Ero sivun ”Tiedoston oikeudet” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
(34 välissä olevaa versiota 12 käyttäjän tekeminä ei näytetä)
Rivi 1: Rivi 1:
Linuxissa jokaisella tiedostolla, hakemistolla, lohkolaitteella yms. on tietyt oikeudet, jotka kertovat ketkä tiedostoa saavat lukea, kirjoittaa ja suorittaa.
Linuxissa jokaisella [[tiedosto]]lla, [[hakemisto]]lla, [[laitetiedosto]]lla ym. on tietyt oikeudet, jotka kertovat ketkä tiedostoa saavat lukea, kirjoittaa ja suorittaa.
 
Tässä artikkelissa kerrotaan perinteisistä [[Unix]]-oikeuksista, nykyään voi niiden lisäksi käyttää myös [[Tiedostojärjestelmän pääsylistat (ACL)|ACL]]-oikeuksia.


==Miksi?==
==Miksi?==
Joskus voi tuntua typerältä, että esimerkiksi voidakseen suorittaa ladatun ohjelman on ensin erikseen annettava sille suoritusoikeus. Tiedostojen erilliset oikeudet lisäävät kuitenkin [[tietoturva|tietoturvaa]], kun esimerkiksi [[käyttäjä|tavallinen käyttäjä]] ei pysty lukemaan toisen [[käyttäjä|käyttäjän]] tiedostoja tai ei pääse vahingossa suorittamaan [[Virustorjunta|virusta tai muuta haittaohjelmaa.]]
Joskus voi tuntua tyhmältä, että esimerkiksi voidakseen suorittaa ladatun ohjelman, on sille erikseen annettava suoritusoikeus. Tiedostojen erilliset oikeudet parantavat kuitenkin [[tietoturva|tietoturvaa]], kun esimerkiksi tavallinen [[käyttäjä]] ei pysty lukemaan toisen käyttäjän tiedostoja tai ei pääse vahingossa suorittamaan [[haittaohjelmat|virusta tai muuta haittaohjelmaa]].
 
==Oikeustyypit==
Jokaisella tiedostolla on kolme erillistä oikeutta: kirjoitusoikeus, lukuoikeus ja suoritusoikeus. Voidaan esimerkiksi määrätä, että tiedostoa saavat lukea kaikki käyttäjät mutta vain [[root]] kirjoittaa ja suorittaminen ohjelmatiedostona ei ole sallittua kenellekään. Tällaisia tiedostoja ovat esimerkiksi lähes kaikki [[linuxin hakemistorakenne|/etc-hakemiston]] [[asetustiedosto]]t.
 
Suoritus- ja kirjoitusoikeuksien merkitys on hakemistojen kohdalla erilainen kuin tavallisilla tiedostoilla. Suoritusoikeus tarkoittaa hakemistolle asetettuna oikeutta päästä käsiksi tiedostoon hakemiston kautta. Kirjoitusoikeus taas tarkoittaa oikeutta luoda hakemistoon uusi tiedosto ja siirtää tai poistaa hakemiston sisältämä tiedosto, riippumatta itse tiedoston oikeuksista.
 
Oikeus poistaa tiedosto hakemistosta riippuu siis oikeuksista, jotka käyttäjällä on tiedoston sisältämään ''hakemistoon'', ei ''tiedoston'' suojauksista, kuten eräissä muissa käyttöjärjestelmissä. Tämä on loogista, sillä tiedoston poistaminen hakemistosta on hakemiston muokkausta, ja vaatii että käyttäjällä on hakemistoon kirjoitusoikeus. Tiedoston poistaminen hakemistosta poistaa viittauksen (ns. "linkin") tiedostoon hakemistosta, mutta ei välttämättä tuhoa itse tiedostoa – tiedostoon voi olla useampia viittauksia joko samasta tai eri hakemistosta. Kun viimeinen viittaus tiedostoon poistetaan, tiedostolla ei ole enää nimeä tiedostojärjestelmässä. Tällöin käyttöjärjestelmä vapauttaa tiedoston varaamat lohkot massamuistilta.


