Jak fungují uživatelé a skupiny v Linuxu

  1. Obsah
  2. Identifikace
    1. Uživatelé
    2. Skupiny
    3. Druhy přístupových práv k souborům a adresářům
  3. Jaká práva jsou na našich serverech
  4. Jak práva měnit?
    1. Pomocí WinSCP
    2. Pomocí SSH
    3. Pomocí Midnight Commanderu

Podíváme se spolu, jak fungují práva na Linuxu, proč je dobré se vyznat v jejich číselném označení a naučíte se práva měnit. Ukážeme názorné příklady, na které často narazíte třeba ve VPS Centru.

Identifikace

Uživatelé a skupiny mají v Linuxu číselné identifikátory.

  • UID (identifikátor uživatele),
  • a GID (identifikátor skupiny). 

Uživatelé

Každý uživatel má své vlastní číslo (UID), kterým se identifikuje v Linuxu.

  • 0 je vyhrazeno pro uživatele root,
  • 1-500 jsou systémové účty (např. MySQL server),
  • 501+ jsou určena pro běžné uživatele.

Každý uživatel je členem alespoň jedné skupiny. Uživatelé se mohou sdružovat v jednotlivých skupinách a každá skupina má svá vlastní specifická práva. Můžete si také vytvořit vlastní uživatele a vlastní skupiny.

Skupiny

Každá skupina má svůj identifikátor (číslo) a svá specifická práva platná pro každého uživatele skupiny.

  • 0 –⁠⁠⁠⁠⁠ je vyhrazená pro root uživatele.
  • 199 jsou názvy skupin pro systémové aplikace.
  • 100+ jsou pro běžné uživatele.

Výpis všech skupin: 

cat /etc/group
Část výpisu skupin

Druhy přístupových práv k souborům a adresářům

Přístupová práva v Linuxu se skládají ze tří čísel. První ze tří čísel je vyhrazené vlastníkovi souboru, druhé skupině, která soubor vlastní a třetí všem ostatním (ti, co nejsou vlastníci ani členové skupiny). 

Čísla samotná reprezentují jednotlivá práva:

V případě souborů:

  • čtení obsahu (r) = 4
  • zápis/změna obsahu (w) = 2
  • spuštění (x) = 1

V případě adresářů:

  • zobrazení souborů (r) = 4
  • přidávání a odebírání souborů (w) = 2
  • vstup do adresáře, zobrazení informací o souborech (x) = 1

A jejich součet pak skupinu oprávnění pro daného aktéra.

Jen vlastník má podle součtu čísel práva na zápis a čtení (write and read), ostatní pouze právo na čtení a ostatní žádná práva nemají:

V praxi to vypadá následovně:

  • Vlastník: (4+2+0) = 6
  • Skupina: (4+0+0) = 4
  • Ostatní: (0+0+0) = 0

Tedy dohromady 640

Příklady:

součet číselvlastníkskupinaostatní 
755(4+2+1)(4+0+1)(4+0+1)Vlastník má všechna práva a ostatní mají právo na čtení a spuštění (obvyklé oprávnění pro složky na webu).
770(4+2+1)(4+2+1)(0+0+0)Vlastník a uživatelé skupiny mohou číst, zapisovat i spouštět. Ostatní, ale nemohou nic.
644(4+2+0)(4+0+0)(4+0+0)Vlastník může číst a zapisovat. Ostatní pouze číst.

Jaká práva jsou na našich serverech

Důležití uživatelé:

  • root: Je nejvyšší administrátorský uživatel (superuživatel), má práva na všechno na serveru.
  • www-data: Je uživatel, kterého používá webserver. 

Existuje ještě celá řada uživatelských účtů:

  • vmail sloužící mailserveru,
  • proftpd pro FTP napříč doménami,
  • mysql jako účet pro databázový server MySQL.

Plný výpis uživatelů zobrazíte příkazem:

cat /etc/passwd

Jak práva měnit?

Pomocí WinSCP

Jednoduchá, zato často velmi pomalá cesta, je jít pomocí WinSCP. Stačí se do aplikace přihlásit jako root (vybrat protocol SFTP) a pravým tlačítkem vyvolat možnosti:

Pokud zaškrtnete políčko, že chcete změnit práva rekurzivně, práva se změní všem souborům a složkám uvnitř adresáře, což je proces, který trvá dlouhou dobu.

Přes WinSCP doporučujeme provádět změny pouze v případě, že to děláte pro pár souborů. Pokud potřebujete změnit práva většímu počtu souborů, doporučujeme využít Linuxové nástroje chown + chgrp + chmod (popisujeme je níže).

Pomocí SSH

chown, chgrp

Program chown slouží ke změně vlastníka souborů a adresářů. Chgrp dělá totéž, jen pro skupiny.

Buďte ovšem opatrní, protože můžete server snadno rozbít.

Například: chown -R nad adresářem, kde jste to vůbec nechtěli (např. chown -R root /) by změnil práva každému souboru a adresáře a operační systém by nemohl pracovat. Většinou je pak jediná záchrana reinstalace celého systému.

chmod

Slouží pro změnu práv nad soubory a adresáři. Práva souborů může měnit pouze jeho vlastník nebo uživatel root

Nejpoužívanějším přepínačem příkazu chmod je -R, který slouží k rekurzivní změně práv. To znamená, že práva se změní pro všechny soubory a složky, které se ve složce nachází.

chmod 644 /www/hosting/domena.cz/www/robots.txt

(vlastník může číst a zapisovat, skupina a ostatní mají povolení pouze ke čtení souboru robots.txt)

Jaké příkazy na našich VPS často využijete:

změna vlastníka domény na www-data
chown -R www-data:www-data /www/hosting/vase-domena.cz/www/
změna pouze skupinychgrp www-data /www/hosting/vase-domena.cz/www/
změna pouze vlastníka
chown www-data /www/hosting/vase-domena.cz/www/
nastavení čtení a zápisu k souboru vlastníkovi, ostatním nicchmod 600 /www/hosting/vase-domena.cz/devel/topsecret.cnf
nastavení čtení a zápisu k adresáři vlastníkovi, ostatním nicchmod 700 /www/hosting/vase-domena.cz/devel/

Pomocí Midnight Commanderu

Pokud nechcete vypisovat příkazy, můžete použít také Midnight Commander, který je už na našich serverech předinstalovaný.

Pouští se příkazem:

mc

Pomohl vám tento článek?

Ano Ne

Podobné články

Nápověda

  1. Obsah
  2. Identifikace
    1. Uživatelé
    2. Skupiny
    3. Druhy přístupových práv k souborům a adresářům
  3. Jaká práva jsou na našich serverech
  4. Jak práva měnit?
    1. Pomocí WinSCP
    2. Pomocí SSH
    3. Pomocí Midnight Commanderu