setar as configurações das  '>'estações e as mesmas fiquem bloqueadas para alterações dos usuários?  '>'  '>'Aceito sugestões e outras formas de se chegar ao mesmo fim.  '>'  '>'Desde já agradeço pelo apoio.  '>'  '>'Alexandre   ********************************* De:  Carlos Carvalho Para:  linux-br@bazar2.conectiva.com.br Assunto:  RE: (linux-br) Permissãode arquivos Data:  Wed, 15 Sep 2004 08:49:23 -0300  Esse assunto eh legal Amin, vale lembrar tambem das permissoes setuid, que sao aquelas que permitem que determinado aplicativo execute com privilegios de superusuario. Em alguns casos arquivos setuid podem ser perigosos, contendo vulnerabilidade de stack overflow  ou heap overflow (esse ultimo menos comum e mais dificil de explorar, ambos podem ser denomidados como buffer overflow) que eh quando um programa possui um buffer determinado para receber geralmente uma string e eh levado a sobrecarregar esse buffer, sendo sobreescrito com codigo malicioso que pode inclusive gerar um /bin/bash , e se o programa for SUID ja era. Root na cabeca.  Para voce setar um programa setuid: chmod 4755 arquivo.txt  Para voce setar um programa sgid:   chmod 2755 arquivo.txt (obs: 755 nesses caso sao as permissoes habituais)  E claro, para voce remover: chmod 0755 arquivo.txt   ou chmod -s arquivo.txt  Embarcando nesse gancho que o Amim forneceu espero ter sido util. Abracos.  '>'          USUÁRIO                 |          GRUPO                 |     '>'         OUTROS  '>'--------------------------------+------------------------------+------------------------------  '>'    R     |      W     |      E     |     R     |    W    |      E    |  '>'    R      |     W     |    E  '>'  400   |     200   |   100    |    40    |    20    |     10    |    4  '>'     |      2     |     1  '>'  '>'Cada MODO é uma ou mais das letras ugoa, um dos símbolos +-= e uma ou mais  '>'das letras rwxXstugo. Segundo o help do chmod, o resultado da soma dos números  '>'acima  '>'vai ser o número que representa o MODO, na prática da pra entender melhor.  '>'  '>'Eu tenho um arquivo chamado arquivo.txt :P,  '>'*quero que os usuários do meu grupo possam LER e ESCREVER = 40 + 20 = 60  '>'*quero também que os outros usários não possam fazer nada = 0  '>'*e quero que meu usuário possa apenas EXECUTAR = 100  '>'  '>'$ chmod 160 arquivo.txt  '>'  '>'o MODO 777 que da permissão total para todos em um determinado arquivo nada  '>'mais é do que a soma  '>'de todos os números :)  '>'  '>'R - read  '>'W - write  '>'E - execute                    '>'Acho que é isso qualquer dúvida perguntem.  '>'  '>'  '>'--  '>'  °v°    Amim Moises Salum Knabben  '>' /(_)\   Desenvolvedor Java / Grupo Stela  '>'  ^ ^    amim@stela.ufsc.br ********************************* De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)2 usuarios no mesmo /home/usuario Data: Tue, 8 Mar 2005 12:16:22 -0300 César B. Viegas wrote: >Preciso ter 2 usuários diferentes acessando exatamente o mesmo > /home/user . Ou seja, com as mesmas permissões e restrições. >Que o acesso via o ftp seja o mesmo. >Em suma tudo igual, só que com dois usuários e duas senhas. Em outras palavras, dois nomes e duas senhas para o mesmo UID. >Tentei adicionar um novo usuário apontando para o mesmo home e grupo do >anterior, só que não funcionou. -- Thiago Macieira - thiago (AT) macieira (DOT) info De: hamacker Para: "César B. Viegas" Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)2 usuarios no mesmo /home/usuario Data: Tue, 08 Mar 2005 12:36:56 -0300 César B. Viegas wrote: > Preciso ter 2 usuários diferentes acessando exatamente o mesmo /home/user . > Ou seja, com as mesmas permissões e restrições. > Que o acesso via o ftp seja o mesmo. > Em suma tudo igual, só que com dois usuários e duas senhas. > Tentei adicionar um novo usuário apontando para o mesmo home e grupo do > anterior, só que não funcionou. > Onde estou errando? voce edita o /etc/passwd e verifica se os dois usuarios tem o mesmo home. Depois verifica se os dois usuarios tem o mesmo GID e UID, ok? Creio que isso será o suficiente. Depois disso nao esqueça de dar um chown . /home/usuario para certificar-se que todos os arquivos tem permissoes identicas. inte+ De: Felipe Martins Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)2 usuarios no mesmo /home/usuario Data: Tue, 8 Mar 2005 11:15:44 -0300 Faça outro usuario da máquina e altere o arquivo /etc/passwd, para que os dois usuarios estejam apontados para o mesmo home. Não esqueca de por tambem os dois no mesmo grupo para que compartilhem as mesmas permissões (de grupo) alterando o arquivo /etc/group. Fique atento para as permissões dos arquivos, qualuqer arquivo que pertencer apenas ao grupo de um dos usuarios, o outro não poderá ver, portanto eles teram que ter as mesmas permissões de grupo que o dono do arquivo tem, caso vc queira faze-los poderem usar os mesmos arquivos da mesma maneira. Abracos Felipe Martins Mundivox Communications Tecnologia e Projetos fmartins@mundivox.com Tel.: +55 +21 +3820 8839 Cel.: +55 +21 +9823 8602 Fax.: +55 +21 +3820 8844 www.mundivox.com ********************************* De: Thiago Macieira Para: Osni Passos , linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Impedir criação de pastas (Samba ou linux) Data: Wed, 23 Feb 2005 08:31:34 -0300 Osni Passos wrote: >Não sejam acessiveis? Não podem exclui-los? Ou não podem ve-los? Não acessíveis = permissão 000. Podem ver que eles existem, mas não podem entrar dentro deles. Não podem criar arquivos dentro, nem apagar o que existe -- nem mesmo ver se tem arquivo dentro! -- Thiago Macieira - thiago (AT) macieira (DOT) info ********************************* De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br, Osni Passos Assunto: Re: (linux-br) Impedir criação de pastas (Samba ou linux) Data: Tue, 22 Feb 2005 20:40:36 -0300 Osni Passos wrote: >Para manter a organização em um diretório compartilhado gostaria de >impedir que os usuarios de criar pastas, deixando criar somente >arquivos, é possivel pela configuração do smb.conf ou pelas permissões >do linux? Não. Mas é possível permitir que os diretórios criados não sejam acessíveis. Aí o pessoal não vai usá-los. directory mode force directory mode -- Thiago Macieira - thiago (AT) macieira (DOT) info ********************************* De: Rodrigo Lima Para: rbonilho@gmail.com, linux-br Assunto: Re: (linux-br) Permissões Aquivos Data: Thu, 20 Jan 2005 15:16:27 -0200 Bom dia, Esse "0" na frente do "777" significa no caso permissão especial. Por exemplo, se vc colocasse 1777, teria permissão de escrita, leitura e execução certo? O 1 significa que terá a permissão especial Stick Bit. Existem 3 tipos de permissões especiais: SUID - É utilizado em arquivos executáveis quando se deseja que o programa seja executado com os privilégios de seu usuário dono. SGID - Tem a mesma função do bit SUID, mas é aplicado ao grupo, ou seja, o programa é executado com privilégios do grupo que pertence. Stick Bit- um exemplo do stick bit ligado é no diretório /tmp: drwxrwxrwt 16 root root 4096 2005-01-20 16:46 tmp Note o "t" no final das permissões. Isto significa que se o usuário maria criar um documento ali somenta esse usuário ou o root poderá remover, mesmo tendo permissão 777. Exemplos: SUID - chmod u+s arquivo_executavel ou chmod 4755 arquivo_executavel (O numero 4 antes das permissões é o valor pro SUID) SGID - chmod g+s arquivo_executavel ou chmod 2755 arquivo_executavel Stick bit - chmod +t diretorio ou chmod 1777 diretorio. Espero ter sido claro, Abraço! Rodrigo de Lima Silva Analista de Suporte Linux Em (08:35:39), Reinaldo Almeida Bonilho escreveu: >Bom Dia, > >Gostaria de esclarecer uma dúvida com vocês. > >As vezes encontro documentações pedindo para que altere permissões para >0777. > >O que siguinifica o "0" na frente do 777 ? > ********************************* De: Jorge Godoy Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Permissões Aquivos Data: Thu, 20 Jan 2005 23:02:53 -0200 Em Quinta 20 Janeiro 2005 20:27, Thiago Macieira escreveu: > Reinaldo Almeida Bonilho wrote: > >Bom Dia, > > > >Gostaria de esclarecer uma dúvida com vocês. > > > >As vezes encontro documentações pedindo para que altere permissões para > > 0777. > > > >O que siguinifica o "0" na frente do 777 ? > > Para o chmod, nada. > > Em C, o 0 significa que o número é octal. Os números são todos octais neste caso. O zero ali indica que não tem nem SUID e nem SGID e nem o sticky bit. -- Godoy. ********************************* De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br, Reinaldo Almeida Bonilho Assunto: Re: (linux-br) Permissões Aquivos Data: Thu, 20 Jan 2005 20:27:08 -0200 Reinaldo Almeida Bonilho wrote: >Bom Dia, > >Gostaria de esclarecer uma dúvida com vocês. > >As vezes encontro documentações