==Oikeudet==
===Erikoisoikeudet===
Jokaisella tiedostolla on kolme erillistä oikeutta: kirjoitusoikeus, lukuoikeus ja suoritusoikeus. Voidaan esimerkiksi määrätä, että tiedostoa saa lukea kaikki käyttäjät mutta vain root kirjoittaa ja suorittaminen ei ole sallittua kenellekkään. Tällaisia tiedostoja ovat esimerkiksi lähes kaikki /etc-hakemiston asetustiedostot.
Tiedostoille voidaan lisäksi asettaa niin sanotut '''[[setuid]]'''-, '''setgid'''- ja '''sticky bit''' -oikeudet.  


Tiedoston oikeudet voidaan merkitä joko numerosarjalla (esimerkiksi 660) tai kirjainyhdistelmällä (esimerkiksi -rw-r-----). Pureudutaan ensin tuohon numeroyhdistelmään.
Suoritettavan ohjelman osalta setuid- ja setgid-oikeudet tarkoittavat, että ohjelma suoritetaan omistajan tai [[ryhmä]]n oikeuksilla riippumatta siitä, kuka ohjelman ajaa (kunhan hänellä on siihen suoritusoikeus). [[Kansion yhteiskäyttö ryhmässä|Hakemiston osalta]] setgid tarkoittaa, että sinne luotavat tiedostot saavat oletuksena saman ryhmän kuin hakemistokin. Hakemiston sgid-bitti ei vaikuta hakemistoon siirrettäviin tiedostoihin.


Numeroyhdistelmässä ensimmäinen numero tarkoittaa tiedoston omistajan oikeuksia, toinen tiedoston ryhmän oikeuksia ja kolmas muiden oikeuksia. Jokaisella tiedostolla on omistaja (joka on oletuksena tiedoston luoja) ja se kuuluu johonkin käyttäjäryhmään. Mahdolliset arvot jokaiselle numerolle ovat:
Sticky bit (suomeksi tahmabitti) hakemistossa estää muita kuin omistajaa, [[pääkäyttäjä]]ä ja kirjoitusoikeuden omaavaa hävittämästä tiedostoa, vaikka hänellä olisi hakemistoon kirjoitusoikeus (tätä käytetään esimerkiksi /tmp-hakemistossa). Tavallisen tiedoston osalta sillä ei ole vaikutusta.
 
==Oikeuksien esittäminen==
Tiedoston oikeudet voidaan merkitä joko numerosarjalla (esimerkiksi <tt>660</tt>) tai kirjainyhdistelmällä (esimerkiksi <tt>-rw-r-----</tt>).
 
0 --- ei oikeuksia
1 --x suoritus
2 -w- kirjoitus
3 -wx kirjoitus ja suoritus (2+1)
4 r-- luku
5 r-x luku ja suoritus (4+1)
6 rw- luku ja kirjoitus (4+2)
7 rwx luku, kirjoitus ja suoritus (4+2+1)
 
===Numeromuoto===
Numeroyhdistelmässä ensimmäinen numero tarkoittaa tiedoston omistajan oikeuksia, toinen tiedoston ryhmän oikeuksia ja kolmas muiden oikeuksia. Jokaisella tiedostolla on omistaja (joka on oletuksena tiedoston luoja) ja se kuuluu johonkin käyttäjä[[ryhmä]]än. Mahdolliset arvot jokaiselle numerolle ovat:
*0 = ei oikeuksia
*0 = ei oikeuksia
*1 = suoritus
*1 = suoritus
*2 = kirjoitus
*2 = kirjoitus
*3 = kirjoitus ja suoritus (1+2)
*3 = kirjoitus ja suoritus (2+1)
*4 = luku
*4 = luku
*5 = luku ja suoritus (1+4)
*5 = luku ja suoritus (4+1)
*6 = luku ja kirjoitus (2+4)
*6 = luku ja kirjoitus (4+2)
*7 = luku, kirjoitus ja suoritus (1+2+4)
*7 = luku, kirjoitus ja suoritus (4+2+1)
Jolloin esimerkiksi 000 piilottaisi tiedoston kaikilta eikä antaisi kenenkään muokata sitä (huom! omistaja ja root voisivat kuitenkin muuttaa oikeuksia!) ja 777 antaisi kaikille kaikki mahdolliset oikeudet (huono tietoturvan kannalta).
 
