फ़ाइल / निर्देशिका की अनुमतियों को कौन बदल सकता है?

मुझे विश्वास है (यकीन नहीं) कि एक फ़ाइल / निर्देशिका का मालिक और रूट उपयोगकर्ता केवल उपयोगकर्ता हैं जिन्हें किसी फ़ाइल / निर्देशिका की अनुमतियों को बदलने की अनुमति है। क्या मैं सही हूं या क्या अन्य उपयोगकर्ता भी हैं जिन्हें अनुमति बदलने की अनुमति है?

केवल स्वामी और root(सुपर उपयोगकर्ता) को फ़ाइल या निर्देशिका की अनुमति बदलने की अनुमति है। इसका मतलब है कि मालिक और सुपर उपयोगकर्ता रीड ( r), राइट ( w) और एक्ज़ीक्यूट ( x) अनुमतियां सेट कर सकते हैं । लेकिन आदेशों के साथ फ़ाइलों और निर्देशिकाओं के स्वामित्व (उपयोगकर्ता / समूह) को बदलना chown/ chgrpकेवल करने की अनुमति है root।

सामान्य ऑपरेशन के उद्देश्य के लिए, केवल जड़ और मालिक कर सकते हैं chmod। इसके अलावा, जड़ कर सकते हैं chownऔर chgrpहै, और इसके अलावा मालिक कर सकते हैं chgrpजब तक कि स्वामी लक्ष्य समूह का एक सदस्य है।

सुरक्षा उद्देश्यों के लिए, हालांकि एक और मामला है: कोई भी उपयोगकर्ता जिसके पास फाइल रखने वाली निर्देशिका के लिए लिखित अनुमति है, वह फ़ाइल को कॉपी के साथ बदल सकता है, और इस प्रकार स्वामी बन सकता है, जिससे अनुमति और सामग्री को संशोधित किया जा सके।

इस तरह:

14:14 mybox:~ mkdir mydir
14:14 mybox:~ cd mydir/
14:14 mybox:mydir echo foo | sudo tee yourfile
foo
14:14 mybox:mydir ls -ld . yourfile 
drwxr-xr-x  3 me    staff  102 Apr 11 14:14 .
-rw-r--r--  1 root  staff    4 Apr 11 14:14 yourfile

हमने एक निर्देशिका बनाई, और रूट के रूप में एक फ़ाइल लिखी। चूंकि रूट फ़ाइल का मालिक है, इसलिए हम इसे नहीं लिख सकते हैं, न ही हम chmod कर सकते हैं:

14:15 mybox:mydir echo bar > yourfile 
-bash: yourfile: Permission denied
14:15 mybox:mydir chmod a+x yourfile
chmod: Unable to change file mode on yourfile: Operation not permitted

हालाँकि, हमारे पास निर्देशिका के लिए लिखित अनुमति है, इसलिए हम स्वामित्व प्राप्त करने के लिए फ़ाइल को बदल सकते हैं:

14:15 mybox:mydir mv yourfile yourfile2
14:15 mybox:mydir cp yourfile2 yourfile
14:15 mybox:mydir ls -ld . yourfile 
drwxr-xr-x  4 me   staff  136 Apr 11 14:15 .
-rw-r--r--  1 me   staff    4 Apr 11 14:15 yourfile

और अब जब हम मालिक हैं, तो हम निश्चित रूप से उस फ़ाइल के साथ क्या कर सकते हैं:

14:15 mybox:mydir echo bar > yourfile 
14:15 mybox:mydir chmod a+x yourfile
14:16 mybox:mydir cat yourfile
bar

इसी तरह, फ़ाइल के लिए जाने वाले पूर्ण पथ में किसी भी निर्देशिका को लिखने की अनुमति वाला कोई भी उपयोगकर्ता उस बिंदु से निर्देशिका संरचना को बदल सकता है, इस प्रकार दिए गए नाम के साथ फ़ाइल का स्वामित्व प्राप्त कर सकता है। वास्तविक मूल फ़ाइल (जिसे हमने "yourfile2" का नाम दिया था) का स्वामित्व या अनुमति बिल्कुल नहीं बदली गई है।

14:17 mybox:mydir ls -l yourfile2
-rw-r--r--  1 root  staff  4 Apr 11 14:14 yourfile2

chmodआदेश काफी सीधे एक ही नाम के सिस्टम कॉल का आह्वान; chmod(2)सिस्टम कॉल के लिए मैन पेज (लिनक्स 4.10 पर) कहता है:

कॉलिंग प्रक्रिया का प्रभावी यूआईडी फ़ाइल के मालिक से मेल खाना चाहिए, या प्रक्रिया को विशेषाधिकार प्राप्त होना चाहिए (लिनक्स: यह CAP_FOWNERक्षमता होनी चाहिए )।

यदि कॉलिंग प्रक्रिया विशेषाधिकार प्राप्त नहीं है (लिनक्स में CAP_FSETIDक्षमता नहीं है ), और फ़ाइल का समूह प्रक्रिया के प्रभावी समूह आईडी या उसके पूरक समूह आईडी में से एक से मेल नहीं खाता है, तो S_ISGIDबिट बंद कर दिया जाएगा, लेकिन यह त्रुटि वापस करने का कारण नहीं होगा।

तो हां, रूट के रूप में चल रही एक प्रक्रिया किसी भी फाइल की अनुमतियों को बदल सकती है यदि उसने CAP_FOWNERक्षमता नहीं गिराई है।

ब्याज की भी है chown; पुरुष पृष्ठ chown(2)कहता है:

केवल एक विशेषाधिकार प्राप्त प्रक्रिया (लिनक्स: CAP_CHOWNक्षमता वाला एक) एक फ़ाइल के मालिक को बदल सकता है। फ़ाइल का स्वामी फ़ाइल के समूह को किसी भी समूह में बदल सकता है, जिसके स्वामी सदस्य हैं। एक विशेषाधिकार प्राप्त प्रक्रिया (लिनक्स: साथ CAP_CHOWN) समूह को मनमाने ढंग से बदल सकता है।