. В нем показан идентификатор группы текущего процесса. Пользователь 501 может входить в несколько групп, но текущему процессу соответствует только один идентификатор группы. В рассматривавшемся примере это 501.
В программах значения идентификаторов пользователей и групп имеют типы
uid_t
и
gid_t
. Оба типа определены в файле
<sys/types.h>
. Несмотря на то что эти идентификаторы являются, по сути, всего лишь целыми числами, избегайте делать какие-либо предположения о том, сколько битов они занимают, и выполнять над ними арифметические операции
Узнать идентификаторы пользователя и группы текущего процесса позволяют функции
geteuid
и
getegid
, объявленные в файле
<unistd.h>
. Они не принимают никаких аргументов и всегда работают, так что проверять ошибки не обязательно. В листинге 10.1 показана программа, которая частично дублирует работу команды
id
.
Листинг 10.1. (simpleid.c) Отображение идентификаторов пользователя и группы
#include <sys/types.h>
#include <unistd.h>
#include <stdio.h>
int main {
uid_t uid = geteuid;
gid_t gid = getegid;
printf("uid=%d gid=%d\n", (int) uid, (int)gid);
return 0;
}
Если программу запустит тот же пользователь, который ранее запустил команду
id
, результат будет таким:
% ./simpleid
uid=501 gid=501
10.3. Права доступа к файлам
Хороший способ разобраться в назначении идентификаторов пользователей и групп — изучить права доступа к файловой системе. В частности, нужно узнать, как система устанавливает права доступа к файлам и как ядро определяет, кому разрешено обращаться к запрашиваемым файлам.
У каждого файла есть лишь один пользователь-владелец и одна группа-владелец. При создании файла за ним закрепляются идентификаторы пользователя и группы того процесса, в котором происходит эта операция.
Основные операции, производимые над файлами в Linux, — это чтение, запись и выполнение (создание и удаление файлов считаются операциями над каталогами, где находятся эти файлы). Если файл недоступен для чтения, Linux не позволит узнать его содержимое, а если файл защищен от записи, то нельзя будет модифицировать его содержимое. Программу, у которой отсутствует право выполнения, нельзя будет запустить.
Linux позволяет задавать, какие действия — чтение, запись, выполнение — разрешено осуществлять над файлом его владельцу, группе и остальным пользователям. Например, можно указать, что владелец имеет все права доступа к файлу, пользователям группы разрешено читать и выполнять файл (но не записывать в него), а остальные пользователи не должны получать к нему доступ.
Совокупность прав доступа к файлу называется кодом режима. Он состоит из трех триад битов, соответствующих владельцу, группе и остальным пользователям. В каждой триаде первый бит означает право чтения, второй — право записи, третий — право выполнения. Символьное представление этих битов называется строкой режима. Просмотреть ее можно с помощью команды
ls -l
или системного вызова
stat
. Задание прав доступа к файлу осуществляется с помощью команды
chmod
или одноименного системного вызова. Допустим, имеется файл
hello
и требуется узнать права доступа к нему. Вот как это делается:
% ls -l hello
– rwxr-x--- 1 samuel csl 11734 Jan 22 16:29 hello
Третье и четвертое поля выводных данных сообщают о том, что файл принадлежит пользователю
samuel
и группе
csl
. В первом поле отображается строка режима. Начальный дефис указывает на то, что это обычный файл. В случае каталога здесь будет стоять буква d. Специальные файлы, например файлы устройств (см. главу 6, "Устройства") или каналы (см. раздел 5.4, "Каналы"), обозначаются другими буквами. Следующие три символа соответствуют правам владельца файла. В данном случае пользователь
samuel
имеет право чтения, записи и выполнения файла. Далее указаны права группы, которой принадлежит файл. Пользователям группы разрешено читать и выполнять файл. Последние три символа в строке режима обозначают права остальных пользователей, которым запрещен доступ к файлу.
Давайте проверим, действительно ли все вышесказанное — правда. Для начала попробуем обратиться к файлу от имени пользователя
nobody
, не входящего в группу
csl
:
% id
uid=99(nobody) gid=99(nobody) groups=99(nobody)
% cat hello
cat: hello: Permission denied
% echo hi > hello
sh: ./hello: Permission denied
% ./hello
sh: ./hello: Permission denied
Команда
cat
не смогла выполниться, потому что у нас нет права чтения файла. Запись в файл тоже не разрешена, поэтому потерпела неудачу команда
echo
. А поскольку право выполнения также отсутствует, запустить программу
hello
не удалось.
Посмотрим, что будет, если к файлу обратится пользователь
В данном случае можно отобразить содержимое файла и запустить его на выполнение (файл является простейшим командным сценарием), но осуществить перезапись файла невозможно. Доступ для записи разрешен только владельцу файла (пользователь