Jolloin esimerkiksi 000 piilottaisi tiedoston sisällön kaikilta eikä antaisi kenenkään muokata sitä (HUOM! omistaja ja [[pääkäyttäjä]] voisivat kuitenkin muuttaa oikeuksia) ja 777 antaisi kaikille kaikki mahdolliset oikeudet.
 
Windowsin puolellakin näihin numeroihin voi törmätä nettisivuja tehdessä ja niitä ftp-ohjelmilla palvelimelle lähetellessä. Siellä oikeuksiksi määritellään tavallisesti 774, jolloin siis satunnainen netinkäyttäjä saa oikeuden 4.
 
Erikoisoikeuksien numerot:
*0 ei erikoisoikeuksia
*1 sticky bit, tahmabitti
*2 sgid
*4 suid
 
Esimerkiksi jaetun kansion oikeuksiksi sopii 2770 tai 2750.
 
===Kirjainmuoto===
Kirjainmuoto on kenties hieman monimutkaisempi kuin numeromuoto. Tarkastellaan esimerkkinä tiedostoa, jonka oikeudet ovat <tt>-rwxr-xr-x</tt>.
 
Ensimmäinen merkki '''-''' tarkoittaa tavallista tiedostoa (jos sen tilalla olisi '''d''', olisi kyseessä hakemisto). Ensimmäisenä oleva '''l'''-kirjain merkitsisi [[Symbolinen linkki|symbolista linkkiä]]. Muitakin mahdollisia merkkejä ovat esimerkiksi merkki[[laitetiedostot|laite]] ('''c'''), lohkolaite ('''b'''), [[nimetty putki]] ('''p''') ja [[wikipedia:Unix_domain_socket|socket]] ('''s''').
 
Seuraavat kolme merkkiä ovat tiedoston omistajan oikeudet. Mahdollisia merkkejä ovat '''r''' (lukuoikeus), '''w''' (kirjoitusoikeus) ja '''x''' (suoritusoikeus). '''-''' tarkoittaa, että oikeuksia ei ole lainkaan. Esimerkiksi omistajalla olisi luku- ja kirjoitusoikeus merkkijonolla <tt>rw-</tt> ja kaikki oikeudet (eli myös suoritusoikeus) merkkijonolla <tt>rwx</tt> (kuten esimerkissä yllä).
 
Seuraavat kolme merkkiä taas ovat vastaavalla tavalla ryhmän oikeudet, esimerkissä <tt>r-x</tt> eli luku- ja suoritusoikeudet mutta ei kirjoitusoikeuksia. Viimeiset kolme merkkiä ovat muiden oikeudet.


Kirjainyhdistelmä taas on ehkäpä hieman monimutkaisempi. Tarkastellaan esimerkkinä tiedostoa, jonka oikeudet ovat -rwxr-xr-x. Ensimmäinen merkki - tarkoittaa tiedostoa (jos sen tilalla olisi d, kyseessä olisi hakemisto). Ensimmäisenä oleva l-kirjain merkitsisi [[Symbolinen linkki|symbolista linkkiä]]. Muitakin mahdollisia merkkejä ovat esimerkiksi merkkilaite (c), lohkolaite (b) ja putki (p).
Jos tiedoston setuid-bitti on päällä, näkyy omistajan x-kirjaimen kohdalla '''S'''-kirjain. Jos setgid-bitti on päällä, näkyy S-kirjain ryhmän x-kirjaimen paikalla. Mikäli näissä kentissä on alkuaan x-kirjain (ts suoritusoikeus on päällä), näkyy '''s'''-kirjain pienenä. Jos tiedostolle on asetettu sticky bit, näkyy listan lopussa iso '''T'''-kirjain.  
Seuraavat kolme merkkiä ovat tiedoston omistajan oikeudet. Mahdollisia merkkejä ovat r (lukuoikeus), w (kirjoitusoikeus) ja x (suoritusoikeus). - tarkoittaa että oikeuksia ei ole lainkaan. Esimerkiksi omistajalla olisi luku- ja kirjoitusoikeus merkkijonolla rw- ja kaikki oikeudet (eli myös suoritusoikeus) merkkijonolla rwx (kuten esimerkissämme).


