Права в Linux: chown-chmod, SELinux context, символьная-восьмеричная нотация, DAC-MAC-RBAC-ABAC

Помню когда тема о правах доступа в linux (chmod) была для меня незнакомой, я находил разные статьи, которые очень сильно раздражали пробелами в объяснениях, давали рваные фрагменты понимания ситуации и оставляли больше вопросов чем ответов.

Целью этой статьи является создание памятки по правам доступа в linux, которые дадут максимально доступную, понятную информацию, с визуализацией и короткими подсказками. Материал описан таким образом, чтобы после прочтения можно было быстро вернуться и освежить знания. Надеюсь, опытные админы найдут что-то интересное и полезное, но в основном материал ориентирован на тех, кто только начинает свое погружение в системное администрирование, безопасность, DevOps и разработку ПО.

Вступление

Современному пользователю интуитивно кажется что в системе назначения прав, должна быть возможность указывать права отдельным пользователям, например:

• user1 может читать/писать/выполнять

• user2 может читать

• user3 может выполнять

• user4 вообще не имеет прав

• и так далее для остальных пользователей.

Но базовая система UNIX-прав использует не такой подход, у нее есть понятие “владелец” и только 3 слота для указания прав:

• слот пользователя (подразумеваются права пользователя-владельца)

• слот группы (подразумевается группа-владелец)

• слот для всех остальных (все кто не является владельцем)

Таким образом базовая система прав linux позволяет задавать права только относительно пользователя-владельца, группы-владельца и общего множества остальных пользователей. Итого 3 слота для указания прав: user, group, other. Сокращенно — ugo.

Для просмотра прав используется команда ls -l, которая отображает список файлов/директорий и таблицу прав.

gtosss@laptop-dc:~/example$ ls -l
total 4
drwxr-xr-x. 1 gtosss gtosss  0 Apr 21 13:52 first-dir
-rw-r--r--. 1 gtosss gtosss 13 Apr 21 13:57 first.txt
drwxr-xr-x. 1 gtosss gtosss  0 Apr 21 13:53 second-dir
-rw-r--r--. 1 gtosss gtosss  0 Apr 21 13:52 second.text

Что значат строки такого вида drwxr-xr-x. — объясняется далее в соответствующих разделах о символьной нотации. На данном этапе достаточно знать — эта строка хранит информацию о правах доступа для пользователя-владельца, группы-владельца и всех остальных.

Назначения прав индивидуально каждому пользователю, как было мной описано в самом начале, тоже поддерживается, но это расширенная система доступов, она реализован по стандарту POSIX ^[1], называется POSIX ACL (Access Control Lists) ^[2] и управляется командами: setfacl, getfacl.

Чтобы лучше понять как работают системы контроля доступами, классифицируем их, это поможет упорядочить знания.

Какие есть системы контроля доступами

В этом разделе речь идет не о конкретных реализациях или технологиях, а именно об абстрактных паттернах, по которым реализуются конкретные системы. Например, если вы FE/BE разработчик, вы наверняка реализовывали что-то из списка ниже в своих проектах.

Всего можно выделить следующие абстракции для классификации систем доступов:

• DAC (Discretionary Access Control, Избирательная система доступа) ^[3] — Технически реализуется так: есть владелец и/или суперпользователь — он назначает права для всех остальных или передает “владение” другому. Как раз это используется в основе базовых UNIX-прав — эта модель лежит практических во всех linux дистрибутивах, но некоторые дополняют ее более расширенными реализациями.

• MAC (Mandatory Access Control, Мандатная система доступа) ^[4] — Это аналог иерархии доступов из реальной жизни, который практикуется в спецслужбах имеющих доступ к государственной тайне или иным доступам секретности. Технически реализуется меткой к файлу которая назначает уровень “секретности”. Пользователи в свою очередь имеют разные уровни доступа секретности. Этот подход поддерживает: Astra Linux, SELinux (Security-Enhanced).

• RBAC (Role Based Access Control, Ролевая система доступа) ^[5] — Многим знакомая простая модель основанная на ролях. Суть в том, чтобы создать роли: администратор, пользователь, читатель и другие, затем выдавать доступ к файлам основываясь на ролевой модели и соответственно раздавать роли пользователям.

• ABAC (Attribute-Based Access Control, Атрибутная система доступа) ^[6] — Наиболее гибкая и современная модель, в которой решение о предоставлении доступа принимается на основе атрибутов — произвольных свойств, привязанных к четырём категориям:

  • Субъект (кто запрашивает): должность, отдел, уровень допуска, стаж и т.д.

  • Объект (к чему запрашивается): тип документа, метка конфиденциальности, владелец.

  • Действие: чтение, запись, удаление, пересылка.

  • Контекст (окружение): время суток, IP-адрес, геолокация, тип устройства.

