# cp Копирование файла

Права в Linux (chown, chmod, SUID, GUID, sticky bit, ACL, umask)

stat имя файла

myuser@astra:~$ stat /bin/passwd
  Файл: /bin/passwd
  Размер: 68840         Блоков: 136        Блок В/В: 4096   обычный файл
Устройство: 8/4 Инода: 788635      Ссылки: 1
Доступ: (4755/-rwsr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)
Доступ:        2026-03-19 15:22:26.560593390 +0300
Модифицирован: 2026-01-28 20:40:25.000000000 +0300
Изменён:       2026-03-16 15:53:15.812000000 +0300
Создан:        2026-03-16 15:43:31.132000000 +0300

chmod [опции] <права> <файлы> 

chmod [ugoa] [+-=] [rwx] файл(ы)

[ugoa] указывает, к кому применяются изменения:

[+-=] определяет, что нужно сделать с разрешениями:

— [rwx] представляет собой комбинацию символов `r`, `w` и `x`, обозначающих разрешения:

Примеры использования.

Числовая нотация состоит из трех цифр, где каждая цифра представляет разрешения для владельца, группы и остальных пользователей соответственно. Каждая цифра состоит из суммы разных значений, присвоенных разным разрешениям:

Посмотреть числовую нотацию для папки или файла

 stat -c "%a %n" conf

Для установки конкретных разрешений, сложите соответствующие значения:

• только разрешение на чтение, используйте 4.
• чтение и запись, сложите 4 и 2, что даст 6.
• чтение и выполнение, сложите 4 и 1, что даст 5.
• чтение, запись и выполнение, сложите 4, 2 и 1, что даст 7.

Вот некоторые общие настройки для каталогов:

Как и для обычных файлов, вы можете изменять права доступа для каталогов с помощью команды chmod. Права доступа к каталогам контролируют, какие операции можно выполнять внутри каталога: просмотр его содержимого, создание, удаление файлов и каталогов внутри него и так далее.

Для изменения прав доступа к каталогу используется та же числовая и символьная нотация, которую мы рассматривали ранее. Укажите имя каталога, к которому вы хотите применить изменения прав доступа вместо имени файла. Давайте рассмотрим примеры в двух нотациях.

chmod 700 директория — установить права -rwx—— для владельца каталога, позволяя ему читать, записывать и выполнять операции внутри него, но никаким другим пользователям.

chmod 755 директория — предоставить владельцу полные права -rwxr-xr-x, а остальным пользователям право только на чтение и выполнение.chmod 644 директория — предоставить права на чтение и запись для владельца каталога, а остальным пользователям и группам оставить только на чтение содержимого.

Чтобы выполнить рекурсивное изменение прав доступа, используйте флаг -R или —recursive с командой chmod. Например:

chmod -R 755 каталог — установит права -rwxr-xr-x для всех файлов и каталогов внутри указанного каталога и самого каталога. chmod -R u+rwx,go-rwx каталог — добавит владельцу права на чтение, запись и выполнение, а группе и остальным пользователям уберет все права для всех файлов и каталогов в указанной директории и её подкаталогах. Рекурсивное изменение прав доступа — отличный инструмент для обновления разрешений для файлов и каталогов одновременно.

chmod –reference=RFILE file

• —reference=RFILE. Этот аргумент указывает путь к файлу или каталогу, из которого будут скопированы права доступа.
• file: это целевой файл или каталог, для которого вы хотите установить права доступа, согласно указанному источнику.

Важно отметить, что —reference не просто добавляет или удаляет определенные разрешения, а полностью перезаписывает права доступа целевого элемента.

# SUID пример
ls -l /usr/bin/passwd
# -rwsr-xr-x
 
# SGID директория
mkdir shared
chmod 2775 shared
 
# Sticky (как /tmp)
chmod 1777 /tmp

• Sticky bit работает только на директориях
• SUID/SGID без execute (S) — почти всегда ошибка
• SGID на директории — must-have для командной работы
• SUID — потенциальная уязвимость (privesc)

# Безопасная общая директория
mkdir /shared
chmod 2775 /shared
 
# Общий tmp с защитой
mkdir /shared/tmp
chmod 1777 /shared/tmp

apt-get install acl

Проверка поддержки ACL файловой системой:

mount | grep acl

Если нет — добавить в /etc/fstab:

UUID=xxx / ext4 defaults,acl 0 1

ACL (Access Control List) — расширенные права доступа, дополняют стандартные rwx.

Позволяют:

• давать доступ конкретным пользователям
• давать доступ нескольким группам
• задавать default права для директорий

Получить ACL:

getfacl /tmp/file.txt

Показать только access ACL:

getfacl -a /tmp/file.txt
getfacl --access /tmp/file.txt

Показать default ACL:

getfacl -d /tmp/dir
getfacl --default /tmp/dir

# file: filename
# owner: geek
# group: geek
user::rw-
user:andy:r--
user:bob:r--
user:james:rwx
group::r--
mask::rwx
other::r--

⚠️ ВАЖНО: mask ограничивает ВСЕ user/group ACL

Добавить права пользователю:

setfacl -m u:andy:rwx file.txt

Добавить права группе:

setfacl -m g:devs:r-x file.txt

Удалить ACL:

setfacl -x u:andy file.txt

Очистить все ACL:

setfacl -b file.txt

Установить default ACL для директории:

setfacl -d -m u:andy:rwx /shared

Теперь все новые файлы унаследуют права

Проверка:

getfacl /shared

Пример:

setfacl -m u:andy:rwx file.txt

Но если:

mask::r--

👉 итоговые права будут r–, а не rwx

Пересчитать mask:

setfacl -m m:rwx file.txt

или автоматически:

setfacl --mask file.txt

Примеры:

getfacl -R /tmp
getfacl -e /tmp/file.txt
getfacl -n /tmp/file.txt

mkdir /shared
chown root:devs /shared
chmod 2775 /shared
setfacl -d -m g:devs:rwx /shared

👉 все файлы:

• группа devs
• автоматические права

setfacl -m u:backup:r-- /etc/passwd

setfacl -R -m u:andy:rwx /project

⚠️ Проверка ACL в системе:

getfacl -R / 2>/dev/null

⚠️ Потенциальные риски:

• доступ к критическим файлам через ACL
• обход стандартных прав
• забытые ACL после администрирования