pedindo para que altere permissões para > 0777. > >O que siguinifica o "0" na frente do 777 ? Para o chmod, nada. Em C, o 0 significa que o número é octal. -- Thiago Macieira - thiago (AT) macieira (DOT) info ********************************* De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)SSH para usuarios Data: Sun, 15 Feb 2004 11:52:20 -0300 Geraldo Luís wrote: >Pessoal > > É o seguinte, tenho um servidor em que os usuarios se logam via > SSH. Tem como fazer com que eles so fiquem em seus diretorios HOME > Fazer com que eles nao mudem para outro local? Troque o shell deles para o rbash. Mais informações, "man bash", seção RESTRICTED SHELL. -- Thiago Macieira - Registered Linux user #65028 ********************************* De: Gustavo * Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Pasta Publica Data: Thu, 31 Mar 2005 00:18:07 -0300 Saudações pessoas, Cara, você pode utilizar o "sticky bit" do comando chmod. Para mais detalhes dê um "man chmod". Para habilitar esse bit, faça: chmod +t /diretorio1/diretorio2 Isso garante que apenas os donos dos arquivos têm permissão para removê-los, independentemente dos atributos do diretório. ls -l drwxrwxrwt 2 root root 80 2005-03-30 20:03 diretorio2/ Note a letra 't' no final das permissões. Abraços, Gustavo. ********************************* De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br, Diogo Palermo Assunto: Re: (linux-br) segurança em vpn pptpd Data: Thu, 21 Apr 2005 01:32:36 -0300 Diogo Palermo wrote: >gostaria de saber se alguem pode e ajudar, >bom queria saber se existe uma forma de implementar segurança no envio >das senhas utilizando pptpd, e se possivel que desse uma explicadinha >como !! hehe, estou com uma rede vpn funcionando, mas estou com esse >"problema" para resolver Como assim? A autenticação do PPTP é feita através do PPP, que por sua vez pode ser criptografada (PAP, CHAP). Porém, se você está preocupado com segurança, lembre-se que você NÃO deve utilizar Windows como uma de suas pontas. Utilize apenas outras implementações. O PPTP da Microsoft é cheio de furos, desde o Windows 98 e não foi corrigido. -- Thiago Macieira - thiago (AT) macieira (DOT) info PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 1. On frumscafte, hwonne time_t wæs náht, se scieppend þone circolwyrde wundorcræftlíge cennede and seo eorðe wæs idel and hit wæs gód. ********************************* De: Thiago Macieira Para: Flavio Lopes Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Tentando entender o sistema de =?iso-8859-1?q?permiss=F5es?=, usuários e grupos Data: Fri, 22 Apr 2005 11:52:06 -0300 Flavio Lopes wrote: >>Em outras palavras, você está dizendo que o usuário 501 não consegue >>acessar os arquivos do usuário 500. Isso é normal e esperado. >> >>Sugiro utilizar os mesmos IDs. > >Ok, mas o usuário 500 conseguir acessar os arquivos do usuário 501 >também é normal? Depende das permissões. Como não são o mesmo usuário, valem as permissões de grupo e outros. >Por outro lado, não queria usar a mesma partição home para os dois >usuários, pois queria manter configurações personalizadas e diferentes >nos dois sistemas. >Daí eu pergunto, se eu alterar o grupo do usuário onde mais eu vou ter >que mexer. Em toda a árvore do /home/flavio ou isso é automático? Em toda árvore. -- Thiago Macieira - thiago (AT) macieira (DOT) info ********************************* De: Dicas-L-Owner@unicamp.br Assunto: [Dicas-L] Permissões em UNIX/Linux Data: Sun, 1 May 2005 03:51:50 -0300 :::: Evento Voz sobre IP :::::: :::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: No dia 30-04 a Tempo Real realizará o primeiro evento nacional tratando de VoIP com Software Livre. Os participantes terão contato com os fundamentos da tecnologia e conhecer o Asterisk, o PBX mais conhecido do mundo em Software Livre. Mais informações e inscrições: http://eventos.temporeal.com.br/?area=5 ------------------------------------------------------------------------------ **** Treinamento Dextra Sistemas em Campinas **** 25/04 JBoss: Arquitetura e Administração 27/04 Java Essencial 02/05 PHP: Programação com banco de dados 05/05 PostgreSQL: Administração de Banco de Dados 09/05 Jakarta Struts Essencial Mais informações: http://www.dextra.com.br ------------------------------------------------------------------------------ Permissões em UNIX/Linux ======================== Colaboração: Daniel Duclos O UNIX possui um sistema de permissões que define os direitos dos usuários e dos programas sobre todos os arquivos e diretórios. Essas permissões são controladas pelo comando chmod. Para este tutorial utilizaremos a sintaxe da versão GNU desse programa. Sistema Básico de permissões ============================ O sistema básico de permissões é dado em três níveis principais: dono do arquivo (user, em inglês), grupo de usuários ao qual pertence o arquivo (group) e o restante (others). Dos termos em inglês utilizaremos u para representar o dono do arquivo, g para grupo e o para os outros. Cada nível pode ter, por sua vez, três tipos de permissões: leitura (read, representado pela letra r), escrita (write, w) e execução (execute, representado pela letra x). A nomenclatura ugo e rwx, derivadas dos nomes em inglês para os níveis e permissões é comumente usada na Internet e será adotada neste tutorial. O sistema garante o acesso de leitura, gravação ou execução dependendo do valro de um bit associado ao arquivo. Cada bit pode ter o valor de 0 ou 1. Existem então 9 bits para representar as permissões, pois são três noveis (ugo) vezes três permissões possíveis (rwx). Vamos observar o as permissões de um arquivo de exemplo: $ ls -l index.html -rw-r--r-- 1 daniduc webmasters 4632 2004-12-17 13:39 index.html $ Repare no -rw-r--r--. Essas são as permissões do arquivo. As três primeiras são para o dono do arquivo (daniduc), as três seguintes representam os direitos do grupo (webmasters) e as três últimas os dos demais usuários. Vamos destrinchá-las. Os três primeiros bits são -rw. O traço representa o bit inativo (valor zero) e a letra o bit ativo (valor 1). Então vemos que o dono tem permissão de ler e escrever no arquivo, mas não executá-lo. Veja um teste: $ ./index.html bash: ./index.html: Permissão negada $ O sistema avisou que não há permissão para executar o arquivo, como esperado. Assim, concluimos que o arquivo pode ser lido e escrito pelo seu dono e pelos membros do grupo que o possui, e os demais apenas podem lê-lo. Agora veremos como alterar essas permnissões. Para isso, é preciso entender como se referir numericamente à essas permissões. A teoria é muito simples. Vamos montar uma tabela de valores possíveis para os bits de leitura, gravação e execução, que podem estar desligados ( representados por 0) ou ligados (1) rwx 000 001 010 011 100 101 110 111 Ora, podemos converter os valores binários em decimais, e então a tabela ficaria assim: rwx - Valor octal 000 - 0 001 - 1 010 - 2 011 - 3 100 - 4 101 - 5 110 - 6 111 - 7 Assim fica fácil visualizar o valor numérico que representa nossa escolha de permissões. Se queremos que um arquivo tenha permissão de leitura, gravação mas não de escrita teremos o primeiro e o segundo bits ligados e o terceiro desligado, ou seja, 110, que em octal é 6. Agora basta aplicar o mesmo sistema para cada um dos níveis. Para representar as permissões do nosso arquivo de exemplo (rw-, rw-, r--) ficaria 110, 110, 001, ou seja 664. Agora, suponha que eu queira dar a permissão de escrita para todo mundo no arquivo index.html. Bastaria dar o comando: $ chmod 666 index.html Veja como fica: $ ls -l index.html -rw-rw-rw- 1 daniduc webmasters 4632 2004-12-17 13:39 index.html Para retirar a permissão de escrita de todos e do grupo fica: $ chmod 644 index.html $ ls -l index.html -rw-r--r-- 1 daniduc webmasters 4632 2004-12-17 13:39 index.html Diretórios ========== Um diretório deve ter permissão de execução para que se possa entrar nele. Além disso, as permissões de um diretório tem precedência sobre as dos arquivos que ele contém. Veja um exemplo: Primeir temos um diretório pertencente ao usuário daniduc $ ls -ld /dir/ drwxr-xr-x 2 daniduc daniduc 72 2005-04-19 03:14 /dir/ $ Agora o usuário daniduc cria um arquivo dentro de /dir e em seguida dá à ele permissões totais para todos os usuários: daniduc $ cd /dir daniduc $ touch teste daniduc $ ls -l teste -rw-r--r-- 1 daniduc daniduc 0 2005-04-19 03:14 teste daniduc $ chmod 777 teste daniduc $ ls -l teste -rwxrwxrwx 1 daniduc daniduc 0 2005-04-19 03:14 teste Teoricamente, outro usuário pdoeria remover esse arquivo. Mas vamos ver que o usuário carla não consegue isso: carla $ ls -l teste -rwxrwxrwx 1 daniduc daniduc 0 2005-04-19 03:14 teste carla $ rm -f teste rm: imposível remover `teste': Permissão negada carla $ Isso se dá por