Provided by: manpages-ru-dev_4.27.0-1_all 
НАИМЕНОВАНИЕ
access, faccessat, faccessat2 - проверка прав доступа пользователя к файлу
БИБЛИОТЕКА
Стандартная библиотека языка C (libc, -lc)
ОБЗОР
#include <unistd.h>
int access(const char *pathname, int mode);
#include <fcntl.h> /* определения констант AT_* */
#include <unistd.h>
int faccessat(int dirfd, const char *pathname, int mode, int flags);
/* But see C library/kernel differences, below */
#include <fcntl.h> /* определения констант AT_* */
#include <sys/syscall.h> /* определения констант SYS_* */
#include <unistd.h>
int syscall(SYS_faccessat2,
int dirfd, const char *pathname, int mode, int flags);
Требования макроса тестирования свойств для glibc (см. feature_test_macros(7)):
faccessat():
Начиная с glibc 2.10:
_POSIX_C_SOURCE >= 200809L
До glibc 2.10:
_ATFILE_SOURCE
ОПИСАНИЕ
access проверяет, имеет ли вызвавший процесс права доступа к файлу pathname. Если pathname является
символьной ссылкой, то проверяются права доступа к файлу, на который она ссылается.
Аргумент mode - маска выполняемых проверок доступа; может быть равна значению F_OK, или состоять из
результатов одной или нескольких поразрядных операций логическое ИЛИ с операндами R_OK, W_OK и X_OK. F_OK
проверяет существование файла. R_OK, W_OK и X_OK запрашивают проверку, соответственно, существования
файла и возможности его чтения, записи или выполнения.
Проверка осуществляется с использованием real (действительного), а не эффективного (текущего)
идентификатора пользователя (UID) и группы (GID) вызвавших процесс. Эффективные идентификаторы будут
использоваться при действительной попытке выполнения той или иной операции с файлом (например, open(2)).
Аналогичным образом, для пользователя root, при проверке используется набор прав доступа, а не набор
эффективных прав доступа; для не root-пользователей при проверке используется пустой набор прав доступа.
Это позволяет программам с set-user-ID (setuid) и программам с расширенными возможностями легко
определять права доступа вызывавшего их пользователя. Другими словами программа access() не отвечает на
запрос «может она прочитать/записать/выполнить этот файл?». Она отвечает на несколько иной запрос (в
предположении, что это двоичный файл с setuid) : « может ли the user who invoked me (может ли
пользователь, запустивший этот файл) прочитать/записать/выполнить этот файл?». Это даёт возможность
программам с set-user-ID не дать злонамеренным пользователям прочитать файлы, которые они не имеют права
прочитать.
Если вызвавший процесс имеет соответствующие привилегии (например, его реальный UID равен 0), то проверка
X_OK пройдёт успешно для обычного файла, если у него установлено право на выполнение для любых владельце,
групп или остальных.
faccessat()
faccessat() действует точно так же, как access(), за исключением случаев, описанных здесь.
Если в pathname задан относительный путь, то он считается относительно каталога, на который ссылается
файловый дескриптор dirfd (а не относительно текущего рабочего каталога вызывающего процесса, как это
делается в access()).
Если в pathname задан относительный путь и dirfd равно специальному значению AT_FDCWD, то pathname
рассматривается относительно текущего рабочего каталога вызывающего процесса (как access()).
Если в pathname задан абсолютный путь, то dirfd игнорируется.
Значение flags получается с помощью операции логическое ИЛИ с нулём или со следующими значениями:
AT_EACCESS
Выполнять проверку, доступа используя эффективный идентификатор пользователя и группы. По
умолчанию в faccessat() используются реальные идентификаторы (как в access()).
AT_EMPTY_PATH (начиная с Linux 5.8)
Если значение pathname равно пустой строке, то выполнять действие над файлом, на который указывает
dirfd (который может быть получен с помощью open(2) с флагом O_PATH). В этом случае, dirfd может
указывать на файл любого типа, а не только на каталог. Если dirfd равно AT_FDCWD, то вызов
выполняет действие над текущим рабочим каталогом. Этот флаг есть только в Linux; для получения его
определения определите _GNU_SOURCE.
AT_SYMLINK_NOFOLLOW
Если значение pathname является символьной ссылкой, не разыменовывать её, а выдать информацию о
самой ссылке.
Смотрите в openat(2) объяснение необходимости faccessat().
faccessat2()
Приведенное выше описание функции faccessat() соответствует POSIX.1 и реализации, предоставленной glibc.
Однако реализация glibc была несовершенной эмуляцией (см. раздел "ОШИБКИ"), которая скрывала тот факт,
что исходный системный вызов Linux faccessat() не имеет аргумента flags. Чтобы обеспечить правильную
реализацию, в Linux 5.8 был добавлен системный вызов faccessat2(), который поддерживает аргумент flags и
позволяет корректно реализовать функцию-оболочку faccessat().
ВОЗВРАЩАЕМОЕ ЗНАЧЕНИЕ
В случае успеха (все запрошенные разрешения предоставлены, или mode это - F_OK и файл существует), то
возвращается ноль. При ошибке (по крайней мере, из-за одного бита, в доступе mode было отказано или
mode это - F_OK и файл не существует, или произошла какая-либо другая ошибка) возвращается значение -1 и
устанавливается errno для указания на ошибку.