Seuraavat kolme merkkiä taas ovat vastaavalla tavalla ryhmän oikeudet, esimerkissämme r-x eli luku- ja suoritusoikeudet mutta ei kirjoitusoikeuksia. Viimeiset kolme merkkiä ovat muiden oikeudet.
Jos sekä setuid-, setgid- että sticky-bitit olisivat päällä ja vain tiedoston omistajalla olisi luku-, kirjoitus- ja suoritusoikeudet, näyttäisi oikeuslista siis seuraavalta: <tt>-rws--S--T</tt>.


==Oikeuksien asettaminen==
==Oikeuksien asettaminen==
Tiedoston tai hakemiston oikeudet asetetaan käyttäen <tt>chmod</tt>-ohjelmaa. Tiedoston (tai hakemiston tai vastaavan) omistaja - ja tietysti myös root - voivat muuttaa oikeuksia yksinkertaisesti komennolla
Tiedoston tai hakemiston oikeudet asetetaan [[komentorivi]]llä käyttäen '''chmod'''-ohjelmaa. Tiedoston omistaja ja pääkäyttäjä voivat muuttaa sen oikeuksia esimerkiksi komennolla
  chmod 760 tiedosto
  chmod 760 tiedosto
Joka antaisi siis tiedoston omistajalle kaikki oikeudet, ryhmälle luku- ja kirjoitusoikeuden ja piilottaisi tiedoston muilta. Jos komennon kanssa käytetään valitsinta -R ja tiedoston paikalla on jokin hakemisto, muutetaan myös jokaisen alihakemiston ja alihakemiston tiedoston oikeudet.
Tämä antaisi tiedoston omistajalle kaikki oikeudet, ryhmälle luku- ja kirjoitusoikeuden ja piilottaisi tiedoston sisällön muilta. Jos komennon kanssa käytetään [[valitsin]]ta <tt>-R</tt> ja tiedosto on hakemisto, muutetaan myös jokaisen alihakemiston ja niiden alihakemistojen tiedostojen oikeudet.


Oikeudet voidaan asettaa myös käyttäen merkkijonoja. Voidaan komentaa esimerkiksi
Oikeudet voidaan asettaa myös käyttäen kirjainmuotoa. Voidaan esimerkiksi antaa komento
  chmod o+r tiedosto
  chmod o+r tiedosto
joka antaisi muille lukuoikeudet. Syntaksi on seuraavanlainen: <tt>chmod <kenelle> <+/-/=> <oikeus> tiedosto</tt>. Oikeudet voidaan antaa joko omistajalle u (user), ryhmälle g (group), muille o (other) tai kaikille a (all). Kohteeseenkin voi yhdistää useampia kirjaimia, esim go=rw. Ryhmämerkintä "a" tarkoittaa siis samaa kuin "ugo". Mahdollisia oikeuksia ovat edellä esitellyt r, w ja x.
mikä antaisi muille lukuoikeudet. Syntaksi on seuraavanlainen:  
chmod <span style="color:#f00">kenelle</span>+/-/=<span style="color:#00f">oikeus</span> tiedosto
Oikeudet voidaan antaa joko omistajalle '''u''' (user), ryhmälle '''g''' (group), muille '''o''' (other) tai kaikille '''a''' (all). Myös kohteeseen voi yhdistää useampia kirjaimia, esimerkiksi <tt>go=rw</tt>.  