causa das permissões do diretório no qual o arquivo teste está contido: drwxr-xr-x 2 daniduc daniduc 72 2005-04-19 03:14 /dir/ Vamos alterar as permissões do diretório para que todos tenham controle sobre ele, mas manter o arquivo teste exatamente igual: daniduc $ chmod 777 /dir daniduc $ -> ls -ld /dir drwxrwxrwx 2 daniduc daniduc 72 2005-04-19 03:14 /dir/ daniduc $ Vamos ver agora se a carla consegue seu intento: carla $ ls -l teste -rwxrwxrwx 1 daniduc daniduc 0 2005-04-19 03:14 teste carla $ rm -f teste carla $ ls -l teste ls: teste: Arquivo ou diretório não encontrado carla $ Bits extras =========== Sticky Bit ========== Além dos bits básicos já vistos até agora, há ainda mais dois extras. O primeiro deles é o "sticky bit", associado à diretórios e representado pela letra t. Caso este bit esteja ativado (com valor 1), o diretório não pode ser removido, mesmo que com permissão 777. Além disso, os arquivos criados dentro desse diretório só podem ser apagados pelo seu dono. Isso é muito útil em diretórios temporários, como o tmp, onde todos podem escrever: $ ls -ld /tmp/ drwxrwxrwt 9 root root 45056 2005-04-19 04:04 /tmp/ $ Para ativar o sticky bit utiliza-se o valor 1 À frente das permissões já vistas: daniduc $ chmod 1777 /dir/ daniduc $ ls -ld /biboca/ drwxrwxrwt 2 daniduc daniduc 48 2005-04-19 03:30 /dir/ daniduc $ SUID ==== Normalmente quando um arquivo é executado ele roda com os privilégios do usuário que o está executando. Mas há momentos em que isso precisa ser contornado. Por exemplo, para um usuário alterar sua senha ele chama o comando passwd. Esse comando precisa remover a senha antiga e inserir a senha nova no arquivo /etc/shadow. Porém, esse arquivo normalmente só pode ser alterado pelo root. Como fazer isso, se o passwd foi chamado pelo usuário comum? A resposta é ativar o bit SUID. Com esse bit ativado o programa passa a rodar com as permissões do usuário dono do arquivo, e não mais de quem o invocou. O bit SUID é representado pela letra s logo após a área de permissões do usuário. Veja: daniduc $ ls -l /usr/bin/passwd -rwsr-xr-x 1 root root 26616 2004-11-02 19:51 /usr/bin/passwd daniduc $ Para se ativar o bit SUID com o comando chmod utiliza-se o valor 4 á frente das permissões básicas (ugo): daniduc $ touch teste daniduc $ ls -l teste -rw-r--r-- 1 daniduc daniduc 0 2005-04-19 03:50 teste daniduc $ chmod 4755 teste daniduc $ ls -l teste -rwsr-xr-x 1 daniduc daniduc 0 2005-04-19 03:50 teste daniduc $ GUID ==== Similarmente ao BIT SUID, o GID faz com que o arquivo seja executado com os privilégios do grupo ao qual pertence e não do usuário que o executa. O bit GID é representado pela letra s logo após o conjunto de permissões do grupo. Para ativar o GID, utilize o 2 no comando chmod: daniduc $ touch teste daniduc $ ls -l teste -rw-r--r-- 1 daniduc daniduc 0 2005-04-19 04:06 teste daniduc $ chmod 2755 teste daniduc $ ls -l teste -rwxr-sr-x 1 daniduc daniduc 0 2005-04-19 04:06 teste daniduc $ ATENÇÃO: Não é aconselhável, por questões de segurança, ativar os bits SUID e GID em novos arquivos, especialmente se eles pertecerem ao root. MÁSCARA ======= Quando criamos um arquivo ele é criado com permissões totais, ou seja, 666. Note que eles jamais são criados com permissão de execução. Isso em geral não é seguro, claro. Esse modo de criação pode ser alterado com o comando umask. Similarmente ao chmod, no qual se especifica quais bits devem ser desligados, o comando umask determina quais bits devem ser desligados. Se você quer que os arquivos sejam criados sem permissão de escrita para o grupo e para os outros, então o comando ficaria assim: umask 022 Nenhum bit foi desligado para o dono, e o bit de escrita (010, ou 2 em octal) desligado para grupo e outros. Esse comando está em geral incluido no arquivo /etc/profile ou arquivo equivalente que determina o ambiente para todos os usuários. Conclusão ========= Isso cobre o sistema básico de permissões de arquivos. Pode-se continuar avançando com o conceito de ACL no tutorial seguinte presente no cybershark.net (http://www.cybershark.net/tutoriais/acl/) versão on line (http://www.cybershark.net/tutoriais/permissoes_unix/) -------------------------------------------------------------------- Colabore com a Dicas-L. Publique seu comentário sobre esta mensagem em http://www.Dicas-l.com.br/dicas-l/20050501.php -------------------------------------------------------------------- As