  На основе комбинации этих атрибутов формируются политики (policies), например:

  Сотрудник отдела финансов может читать бухгалтерские отчёты только в рабочее время и только из корпоративной сети

• PBAC (Policy-Based Access Control) — Иногда выделяют отдельно, но по сути является ABAC.

Все эти абстракции не являются взаимоисключающими, они часто комбинируются. Например, SELinux (Security-Enhanced) сочетают в себе DAC и MAC (базовые UNIX-права и мандатные политики).

Какие системы контроля доступа используют разные дистрибутивы

В этом разделе собраны популярные дистрибутивы и реализованные в них механизмы доступов. Я недостаточно хорошо погружен во все особенности всех дистрибутивов, поэтому таблицу мне помогал составить Cloud 4.6

Могут быть ошибки, стоит перепроверять информацию.

Что общее у всех

• DAC (UNIX-права rwx + POSIX ACL) присутствует во всех дистрибутивах — это часть ядра Linux и стандарта POSIX.

• ABAC как отдельная встроенная подсистема не реализована ни в одном дистрибутиве «из коробки». Однако SELinux с MLS/MCS-политиками и контекстными модулями (время, сеть) может приближаться к ABAC. Полноценный ABAC обычно реализуют на уровне приложений (XACML, Open Policy Agent и т.д.).

• RBAC в чистом виде на уровне ОС представлен только через SELinux Roles и Parsec. Привычные sudo / polkit — это скорее механизмы делегирования привилегий, хотя их часто относят к элементам RBAC.

Расшифровка таблицы прав (символьная нотация, восьмеричная)

Перед тем как знакомиться с командами изменения/просмотра прав, для начала научимся их читать.

Шпаргалка: Символьная нотация (rwx)

Что значит rwx:

По поводу разделение прав на запись и чтение, при погружении в тему может возникнуть когнитивный диссонанс: “Как так? Мы можем писать, но не можем читать?” Интуитивно кажется, что запись — более привилегированная операция, чем чтение. Но это нормально — мы можем разрешать запись, не разрешая чтение. Это позволяет сказать процессу: “ты можешь сюда писать логи, но читать их — нельзя”. Таким образом мы можем создать директорию, в которую разные процессы отправляют данные “в один конец”. Похоже на то, как мы можем отправить сообщение на адрес тех-поддержки, но подсмотреть, какие письма туда пришли помимо нашего, не можем.

Важное замечание: r, w, x для файлов и директорий может иметь разное значение, опишу разницу в таблице:

Шпаргалка: Символьная нотация (symbolic notation) для директорий

Шпаргалка: Символьная нотация (symbolic notation) для файлов

Восьмеричная нотация

Права могут отображаться в числовом формате (восьмеричном).

Шпаргалка: Восьмеричная, Бинарная, Символьная

Пояснение к заголовкам таблицы:

• Octal — восьмеричная система счисления

• Binary — двоичная система счисления

• Права — символьная нотация

Шпаргалка: Восьмеричная (Популярные комбинации)

Специальные биты

Этот раздел для более подготовленных и уверенных пользователей linux, у новичков останутся вопросы. Описываю его в формате памятки. Если есть запрос на более детальное объяснение, дайте знать в комментах — в планах отдельная статья.

Выше мы рассмотрели стандартную модель прав в которых используется 9 бит для назначения прав. Но есть ситуации когда их не хватает. Для таких ситуаций предусмотрены 3 дополнительных (специальных) бита, у каждого свое название и особенности:

• SUID (от анг. Set User ID) — предназначен для исполняемых файлов, если установлен, процесс будет запущен от имени пользователя-владельца файла (а не от имени запускающего как в случае с x). Это полезно когда нужно позволить временно выполнить процесс от имени супер-пользователя, но вместе с тем опасно с точки зрения безопасности.

• SGID (от анг. Set Group ID) — для исполняемых файлов работает аналогично SUID, но устанавливает группу-владельца. Для директорий — новые файлы наследуют группу директории.

• Sticky — для директорий: запрещает удаление и переименование чужих файлов. Удалить/переименовать файл может только его владелец, владелец директории или root.