+ tarkoittaa että tietty oikeus lisätään ja - ottaa tietyn oikeuden pois. = merkkiä käytettäessä tietty oikeusmerkkijono asetetaan, eli esimerkiksi
Ryhmämerkintä "a" tarkoittaa samaa kuin "ugo". Mahdollisia oikeuksia ovat '''r''', '''w''' ja '''x''' sekä '''X''', joka lisää suoritusoikeuden, jos sellainen ennestään on jollakulla tai kyseessä on hakemisto, ja '''u''', '''g''' tai '''o''', jotka asettavat oikeudet käyttäjän, ryhmän tai muiden mukaan.
 
'''+''' tarkoittaa, että tietty oikeus lisätään ja '''-''' ottaa tietyn oikeuden pois. '''=''' merkkiä käytettäessä tietty oikeusmerkkijono asetetaan, eli esimerkiksi
  chmod g=rw tiedosto
  chmod g=rw tiedosto
asettaisi ryhmälle luku- ja kirjoitusoikeuden riippumatta aiemmista oikeuksista (eli suoritusoikeutta ei enää ole jos sellainen aiemmin oli).
asettaisi ryhmälle luku- ja kirjoitusoikeuden riippumatta aiemmista oikeuksista (eli suoritusoikeutta ei enää ole jos sellainen aiemmin oli).


Erikoisoikeudet (setuid, setgid ja sticky bit) voidaan asettaa joko numeerisesti (4000, 2000 ja 1000 ylläselitetyn mukaisesti) tai kirjaimin (u+s, g+s ja +t).
Jos esimerkiksi käyttäjän kotihakemiston oikeudet ovat menneet jostain syystä sekaisin, ne voidaan palauttaa seuraavalla komennolla:
chmod -R ug+rwX /home/käyttäjä
===Oletusoikeudet===
Luotaville tiedostoille voi asettaa oletusoikeudet komennolla [[umask]].
===Graafiset vaihtoehdot===
Tiedostojen oikeuksia voi muuttaa myös [[GUI|graafisesti]] käyttäen jotakin tiedostonhallintaohjelmaa, kuten [[Konqueror]]ia, [[Nautilus]]ta tai [[Thunar]]ia.
Tavallisesti tämä tapahtuu klikkaamalla tiedoston kuvaketta [[hiiri|hiiren]] kakkosnäppäimellä ja valitsemalla ''Ominaisuudet''.
==Esimerkkioikeuksia palvelinkäyttöön==
644 – Tavallinen tiedosto. <br>
700 – Jotkin skriptit. Hakemistot, joiden sisältö ei näy selaimen kautta.<br>
711 – Hakemisto ilman tiedostolistausta. Sisällön voi kuitenkin lukea, jos tietää osoitteen.<br>
755 – Hakemisto, josta näytetään tiedostolistaus.<br>
777 – PHP-skripteissä ''joillakin'' palvelimilla safemoden vuoksi. Käytettävä varoen!
== Katso myös ==
*[[Kansion yhteiskäyttö ryhmässä]]
*[[Chown]] - asettaa tiedoston omistajan
*[[Chgrp]] - asettaa tiedoston [[ryhmä]]n
*[[Chattr]] - asettaa tiedostoattribuutteja


Tiedostojen oikeuksia voi toki muuttaa myös graafisesti käyttäen jotain tiedostonhallintaohjelmaa, esimerkiksi Konqueroria.
==Aiheesta muualla==
*[http://www.flug.fi/ohjeita/oikeudet Opas tiedostojen oikeuksista FLUGin sivuilla]


[[Luokka:Järjestelmä]]
[[Luokka:Järjestelmä]]
[[Luokka:Ohjeet]]
[[Luokka:Ohjeet]]
[[Luokka:Tiedostojärjestelmät]]
[[Luokka:Käyttäjät ja ryhmät]]

Versio 4. marraskuuta 2015 kello 15.01

Linuxissa jokaisella tiedostolla, hakemistolla, laitetiedostolla ym. on tietyt oikeudet, jotka kertovat ketkä tiedostoa saavat lukea, kirjoittaa ja suorittaa.

