terça-feira, 12 de abril de 2011

Permissões de arquivos no Linux

"O Linux é um sistema multiusuário". Você já deve ter ouvido esta frase muitas vezes. Isto significa que um mesmo PC ou servidor pode ser acessado por vários usuários simultâneamente.
Com isto, surge a necessidade de algum sistema de segurança que limite o que cada usuário pode fazer no sistema, para que não haja o risco de que um usuário possa destruir arquivos ou configurações do sistema ou de outros usuários.
Isto é feito através das permissões de arquivos. Clicando sobre as propriedades de qualquer arquivo no konqueror você verá uma janela com 9 campos, que permitem dar permissão de leitura, gravação e execução (que alguém traduziu para "inserir" na versão em Português :-) para o usuário dono do arquivo, para outros usuários que pertencem ao mesmo grupo que ele e finalmente a todos os demais usuários. O "dono" do arquivo é por default o usuário que criou o arquivo. Apenas este usuário pode alterar as permissões de acesso ao arquivo e pasta. Em seguida vem o grupo, que permite que vários usuários tenham acesso a um arquivo ou pasta, sem ter que apelar para o campo "outros" que daria acesso a qualquer um. Imagine que estamos configurando um servidor em uma empresa importante e neste servidor temos uma pasta chamada "projeto_apollo" com vários arquivos confidenciais que deverá ser acessada apenas pelos programadores que estão trabalhando no projeto. Desativaríamos de imediato o campo "todos" mantendo marcados apenas os campos "usuário" e "grupo". O próximo passo seria justamente criar um novo grupo de usuários ("apollo" por exemplo) e incluir neste grupo todos os usuários que fazem parte do projeto. A partir daí, todos os programadores passariam a ter acesso à pasta, já que fazem parte do grupo. Você pode criar novos grupos e adicionar usuários a eles através do programa "kuser" que faz parte do KDE e por isso é encontrado em quase todas as distribuições. Basta chama-lo pelo terminal.Basta clicar em "Grupo > Novo", fornecer o nome do novo grupo e em seguida clicar no botão "Edit" para marcar os usuários que farão parte dele. Caso o kuser não esteja instalado no seu sistema, uma segunda opção é o "userconf". No Mandrake você pode utilizar também o "userdrake". Você pode criar quantos usuários e quantos grupos quiser, e cada usuário pode fazer parte de quantos grupos for necessário. Ou seja, você pode por exemplo criar um grupo para cada pasta importante e adicionar no grupo apenas os usuários que tiverem acesso a ela. De fato, a configuração default da maioria das distribuições linux atuais é dar acesso de leitura para a maioria das pastas (com excessão naturalmente dos arquivos de senha e outros arquivos críticos) para todos os usuários, mas ao mesmo tempo dar acesso de gravação apenas para o diretório home de cada um. Ou seja, por default você, logado como usuário normal, poderá navegar por quase todos os diretórios do sistema, mas só poderá criar e alterar arquivos dentro da sua pasta de usuário. Nos outros lugares receberá sempre um aviso de acesso negado. Isso impede que os usuários possam fazer besteira no sistema, como por exemplo, tentar deletar a pasta de módulos do Kernel. Claro, como todas as regras, as permissões de acesso têm um única exceção: o root. Ele é o único que não possui restrições: pode alterar, executar ou deletar o que bem entender. Pode alterar o dono das pastas ou alterar as permissões de acesso. O root é o Deus do sistema. Você precisará usar o root sempre que for alterar as permissões de acesso a uma pasta do sistema ou criada por outro usuário, mas não use-o regularmente, a menos que esteja apenas brincando com o sistema e possa reinstala-lo a qualquer momento, pois além de poder destruir facilmente arquivos do sistema, usar o root abre as portas para várias brechas de segurança ao usar programas de IRC, abrir anexos em e-mails ou mesmo navegar na web.
A maioria dos problemas de segurança a que os usuários do Windows estão submetidos, decorre justamente do fato de utilizarem contas com privilégios equivalentes ao do root no Linux. Se você pode fazer o que quiser no sistema, os programas executados por você (incluindo trojans, scripts incluídos de páginas web executados pelo navegador, etc.) também poderão não terão restrições.
Se você se pergunta às vezes como alguns vírus como o Ninda e o Sircan podem se espalhar tão rapidamente, saiba que o problema é justamente este: a combinação de um sistema com um fraco controle de segurança, combinado combinado com o uso de contas administrativas por usuários sem noções de segurança. Voltando ao tema da criação de usuários, se você não gostou dos utilitários gráficos, pode adicionar novos usuários também usando os comandos "adduser" e "passwd"
Por exemplo:

adduser morimoto
(cria o usuário morimoto)

passwd morimoto
(altera o password do user morimoto)

O comando passwd também pode ser usado para alterar a senha. Como root você deve usar "passwd usuario" e como usuário apenas "passwd" para alterar a senha do login. Apenas o root pode adicionar novos usuários ao sistema.
Para alterar as permissões de acesso de arquivos e pastas via linha de comando você deve usar o comando chmod. A sintaxe dele parece um pouco complicada à primeira vista, mas nada que um pouco de prática não possa resolver:
# chmod 744 arquivo

Temos aqui o comando chmod propriamente dito, o arquivo ou pasta que terá suas permissões de acesso alteradas e um número de três dígitos que indica as novas permissões para o arquivo.
Os três números indicam respectivamente:
7 : Permissões para o dono do arquivo4 : Permissões para o grupo4 : Permissões para os demais usuários

Você deve lembrar que temos três permissões: leitura, gravação e execução. Como é possível representar estes três atributos através de um único número?
Bem, os programadores costumam ser muito bons em matemática e, como em outros casos, usaram um pequeno truque para resolver este problema:
Cada permissão possui um número:
4 : Leitura2 : Gravação1 : Execução

Você simplesmente soma estes números para ter o número referente ao conjunto de permissões que deseja:
0 : Sem permissão alguma, se for uma pasta o usuário sequer pode ver o conteúdo1 : Só execução (não é possível ler o arquivo ou alterá-lo, apenas executar um programa)4 : Apenas leitura6 (4+2) : Leitura + gravação7 (4+2+1): Controle total: leitura + gravação + execução

Engenhoso não é? Se você quer dar controle total do arquivo ou pasta para o dono e para o grupo, mas permissão de apenas leitura para os demais usuários, usaria o número 774; se você quisesse que todos os usuários tivessem permissão de leitura e gravação, mas sem poder executar nada, usaria o número 666, se quisesse dar controle total para todo mundo usaria 777 e assim por diante. Como disse, parece um pouco complicado, mas depois de usar o comando algumas vezes você não vai esquecer mais.
Para alterar o dono e o grupo do arquivo você deve usar o comando chown. O uso dele é simples, basta indicar qual é o novo dono e em seguida indicar o arquivo ou pasta que mudará de dono, como em:

# chown morimoto apollo

Se você quiser que a alteração se aplique a todos os arquivos e subpastas do diretório, use a opção -R (de recursivo) como em:

# chown -R morimoto apollo

Se você quiser alterar também o nome do grupo, acrescente o nome do novo grupo após o nome do dono, separando ambos por um ponto:
# chown -R morimoto.apollo apollo

Agora a pasta "apollo" passa a ser propriedade do usuário morimoto e do grupo apollo. Fizemos a mesma coisa que no exemplo anterior, mas agora usando o comando de modo texto. Você escolhe qual forma prefere.
Além dos comandos que vimos, você também pode recorrer ao mc, encontrado na maioria das distribuições. Basta chama-lo no terminal. Além de ser um gerenciador de arquivos com muitos recursos, ele permite editar arquivos de texto, mover arquivos, alterar permissões, etc.

Um comentário:

  1. boa... To gostando de ver.. postangens semanais...
    isso mesmo!
    beijinhos
    Prof Debora

    ResponderExcluir