mensagens da lista Dicas-L são veiculadas diariamente para 27434 assinantes. Todas as mensagens da Dicas-L ficam armazenadas em http://www.Dicas-l.com.br/dicas-l/ A redistribuição desta e outras mensagens da lista Dicas-L pode ser feita livremente segundo a licença Creative Commons http://creativecommons.org/licenses/by-nc-sa/2.0/br/deed.pt -------------------------------------------------------------------- ********************************* De: Jorge Godoy Para: Alex Cella Cc: Lista Linux Assunto: Re: (linux-br)Computador de rede Data: 03 May 2005 14:16:12 -0300 Alex Cella writes: > Estou com um probleminha, preciso configurar uma biblioteca aqui no > trampo com linux, ou seja impedir que os alunos alterem > caracteristicas do sistema operacional tal como icones, papel de > parede e ambiente do proprío usuário. > > Pensei em usar o conectiva instalado de forma mínima + ambiente X com > KDE + firefox. Isso parece um papel para o KDE Kiosk. Dê uma olhada nisso e veja se não atende a algumas de tuas necessidades. Para o restante, permissões de acesso devem ajudar muito (digo isso para o Firefox). > Existe a possbilidade de cirar um abiente assim com linux, reduzir o > custo de 3 hardwares com o software?, como ficaria a acessibilidade > para pessoas portadoras de deficiencia no KDE? O KDE tem módulo para acessibilidade muito bom e muito elogiado por aí. Há comentários a respeito das duas coisas -- acessibilidade e o kiosk -- em http://dot.kde.org Sds, -- Jorge Godoy ********************************* De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br, Lista Linux Assunto: Re: (linux-br) Permissao de root a usuarios autenticados via Active Directory Data: Fri, 10 Jun 2005 21:17:49 -0300 Lista Linux wrote: >Tenho um Debian Sarge autenticando (Samba+Winbind) em um dominio >Active Directory (Win2k) e preciso que determinados Grupos de Usuarios >do AD ( Ex. Domain Admins) ganhem permissao de root nas estacoes. Como >posso fazer isso? Antes de responder, sugiro que repense. Você tem certeza que quer dar plenos poderes a algum usuário numa máquina? Em especial, note que se você tem compartilhamentos via NFS, esses usuários poderão ler tudo. Respondendo: dê a esses usuários o UID 0. -- Thiago Macieira - thiago (AT) macieira (DOT) info PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 5. Swa he géanhwearf tó timbran, and hwonne he cóm, lá! Unix cwæð "Hello, World". ?fre ?ghwilc wæs glæd and seo woruld wæs fréo. ********************************* De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br, Faria Assunto: Re: (linux-br)Criando Regras com ACL e POSIX Data: Sat, 6 Aug 2005 16:33:38 -0300 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Faria wrote: >Estou querendo fazer com que um usuário possa alterar / ler um arquivo > mas nao deleta-lo. Então você deve dar a permissão de escrita ao arquivo, mas apenas de leitura e execução ao diretório que o contém. Note que os usuários não poderão criar arquivos: apenas editar os existentes. Se você quiser permitir que eles criem, eles poderão apagar o que criarem. Não há como evitar isso. (nesse caso, dê permissão de escrita e um sticky bit, como no /tmp) >Defini assim um diretório chamado publico > >getfacl publico > ># owner: root ># group: root >user::rw- >user:root:rw- >user:fabiana:rw- >user:natalia:rw- >group::rw- >group:users:rw- >group:irmaos:rw- >mask::rw- > >Da forma em que está os usuários nem conseguem acessar o > compartilhamento publico. O que você quer dizer por "compartilhamento"? Samba? >Se eu colocar a permissao como rwx, acessa o compartilhamento mas > permite remoçao do arquivo. Experimente r-x - -- Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 1. On frumscafte, hwonne time_t wæs náht, se scieppend þone circolwyrde wundorcræftlíge cennede and seo eorðe wæs idel and hit wæs gód. ********************************* De: Andreas Hasenack Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Criando Regras com ACL e POSIX Data: Fri, 5 Aug 2005 22:43:05 -0300 Em Sexta 05 Agosto 2005 15:21, Faria escreveu: > Estou querendo fazer com que um usuário possa alterar / ler um arquivo mas > nao deleta-lo. Não esqueça que, se o usuário puder alterar o arquivo, poderá zerá-lo sem apagá-lo. ********************************* De: Paulo Afonso Graner Fessel Para: thiago@tecpont.com.br Cc: Lista Linux-BR Assunto: Re: (linux-br) permição