Tässä artikkelissa kerrotaan perinteisistä Unix-oikeuksista, nykyään voi niiden lisäksi käyttää myös ACL-oikeuksia.

Miksi?

Joskus voi tuntua tyhmältä, että esimerkiksi voidakseen suorittaa ladatun ohjelman, on sille erikseen annettava suoritusoikeus. Tiedostojen erilliset oikeudet parantavat kuitenkin tietoturvaa, kun esimerkiksi tavallinen käyttäjä ei pysty lukemaan toisen käyttäjän tiedostoja tai ei pääse vahingossa suorittamaan virusta tai muuta haittaohjelmaa.

Oikeustyypit

Jokaisella tiedostolla on kolme erillistä oikeutta: kirjoitusoikeus, lukuoikeus ja suoritusoikeus. Voidaan esimerkiksi määrätä, että tiedostoa saavat lukea kaikki käyttäjät mutta vain root kirjoittaa ja suorittaminen ohjelmatiedostona ei ole sallittua kenellekään. Tällaisia tiedostoja ovat esimerkiksi lähes kaikki /etc-hakemiston asetustiedostot.

Suoritus- ja kirjoitusoikeuksien merkitys on hakemistojen kohdalla erilainen kuin tavallisilla tiedostoilla. Suoritusoikeus tarkoittaa hakemistolle asetettuna oikeutta päästä käsiksi tiedostoon hakemiston kautta. Kirjoitusoikeus taas tarkoittaa oikeutta luoda hakemistoon uusi tiedosto ja siirtää tai poistaa hakemiston sisältämä tiedosto, riippumatta itse tiedoston oikeuksista.

Oikeus poistaa tiedosto hakemistosta riippuu siis oikeuksista, jotka käyttäjällä on tiedoston sisältämään hakemistoon, ei tiedoston suojauksista, kuten eräissä muissa käyttöjärjestelmissä. Tämä on loogista, sillä tiedoston poistaminen hakemistosta on hakemiston muokkausta, ja vaatii että käyttäjällä on hakemistoon kirjoitusoikeus. Tiedoston poistaminen hakemistosta poistaa viittauksen (ns. "linkin") tiedostoon hakemistosta, mutta ei välttämättä tuhoa itse tiedostoa – tiedostoon voi olla useampia viittauksia joko samasta tai eri hakemistosta. Kun viimeinen viittaus tiedostoon poistetaan, tiedostolla ei ole enää nimeä tiedostojärjestelmässä. Tällöin käyttöjärjestelmä vapauttaa tiedoston varaamat lohkot massamuistilta.

Erikoisoikeudet

Tiedostoille voidaan lisäksi asettaa niin sanotut setuid-, setgid- ja sticky bit -oikeudet.

Suoritettavan ohjelman osalta setuid- ja setgid-oikeudet tarkoittavat, että ohjelma suoritetaan omistajan tai ryhmän oikeuksilla riippumatta siitä, kuka ohjelman ajaa (kunhan hänellä on siihen suoritusoikeus). Hakemiston osalta setgid tarkoittaa, että sinne luotavat tiedostot saavat oletuksena saman ryhmän kuin hakemistokin. Hakemiston sgid-bitti ei vaikuta hakemistoon siirrettäviin tiedostoihin.

Sticky bit (suomeksi tahmabitti) hakemistossa estää muita kuin omistajaa, pääkäyttäjää ja kirjoitusoikeuden omaavaa hävittämästä tiedostoa, vaikka hänellä olisi hakemistoon kirjoitusoikeus (tätä käytetään esimerkiksi /tmp-hakemistossa). Tavallisen tiedoston osalta sillä ei ole vaikutusta.

