Introducción

En Unix la seguridad de los diferentes objetos del sistema vienen determinado por usuario y el grupo. Internamente, estas entidades el sistemas las representa a través de dos números, el uid - user id, para el usuario - y el gid - group id, para el grupo -, que representa a un conjunto de usuarios. Cade usuario pertenece a un grupo primario y puede pertenecer a varios grupos secundarios.

Esta información está almacenada en los sistemas Unix más tradicionales en los ficheros /etc/passwd y /etc/group. En los Unix más modernos, no se accede a ellos directamente, sino que existe todo una serie de módulos - conocidos como PAM - que permiten obtener la información necesaria de otras fuentes como pueden ser NIS, LDAP u otro sistema de almacenamiento.

Los permisos que pueden existen sobre los objectos del sistema de ficheros son:

lectura (r,Read). Permiso de lectura.
escritura (w,Write(. Permiso de escritura.
ejecucion (x,eXecute/search). Permiso de ejecución. Cuando se aplica a directorios, sirve para que pueda buscarse un fichero en los mismos.
setuid (setuid). Un fichero con este permiso puesto, cuando lo ejecuta cualquier usuario, en vez de ejecutarse con dicho permiso, lo hace con el del propietario del fichero.
setuid (setgid). Igual que setuid, pero para los grupos.
sticky bit (t). Herencia de los antiguos sistemas Unix. Aplicado a un fichero, hacía que los procesos que arrancaran así, no se fueran al swap. Aplicado a un directorio, hace que los ficheros que existan dentro de un directorio, puedan borrarlos sólo el root o el propietario - frente al caso normal, donde cualquiera con permisos de escritura pueda hacerlo -

Cuando un usuario , user, que pertenece a los grupos groups intenta acceder a un objeto dentro del sistema de fichero, cuyo propietario es fuser y el grupo es fgroup

usuario. Si user es igual que fuser se comprueba los permisos asociados al propietario.
grupo. Si user pertenece al grupo fgroup. En este caso se comprueban los permisos asociados al grupo.
otros. Si user no cumple con las condiciones anteriores se miranlos permisos asociados a otros.

Obteniendo información de permisos

Para los permisos de un fichero basta con usar la opción -l del ls:

ls -l /etc/passwd

Permisos hard links Usuario Grupo Tamaño Timestamp Fichero

-rw-r--r-- 1 root root 1811 Apr 15 09:40 /etc/passwd

Permisos	Descripción
-	Tipo de fichero: fichero normal.
rw-	Permisos del propietario del fichero: lectura y escritura para el propietario
r--	Permisos del grupo del fichero: lectura para los miembros del grupo root
r--	Permisos para el resto: todo el mundo puede leer el fichero

El tipo de fichero puede ser:

-	Fichero normal
d	Directorio
s	Socket local
p	Pipe
b	Dispositivo de bloques
c	Dispositivo de caracteres

Cambiando permisos: chmod

Los permisos se cambian con la ayuda de la orden chmod. La sintaxis de esta orden es:

chmod [opciones] permisos fichero(s)

Las opciones más habituales son:

-R procesa los directorios de manera recursiva.
-f suprime la mayoría de los mensajes de error.

Los permisos pueden expresarse de dos maneras:

Notación simbólica:
[augo][+-=][rwx][ts]

Los permisos corresponden con:
- u usuario, g grupo, o otros y a todos
- + Añade el permiso si no existe,- quita el permiso si existe y = fuerza exactamente ese permiso.
- r permiso de lectura, w permiso de escrituta y x permiso de ejecución / búsqueda.
- t sticky bit y s setuid o setgid, en función de como vaya combinado.

Notación octal. Estos números se suman para poner los permisos adecuados.

Permiso	Descripción
0100	Ejecución para el propietario
0200	Escritura para el propietario
0400	Lectura para el propietario
0010	Ejecución / búsqueda para el grupo
0020	Escritura para el grupo
0040	Lectura para el grupo
0001	Ejecución / búsqueda para otros
0002	Escritura para otros
0004	Ejecución / búsqueda para otros
1000	Sticky bit
2000	setgid
4000	setuid

Ejemplos de uso

Se van a usar las dos notaciones. Al añadir o quitar permisos sólo funciona con los modos simbólicos

Dar permiso de ejecución y lectura a un fichero, para todo el mundo, y de lectura, escritura y ejecución para el propietario:
chmod 755 fichero
chmod a=rx,u=rwx fichero
Añadir permisos de ejecución para otros a un fichero:
chmod o+x fichero
Quitar todos los permisos de ejecuci´n a un fichero:
chmod -x fichero
Dar a un fichero permisos de lectura para todos y escritura solo para el propietario:
chmod 644 fichero
chmod a=r,u=rw fichero
Quitar todos los permisos a un fichero:
chmod 0 fichero
chmod a= fichero

Cambiando propietarios y grupos: chown y chgrp

Para cambiar el usuario y el grupo se usan chown y chgrp. Estas órdenes sólo la pueden ejecutar el usuario root.

chown [-R] usuario fichero(s)
chgrp [-R] grupo ficheros(s)

La opción -R indica que se procese de manera recursiva los directorios que se le indiquen.

Ejemplos

Cambiar el propietario del directorio y de todo el contenido /home/deploy al usuario jboss y al grupo users:
chown -R jboss /home/deploy
chgrp -R users /home/deploy
Cambiar al usuario root el fichero /bin/ls
chown root /bin/ls

Permisos	hard links	Usuario	Grupo	Tamaño	Timestamp	Fichero
-rw-r--r--	1	root	root	1811	Apr 15 09:40	/etc/passwd