de arquivos, quase la de novo Data: Wed, 21 Sep 2005 14:10:25 -0300 Thiago Caminha da Silva escreveu: > do diretório "chmod 440" > e arquivo "chmod 677" > > Só que na hora que acesso o diretório "teste" ele não lista o conteúdo > no windows. Para listar e acessar qualquer diretório, você tem que dar a permissão "x" para quem for fazê-lo: [pfessel@nagios pfessel]$ mkdir teste [pfessel@nagios pfessel]$ cd teste [pfessel@nagios teste]$ ls -la total 5 drwxr-xr-x 2 pfessel users 48 Sep 21 14:06 ./ drwx------ 22 pfessel nagios 4728 Sep 21 14:06 ../ [pfessel@nagios teste]$ touch 1 [pfessel@nagios teste]$ touch 2 [pfessel@nagios teste]$ touch 3 [pfessel@nagios teste]$ touch 4 [pfessel@nagios teste]$ ls -la total 5 drwxr-xr-x 2 pfessel users 144 Sep 21 14:06 ./ drwx------ 22 pfessel nagios 4728 Sep 21 14:06 ../ -rw-r--r-- 1 pfessel users 0 Sep 21 14:06 1 -rw-r--r-- 1 pfessel users 0 Sep 21 14:06 2 -rw-r--r-- 1 pfessel users 0 Sep 21 14:06 3 -rw-r--r-- 1 pfessel users 0 Sep 21 14:06 4 [pfessel@nagios teste]$ cd .. [pfessel@nagios pfessel]$ chmod teste 644 chmod: invalid mode string: `teste' [pfessel@nagios pfessel]$ chmod 644 teste [pfessel@nagios pfessel]$ cd teste -bash: cd: teste: Permission denied [pfessel@nagios pfessel]$ ls -la teste ls: teste/.: Permission denied ls: teste/..: Permission denied ls: teste/1: Permission denied ls: teste/2: Permission denied ls: teste/3: Permission denied ls: teste/4: Permission denied total 0 [pfessel@nagios pfessel]$ chmod a+x teste [pfessel@nagios pfessel]$ ls -la teste total 5 drwxr-xr-x 2 pfessel users 144 Sep 21 14:06 ./ drwx------ 22 pfessel nagios 4728 Sep 21 14:06 ../ -rw-r--r-- 1 pfessel users 0 Sep 21 14:06 1 -rw-r--r-- 1 pfessel users 0 Sep 21 14:06 2 -rw-r--r-- 1 pfessel users 0 Sep 21 14:06 3 -rw-r--r-- 1 pfessel users 0 Sep 21 14:06 4 Ou seja, no momento em que você tirou a permissão "x" do diretório, você não consegue nem listar nem acessar seu conteúdo. Isso é diferente de tirar a permissão "r", que impede que você veja o que tem dentro do diretório mas não impede o acesso a seu conteúdo: [pfessel@nagios pfessel]$ ls -la teste/ ls: teste/: Permission denied [pfessel@nagios pfessel]$ ls -la teste/ [pfessel@nagios pfessel]$ cd teste [pfessel@nagios teste]$ ls -la ls: .: Permission denied [pfessel@nagios teste]$ more 1 [pfessel@nagios teste]$ ls -la 1 -rw-r--r-- 1 pfessel users 0 Sep 21 14:06 1 Espero ter sido claro. []'s Paulão ********************************* De: Paulo Afonso Graner Fessel Cc: linux-br Assunto: RES: (linux-br) permição de arquivos Data: Wed, 21 Sep 2005 09:39:33 -0300 > > É possivel eu bloquear a criação de arquivos em um > determinado diretório > > mas não bloquear que os arquivos atuais sejam apagados ou > alterados? > > Creio que você possa fazer isso usando o comando chattr. Dá > uma olhada no manual dele. O chattr só funciona se o seu file system for ext2 ou ext3: CHATTR(1) CHATTR(1) NAME chattr - change file attributes on a Linux *second extended file system* SYNOPSIS chattr [ -RV ] [ -v version ] [ mode ] files... DESCRIPTION chattr changes the file attributes on a Linux *second extended* file sys- tem. The format of a symbolic mode is +-=[ASacDdIijsTtu]. The operator `+' causes the selected attributes to be added to the existing attributes of the files; `-' causes them to be removed; and `=' causes them to be the only attributes that the files have. ********************************* De: Rafael Santos Responder A: Rafael Santos Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) permição de arquivos Data: Wed, 21 Sep 2005 12:05:13 -0300 Fazendo por exemplo: Como root: mkdir /teste chmod 705 /teste touch /teste/aa chmod 666 /teste/aa O usuário comum não pode criar nem apagar arquivos na pasta /teste, mas pelo menos pode alterar os arquivos lá de dentro ( que estiverem com permissões adequadas para isso). Acho que é o que mais se aproxima da sua necessidade. Só por curiosidade, porque você quer essa configuração de permissões? Atc. Rafael Em 21/09/05, Antonio Claudio escreveu: > Em Ter 20 Set 2005 18:13, Thiago Caminha da Silva escreveu: > > Pessoal, > > > > tenho um compartilhamento no meu servidor samba e gostaria de tirar uma > > duvida sobre permição de arquivos. > > > > É possivel eu bloquear a criação de arquivos em um determinado diretório > > mas não bloquear que os arquivos atuais sejam apagados ou alterados? > > Creio que