Oikeuksien esittäminen

Tiedoston oikeudet voidaan merkitä joko numerosarjalla (esimerkiksi 660) tai kirjainyhdistelmällä (esimerkiksi -rw-r-----).

0 --- ei oikeuksia
1 --x suoritus
2 -w- kirjoitus
3 -wx kirjoitus ja suoritus (2+1)
4 r-- luku
5 r-x luku ja suoritus (4+1)
6 rw- luku ja kirjoitus (4+2)
7 rwx luku, kirjoitus ja suoritus (4+2+1)

Numeromuoto

Numeroyhdistelmässä ensimmäinen numero tarkoittaa tiedoston omistajan oikeuksia, toinen tiedoston ryhmän oikeuksia ja kolmas muiden oikeuksia. Jokaisella tiedostolla on omistaja (joka on oletuksena tiedoston luoja) ja se kuuluu johonkin käyttäjäryhmään. Mahdolliset arvot jokaiselle numerolle ovat:

  • 0 = ei oikeuksia
  • 1 = suoritus
  • 2 = kirjoitus
  • 3 = kirjoitus ja suoritus (2+1)
  • 4 = luku
  • 5 = luku ja suoritus (4+1)
  • 6 = luku ja kirjoitus (4+2)
  • 7 = luku, kirjoitus ja suoritus (4+2+1)

Jolloin esimerkiksi 000 piilottaisi tiedoston sisällön kaikilta eikä antaisi kenenkään muokata sitä (HUOM! omistaja ja pääkäyttäjä voisivat kuitenkin muuttaa oikeuksia) ja 777 antaisi kaikille kaikki mahdolliset oikeudet.

Windowsin puolellakin näihin numeroihin voi törmätä nettisivuja tehdessä ja niitä ftp-ohjelmilla palvelimelle lähetellessä. Siellä oikeuksiksi määritellään tavallisesti 774, jolloin siis satunnainen netinkäyttäjä saa oikeuden 4.

Erikoisoikeuksien numerot:

  • 0 ei erikoisoikeuksia
  • 1 sticky bit, tahmabitti
  • 2 sgid
  • 4 suid

Esimerkiksi jaetun kansion oikeuksiksi sopii 2770 tai 2750.

Kirjainmuoto

Kirjainmuoto on kenties hieman monimutkaisempi kuin numeromuoto. Tarkastellaan esimerkkinä tiedostoa, jonka oikeudet ovat -rwxr-xr-x.

Ensimmäinen merkki - tarkoittaa tavallista tiedostoa (jos sen tilalla olisi d, olisi kyseessä hakemisto). Ensimmäisenä oleva l-kirjain merkitsisi symbolista linkkiä. Muitakin mahdollisia merkkejä ovat esimerkiksi merkkilaite (c), lohkolaite (b), nimetty putki (p) ja socket (s).

Seuraavat kolme merkkiä ovat tiedoston omistajan oikeudet. Mahdollisia merkkejä ovat r (lukuoikeus), w (kirjoitusoikeus) ja x (suoritusoikeus). - tarkoittaa, että oikeuksia ei ole lainkaan. Esimerkiksi omistajalla olisi luku- ja kirjoitusoikeus merkkijonolla rw- ja kaikki oikeudet (eli myös suoritusoikeus) merkkijonolla rwx (kuten esimerkissä yllä).

Seuraavat kolme merkkiä taas ovat vastaavalla tavalla ryhmän oikeudet, esimerkissä r-x eli luku- ja suoritusoikeudet mutta ei kirjoitusoikeuksia. Viimeiset kolme merkkiä ovat muiden oikeudet.

Jos tiedoston setuid-bitti on päällä, näkyy omistajan x-kirjaimen kohdalla S-kirjain. Jos setgid-bitti on päällä, näkyy S-kirjain ryhmän x-kirjaimen paikalla. Mikäli näissä kentissä on alkuaan x-kirjain (ts suoritusoikeus on päällä), näkyy s-kirjain pienenä. Jos tiedostolle on asetettu sticky bit, näkyy listan lopussa iso T-kirjain.