Шпаргалка: Специальные биты

SELinux контекст

gtosss@laptop-dc:~/example$ ls -lZ
total 4
drwxr-xr-x. 1 gtosss gtosss unconfined_u:object_r:user_home_t:s0  0 Apr 21 13:52 first-dir
-rw-r--r--. 1 gtosss gtosss unconfined_u:object_r:user_home_t:s0 13 Apr 21 13:57 first.txt
drwxr-xr-x. 1 gtosss gtosss unconfined_u:object_r:user_home_t:s0  0 Apr 21 13:53 second-dir
-rw-r--r--. 1 gtosss gtosss unconfined_u:object_r:user_home_t:s0  0 Apr 21 13:52 second.text

Пример как выглядит SELinux контекст: unconfined_u:object_r:user_home_t:s0. Здесь 4 значения разделенных двоеточием. Соответствует такому шаблону:

user : role : type : level

user
unconfined_u — это не пользователь из linux (gtosss), а отдельная сущность SELinux. Она значит что на пользователя не наложены строгие SELinux ограничения.

role

Для данных файлов назначена object_r — SELinux роль, как раз механизм RBAC о котором говорилось в разделе “Какие есть системы контроля доступами”. Эта роль назначается файлам по умолчанию, есть такие варианты стандартных ролей:

• unconfined_r — Неограниченная роль.

• user_r — Роль обычного пользователя для доступа к пользовательским приложениям и другим непривилегированным доменам.

• staff_r — Похоже на роль пользователя, но более привилегированная. Есть больше доступа к системной информации чем у обычного пользователя.

• sysadm_r — Как следует из названия, роль системного администратора. Имеет почти все привилегии.

• system_r — Системная роль для процессов, не предназначена для переключения на нее пользователем.

Подробнее о ролях в англоязычном туториале ^[7].

type

В нашем случае у файлов тип user_home_t — значит что файл находиться в домашней директории пользователя. На основе типа принимается решение о доступе, этот механизм называется TE (Type Enforcement) он является частью MAC (Mandatory Access Control) о котором мы говорили в разделе “Какие есть системы контроля доступами”.

level

У нас s0 — что значит самый низкий уровень секретности. Всего их 15:
s0, s1, …, s15 — где s15 совершенно секретно. Это механизм MLS (Multi-Level Security, уровни доступа)

В совокупности TE и MLS образуют MAC (Mandatory Access Control), а он уже образует часть механизма ABAC (Attribute-Based Access Control) позволяя сформировать сложные политики доступов.

Команды и утилиты

Статья получилась довольно большой, по этому постараюсь кратко пройтись по основным утилитам которые связаны с правами.

ls

Просмотр списка файлов и директорий с правами:

ls -l

gtosss@laptop-dc:~/example$ ls -l
total 4
drwxr-xr-x. 1 gtosss gtosss  0 Apr 21 13:52 first-dir
-rw-r--r--. 1 gtosss gtosss 13 Apr 21 13:57 first.txt
drwxr-xr-x. 1 gtosss gtosss  0 Apr 21 13:53 second-dir
-rw-r--r--. 1 gtosss gtosss  0 Apr 21 13:52 second.text

Если нужно увидеть так же скрытые:

ls -la

Тип (так же часто называют флагом) может быть одним из:

• - — файл

• d — директория (directory)

• l — символическая ссылка ^[8] (symbolic link)

• b — блочное устройство ^[9] (block device); например жесткий диск

• c — символьное устройство (character device); например динамик. Довольно подробно описывается в англоязычной википедии ^[10].

• p — канал, устройство fifo ^[11] (fifo device)

• s — Unix сокет ^[12] (unix domain socket)

Пользователь/группа/остальные — подразумевается имя пользователя/группы который является владельцем файла. По умолчанию владелец это тот кто создал файл, но его можно изменить командой chwon. Остальные, это все кто не является владельцем файла.

SELinux ^[13] индикатор — на этом месте может быть 3 варианта:

• . — Файл имеет SELinux-контекст

• + — Файл имеет ACL (Access Control List)

• (пусто) — Ни SELinux-контекста, ни ACL

  if (! any_has_acl)
    modebuf[10] = '';
  else if (f->acl_type == ACL_T_SELINUX_ONLY)
    modebuf[10] = '.';
  else if (f->acl_type == ACL_T_YES)
    modebuf[10] = '+';

- r w x r - x r - x .
                    ↑
0 1 2 3 4 5 6 7 8 9 10

Просмотр UID/GID (User/Group ID) числами

ls -ln

Показать SELinux-контекст

ls -lZ

stat

Команда stat возвращает подробную информацию о файле/директории, в нем можно увидеть: UNIX-права (все 9 бит + 3 специальных), SELinux контекст и другие данные.

Рассмотрим сразу на примере:

stat example

gtosss@laptop-dc:~$ stat example 
  File: example
  Size: 78              Blocks: 0          IO Block: 4096   directory
Device: 0,44    Inode: 3243310     Links: 1
Access: (0755/drwxr-xr-x)  Uid: ( 1000/  gtosss)   Gid: ( 1000/  gtosss)
Context: unconfined_u:object_r:user_home_t:s0
Access: 2026-04-23 19:24:34.852196358 -0400
Modify: 2026-04-21 13:53:02.703032629 -0400
Change: 2026-04-21 13:53:02.703032629 -0400
 Birth: 2026-04-21 13:52:34.648258436 -0400

Здесь к правам относиться:

Access: (0755/drwxr-xr-x)  Uid: ( 1000/  gtosss)   Gid: ( 1000/  gtosss)
Context: unconfined_u:object_r:user_home_t:s0

В текущей статье уже был разбор всех обозначений, по этому коротко:

• 0755/drwxr-xr-x — отображает сначала восьмеричную нотацию (с отображением специального бита), затем символьную.