você possa fazer isso usando o comando chattr. Dá uma olhada no > manual dele. > > []'s > Antonio Claudio ********************************* De: Thiago Macieira Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) como força usuario a criar arquivo com outro grupo ? Data: Tue, 24 Jan 2006 17:31:31 +0100 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Brunhara wrote: >ola!!! > >Tenho um grupo de usuarios no linux que usam shell, eu >coloquei no .bash_profile de cada usuario o umask=002 >agora como eu faria para força um grupo diferente ? chgrp grupo /diretorio/onde/criam/o/arquivo chmod g+s /diretorio/onde/criam/o/arquivo - -- Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 4. And æfter se scieppend ingelogode, he wrát "cenn", ac eala! se rihtendgesamnung andswarode "cenn: ne wát hú cennan 'eall'. Ástynt." ********************************* De: Thiago Macieira Para: Roberto Warstat Cc: Linux-BR Assunto: Re: (linux-br) Herança de permissões Data: Tue, 24 Jan 2006 10:17:10 +0100 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Roberto Warstat wrote: >Thiago Macieira wrote: >>Roberto Warstat wrote: >>>Existe alguma maneira de quando se for cirar/copiar um arquivo ele >>>assum as permissões do diretório? >> >>Não. > >Se não é possível fazer a herança de permissões, então como faço para >que um arquivo criado/copiado pelo usuário x para o servidor samba possa >ser alterado pelos outros usuários? file mode = 664 file create mode = 664 directory mode = 2775 directory create mode = 2775 ou algo semelhante, no smb.conf e coloque o grupo que pode escrever nos arquivos no grupo do diretório - -- Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 4. And æfter se scieppend ingelogode, he wrát "cenn", ac eala! se rihtendgesamnung andswarode "cenn: ne wát hú cennan 'eall'. Ástynt." De: Thiago Macieira Para: Roberto Warstat Cc: Linux-BR Assunto: Re: (linux-br) Herança de permissões Data: Wed, 25 Jan 2006 10:07:21 +0100 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Roberto Warstat wrote: >E segue a lista de diretórios. >Para cada diretório eu criei um grupo onde coloquei os usuários que tem >permissão de escrita. Usei chmod 770 no diretório pra isso. >Para uma estrutura desse tipo, como deveria fazer para que os arquivos >criados/copiados em cad diretório pudessem ser alterados pelos >participantes do grupo que tem acesso àquele diretório? chmod 2770 associado ao create mode = 775 e force create mode = 770 - -- Thiago Macieira - thiago (AT) macieira.info - thiago (AT) kde.org PGP/GPG: 0x6EF45358; fingerprint: E067 918B B660 DBD1 105C 966C 33F5 F005 6EF4 5358 5. Swa he géanhwearf tó timbran, and hwonne he cóm, lá! Unix cwæð "Hello, World". ?fre ?ghwilc wæs glæd and seo woruld wæs fréo. De: Roberto Warstat Para: Thiago Macieira Cc: Linux-BR Assunto: Re: (linux-br) Herança de permissões Data: Thu, 26 Jan 2006 21:35:25 -0200 Thiago Macieira wrote: >>E segue a lista de diretórios. >>Para cada diretório eu criei um grupo onde coloquei os usuários que tem >>permissão de escrita. Usei chmod 770 no diretório pra isso. >>Para uma estrutura desse tipo, como deveria fazer para que os arquivos >>criados/copiados em cad diretório pudessem ser alterados pelos >>participantes do grupo que tem acesso àquele diretório? >> >> > >chmod 2770 >associado ao create mode = 775 e force create mode = 770 >- -- Testei no final da tarde de hoje a solução que o Thiago apresentou pro problema e funcionou que é uma beleza. Só me resta agradece a atenção recebida por vocês, não só pra resolve esse problema, mas outros que já postei por aqui. Valeu !!!! Roberto ********************************* De: Jorge Godoy Para: Thiago Macieira Cc: Linux-BR Assunto: Re: (linux-br) Herança de permissões Data: Tue, 24 Jan 2006 12:21:55 -0200 Thiago Macieira writes: > Roberto Warstat wrote: >> >>Se não é possível fazer a herança de permissões, então como faço para >>que um arquivo criado/copiado pelo usuário x para o servidor samba possa >>ser alterado pelos outros usuários? > > file mode = 664 > file create mode = 664 > directory mode = 2775 > directory create mode = 2775 > > ou algo semelhante, no smb.conf e coloque o grupo que pode escrever nos > arquivos no grupo do diretório E/OU use o SGID bit e gerencie grupos de usuários. Mas, de qualquer maneira, você terá que adequar a máscara também. -- Jorge Godoy --=-=-=-- *********************************