Jos sekä setuid-, setgid- että sticky-bitit olisivat päällä ja vain tiedoston omistajalla olisi luku-, kirjoitus- ja suoritusoikeudet, näyttäisi oikeuslista siis seuraavalta: -rws--S--T.

Oikeuksien asettaminen

Tiedoston tai hakemiston oikeudet asetetaan komentorivillä käyttäen chmod-ohjelmaa. Tiedoston omistaja ja pääkäyttäjä voivat muuttaa sen oikeuksia esimerkiksi komennolla

chmod 760 tiedosto

Tämä antaisi tiedoston omistajalle kaikki oikeudet, ryhmälle luku- ja kirjoitusoikeuden ja piilottaisi tiedoston sisällön muilta. Jos komennon kanssa käytetään valitsinta -R ja tiedosto on hakemisto, muutetaan myös jokaisen alihakemiston ja niiden alihakemistojen tiedostojen oikeudet.

Oikeudet voidaan asettaa myös käyttäen kirjainmuotoa. Voidaan esimerkiksi antaa komento

chmod o+r tiedosto

mikä antaisi muille lukuoikeudet. Syntaksi on seuraavanlainen:

chmod kenelle+/-/=oikeus tiedosto 

Oikeudet voidaan antaa joko omistajalle u (user), ryhmälle g (group), muille o (other) tai kaikille a (all). Myös kohteeseen voi yhdistää useampia kirjaimia, esimerkiksi go=rw.

Ryhmämerkintä "a" tarkoittaa samaa kuin "ugo". Mahdollisia oikeuksia ovat r, w ja x sekä X, joka lisää suoritusoikeuden, jos sellainen ennestään on jollakulla tai kyseessä on hakemisto, ja u, g tai o, jotka asettavat oikeudet käyttäjän, ryhmän tai muiden mukaan.

+ tarkoittaa, että tietty oikeus lisätään ja - ottaa tietyn oikeuden pois. = merkkiä käytettäessä tietty oikeusmerkkijono asetetaan, eli esimerkiksi

chmod g=rw tiedosto

asettaisi ryhmälle luku- ja kirjoitusoikeuden riippumatta aiemmista oikeuksista (eli suoritusoikeutta ei enää ole jos sellainen aiemmin oli).

Erikoisoikeudet (setuid, setgid ja sticky bit) voidaan asettaa joko numeerisesti (4000, 2000 ja 1000 ylläselitetyn mukaisesti) tai kirjaimin (u+s, g+s ja +t).

Jos esimerkiksi käyttäjän kotihakemiston oikeudet ovat menneet jostain syystä sekaisin, ne voidaan palauttaa seuraavalla komennolla:

chmod -R ug+rwX /home/käyttäjä

Oletusoikeudet

Luotaville tiedostoille voi asettaa oletusoikeudet komennolla umask.

Graafiset vaihtoehdot

Tiedostojen oikeuksia voi muuttaa myös graafisesti käyttäen jotakin tiedostonhallintaohjelmaa, kuten Konqueroria, Nautilusta tai Thunaria.

Tavallisesti tämä tapahtuu klikkaamalla tiedoston kuvaketta hiiren kakkosnäppäimellä ja valitsemalla Ominaisuudet.

Esimerkkioikeuksia palvelinkäyttöön

644 – Tavallinen tiedosto.
700 – Jotkin skriptit. Hakemistot, joiden sisältö ei näy selaimen kautta.
711 – Hakemisto ilman tiedostolistausta. Sisällön voi kuitenkin lukea, jos tietää osoitteen.
755 – Hakemisto, josta näytetään tiedostolistaus.
777 – PHP-skripteissä joillakin palvelimilla safemoden vuoksi. Käytettävä varoen!

Katso myös

Aiheesta muualla