3.3. Permisos

FreeBSD, cuya raíz histórica es el UNIX BSD, se fundamenta en varios conceptos clave de UNIX. El primero y más importante es que FreeBSD es un sistema operativo multi-usuario. El sistema puede gestionar varios usuarios trabajando simultáneamente y en tareas que no guardan relación entre sí. El sistema se encarga de compartir y administrar peticiones de dispositivos de hardware, periféricos, memoria y tiempo de Unidad Central de Proceso (CPU) de manera equitativa para cada usuario.

Debido a que el sistema es capaz de soportar múltiples usuarios, todo lo que el sistema administra tiene un conjunto de permisos que usa para decidir quién puede leer, escribir y ejecutar un recurso. Estos permisos se guardan como octetos divididos en tres partes: una para el propietario del fichero, otra para el grupo al que el fichero pertenece, y otra para todos los demás grupos y usuarios. Veamos una representación numérica de esto:

Valor Permiso Listado de directorio
0 No leer, no escribir, no ejecutar ---
1 No leer, no escribir, ejecutar --x
2 No leer, escribir, no ejecutar -w-
3 No leer, escribir, ejecutar -wx
4 Leer, no escribir, no ejecutar r--
5 Leer, no escribir, ejecutar r-x
6 Leer, escribir, no ejecutar rw-
7 Leer, escribir, ejecutar rwx

Puede utilizar el parámetro de línea de órdenes -l de ls(1) para ver un listado largo que incluya una columna con información acerca de los permisos de fichero para el propietario, grupo y los demás. Por ejemplo, un ls -l en un directorio arbitrario puede mostrar algo como esto:

% ls -l
total 530
-rw-r--r--  1 root  wheel     512 Sep  5 12:31 mifichero
-rw-r--r--  1 root  wheel     512 Sep  5 12:31 otrofichero
-rw-r--r--  1 root  wheel    7680 Sep  5 12:31 email.txt
...

Aquí está como se divide la primera columna de ls -l:

-rw-r--r--

El primer caracter (más a la izquierda) indica si este fichero es un fichero regular, un directorio, un dispositivo especial de caracter, un socket o cualquier otro dispositivo especial pseudo-ficheroa . En este caso, el - un fichero regular. Los siguientes tres caracteres, rw- en este ejemplo, dan los permisos para el propietario del fichero. Los siguientes tres caracteres, r--, dan los permisos para el grupo al que el fichero pertenece. Los últimos tres caracteres, r--, dan los permisos para el resto del mundo. Un guión indica que el permiso está desactivado. En el caso de este fichero, los permisos están asignados de tal manera que el propietario puede leer y escribir en el fichero, el grupo puede leer el fichero, y el resto del mundo sólo puede leer el fichero. De acuerdo con la tabla de arriba, los permisos para este fichero serían 644, donde cada dígito representa las tres partes de los permisos del fichero.

Todo ésto está muy bien, pero ¿cómo controla el sistema los permisos de los dispositivos? FreeBSD en realidad trata la mayoría de los dispositivos hardware como un fichero que los programas pueden abrir, leer y en los que pueden escribir datos como si de cualquier otro fichero se tratara. Estos ficheros especiales de dispositivo se encuentran en el directorio /dev.

Los directorios también son tratados como ficheros. Tienen permisos de lectura, escritura y ejecución. El bit de ejecución en un directorio tiene un significado ligeramente distinto que para los ficheros. Cuando un directorio está marcado como ejecutable significa que se puede mirar dentro, se puede hacer un “cd” (cambiar directorio) a él. Esto también significa que dentro del directorio es posible acceder a ficheros cuyos nombres son conocidos (sujeto, claro está, a los permisos de los ficheros mismos).

En particular, para poder realizar un listado de directorio, el permiso de lectura debe ser activado en el directorio, mientras que para borrar un fichero del que se conoce el nombre es necesario tener permisos de escritura y ejecución en el directorio que contiene el fichero.

Existen más permisos, pero se usan principalmente en circunstancias especiales como los binarios ejecutables de tipo setuid y los los directorios de tipo “sticky”. Si desea más información acerca de los permisos de ficheros y cómo establecerlos, consulte chmod(1).

3.3.1. Permisos simbólicos

Escrito por Tom Rhodes.

Los permisos simbólicos, también conocidos como expresiones simbólicas, utilizan caracteres en lugar de valores octales para asignar permisos a ficheros o directorios. Las expresiones simbólicas utilizan la sintaxis de (quién) (acción) (permisos) mediante los siguientes valores:

Opción Letra Representa
(quién) u Usuario
(quién) g Grupo propietario
(quién) o Otro
(quién) a Todos (“todo el mundo”)
(acción) + Añadir permisos
(acción) - Quitar permisos
(acción) = Activar permisos explicitamente
(permisos) r Lectura
(permisos) w Escritura
(permisos) x Ejecución
(permisos) t Bit Sticky (“pegajoso”)
(permisos) s Activar UID o GID

Estos valores se aplican con chmod(1) de la misma manera que los anteriores, pero con letras. Por ejemplo, podría usar la siguiente orden para bloquear a otros usuarios el acceso a FICHERO:

% chmod go= FICHERO

Puede usarse una lista separada por comas cuando se quiera aplicar más de un conjunto de cambios a un fichero. Por ejemplo la siguiente orden eliminará los permisos de escritura de grupo y “mundo” a FICHERO, y añade permisos de ejecución para todos:

% chmod go-w,a+x FILE

3.3.2. Banderas de fichero en FreeBSD

Escrito por Tom Rhodes.

Además de los permisos de fichero previamente expuestos, FreeBSD permite el uso de “banderas de fichero”. Estas banderas añaden un nivel de seguridad y control adicional sobre ficheros, pero no sobre directorios.

Estas banderas de fichero añaden un nivel adicional de control sobre ficheros, ayudando a asegurar que en algunos casos ni siquiera root pueda eliminar o alterar ficheros.

Las banderas de fichero se modifican mediante chflags(1), gracias a una interfaz muy sencilla. Por ejemplo, para habilitar la bandera imborrable de sistema en fichero1, escriba lo siguiente:

# chflags sunlink fichero1

Y para dehabilitar la bandera imborrable de sistema, simplemente escriba la orden previa con “no” antes de sunlink. Observe:

# chflags nosunlink fichero1

Para ver las banderas de este fichero, utilice ls(1) con las opciones -lo:

# ls -lo fichero1
   

La salida debería ser como esta:

-rw-r--r--  1 trhodes  trhodes  sunlnk 0 Mar  1 05:54 fichero1

Varias banderas solo pueden ser añadidas o retiradas de ficheros por el usuario root. En otros casos, el propietario del fichero puede activar estas banderas. Se recomienda que para más información la persona encargada de la administración del sistema consulte las páginas de manual chflags(1) y chflags(2).

Éste y otros documentos pueden obtenerse en ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

Para preguntas acerca de FreeBSD, leer la documentación antes de contactar con la lista <questions@FreeBSD.org>.
Para preguntas acerca de esta documentación, e-mail a <doc@FreeBSD.org>.