• Uid: ( 1000/ gtosss) Gid: ( 1000/ gtosss) — пользователь и группа с их ID.

• unconfined_u:object_r:user_home_t:s0 — SELinux контекст.

chown

Название команды chwon происходит от английского change owner. Шаблон команды выглядит так:

chown [опции] владелец[:группа] файл

Смена пользователя-владельца и группы-владельца.

chwon username:groupname directory-or-file

Данная команда установит в качестве владельца пользователя username и группу groupname для директории или файла directory-or-file.

Смена только пользователя-владельца:

chown username file.txt

Смена только группы-владельца:

chown :group file.txt

Рекурсивная для директорий. Сменить владельца для директории и всего содержимого:

chown -R username dirname

chgrp

По аналогии с chown меняет группу. Эквивалент chown :groupname somefile.txt = chgrp groupname somefile.txt.

chmod

Название команды chmod происходит от английского change mod. Шаблон команды выглядит так:

chmod [options] mode[,mode] file1 [file2 ...]

Команда очень гибкая и имеет много разных вариантов работы. Все их разбирать не буду, вместо этого оставлю ссылки, которые делают разбор этой темы более ёмко.

Оставлю только самый короткий и универсальный пример в формате с восьмеричной нотацией (см “Шпаргалка: Восьмеричная, Бинарная, Символьная”).

Рекурсивно раздать чтение и запись пользователю и группе. Чтение всем остальным.

chmod -R 664 somedir

Выдать все права только пользователю-владельцу.

chmod 700 somefile

И на всякий случай относительный режим. Тут нужно вспомнить про сокращение ugo:

• u — user

• g — group

• o — other

Дать юзеру и группе права на чтение:

chmod u+r g+r

ps

Показывает текущие процессы, но в контексте данной стать имеет смысл обратить внимание на флаг -Z:

ps -Z 

Отобразит список процессов и SELinux контекст.

gtosss@laptop-dc:~$ ps
    PID TTY          TIME CMD
   2873 pts/0    00:00:00 bash
   3191 pts/0    00:00:00 ps

gtosss@laptop-dc:~$ ps -Z
LABEL                               PID TTY          TIME CMD
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 2873 pts/0 00:00:00 bash
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 3200 pts/0 00:00:00 ps

id

Вывод информации об учетной записи пользователя, так же поддерживает флаг -Z:

id -Z

gtosss@laptop-dc:~$ id
uid=1000(gtosss) gid=1000(gtosss) groups=1000(gtosss),10(wheel) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

gtosss@laptop-dc:~$ id -Z
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023

find

Команда поиска. По шаблону: find path [expression]. Данная команда умеет осуществлять поиск по правам или владельцу:

Ищем в директории /temp файлы принадлежащие пользователю alice:

find /tmp -type f -user alice

Ищем во всей системе файлы со специальным битом SUID:

find / -perm -4000

Минус в -4000 — значит что поиск не строго соответствует критерию, то есть будут найдены права: 4755, 4777 и тд.

Ищем файлы у которых назначены все права всем.

find / -perm 777

Немного о безопасности (чем опасен 777)

Совсем немного расскажу, в чём главная опасность файлов, которым назначены все права (777). Такой файл любой желающий может изменить и выполнить. А если он ещё и автоматически выполняется каким-то системным процессом, это приведёт к полному захвату сервера злоумышленником. Если злоумышленник смог перебором (брутфорсом) или как-то ещё получить SSH-доступ к серверу, при этом не имея прав суперпользователя, самый простой путь атаки будет выглядеть следующим образом:

echo ' /* код злоумышленника */ ' > /path/to/script.sh 

Но также в вопросах безопасности важную роль играет защита от самого же себя. Очень часто аварии и инциденты происходят вовсе не по вине злоумышленников, а по неосторожности или из-за ошибки. Человеческий фактор главная угроза любой системе. Человек может сам того не заметив, случайно выполнить скрипт злоумышленника. Правильно назначенные привилегии и права не позволят скрипту, в котором есть ошибка или вредоносный код, удалить или сломать что-то, что ему не положено. Отсюда и возникает принцип наименьших привилегий.

Спасибо всем кто подписывается в телеге — это очень мотивирует делиться своим опытом и мнением. Помимо технических статей я так же высказываюсь на актуальные темы ^[24].