ОШИБКИ
EACCES В запрошенном доступе к файлу будет отказано, или будет отказано в разрешении на поиск по одному
из каталогов с префиксом пути pathname. (Смотрите также path_resolution(7)).
EBADF (faccessat()) pathname является относительным, но dirfd не является ни AT_FDCWD (faccessat()), ни
допустимым файловым дескриптором.
EFAULT Аргумент pathname указывает за пределы доступного адресного пространства.
EINVAL Аргумент mode был задан неверно.
EINVAL (faccessat()) Указано неверное значение в flags.
EIO Произошла ошибка ввода-вывода.
ELOOP Во время определения pathname встретилось слишком много символьных ссылок.
ENAMETOOLONG
Слишком длинное значение аргумента pathname.
ENOENT Компонент пути pathname не существует или является повисшей символьной ссылкой.
ENOMEM Недостаточное количество памяти ядра.
ENOTDIR
Компонент пути, использованный как каталог в pathname, в действительности таковым не является.
ENOTDIR
(faccessat()) Значение pathname содержит относительный путь и dirfd содержит файловый дескриптор,
указывающий на файл, а не на каталог.
EPERM Было запрошено разрешение на запись в файл, для которого установлен флаг неизменяемости. Смотрите
также FS_IOC_SETFLAGS(const).
EROFS Запрошено право на запись в файл, расположенный в файловой системе, доступной только для чтения.
ETXTBSY
Запрошены права на запись для исполняемого файла, который сейчас выполняется.
ВЕРСИИ
Если вызывающий процесс имеет соответствующие права доступа (например, суперпользователя), то
POSIX.1-2001 позволяет реализации указывать на успешное выполнение проверки X_OK, даже если ни один из
битов разрешения на выполнение файла не установлен. В Linux так не происходит.
Отличия между библиотекой C и ядром
Системный вызов raw faccessat() принимает только первые три аргумента. Флаги AT_EACCESS и
AT_SYMLINK_NOFOLLOW на самом деле реализованы в функции-оболочке glibc для faccessat(). Если указан
любой из этих флагов, то функция-оболочка использует fstatat(2) для определения прав доступа, но видит
ОШИБКИ.
Замечания по glibc
В старых ядрах, где faccessat() отсутствует (и если не указаны флаги AT_EACCESS и AT_SYMLINK_NOFOLLOW),
функция-обертка glibc использует access(). Если pathname является относительным путём, то glibc собирает
путь относительно символической ссылки в /proc/self/fd, которая соответствует аргументу dirfd.
СТАНДАРТЫ
access()
faccessat()
POSIX.1-2008.
faccessat2()
Linux.
ИСТОРИЯ
access()
SVr4, 4.3BSD, POSIX.1-2001.
faccessat()
Linux 2.6.16, glibc 2.4.
faccessat2()
Linux 5.8.
ПРИМЕЧАНИЯ
Warning (предупреждение): Использование этих вызовов для проверки, например, разрешено ли пользователю
открытие файла перед действительным выполнением open(2), создаёт брешь в безопасности, так как
пользователь может использовать короткий промежуток времени между проверкой и открытием файла для
управления им. По этой причине лучше избегать использования данного системного вызова (в только что
описанном примере, безопасной альтернативой будет временное переключение эффективного пользовательского
идентификатора процесса на действительный идентификатор и вызов open(2)).
Вызов access() всегда разыменовывает символьные ссылки. Если вам нужно проверить права символьной ссылки,
используйте вызов faccessat() с флагом AT_SYMLINK_NOFOLLOW.
Эти вызовы возвращают ошибку, если отказано в любом из типов доступа mode, даже если разрешены остальные
типы.
Файл доступен только в случае, если для каждого каталога в пути, указанном в pathname, имеется право
выполнять поиск (то есть, установлен бит выполнения). Если какой-то каталог недоступен, то вызов access()
завершается ошибкой, независимо от имеющихся прав доступа к файлу.
Проверяются только биты доступа, а не тип файла или его содержимое. Следовательно, если обнаруживается,
что каталог доступен для записи, это, вероятно, означает, что в нем могут быть созданы файлы, а не то,
что каталог может быть записан в виде файла. Аналогично, файл DOS может быть указан как исполняемый, но
вызов execve(2) все равно завершится ошибкой.
Эти вызовы access() могут некорректно работать на файловых системах NFSv2 со включённым преобразованием
UID, потому что это преобразование происходит на сервере и спрятано от клиента, который пытается
проверить права (в NFS версии 3 и выше выполняется проверка на сервере). Похожие проблемы могут возникать
при монтировании FUSE.
ОШИБКИ
Поскольку системный вызов faccessat() ядра Linux не поддерживает аргумент flags, функция-оболочка glibc
faccessat(), представленная в glibc 2.32 и в более ранних версиях, эмулирует требуемую функциональность,
используя комбинацию системного вызова faccessat() и fstatat(2). Однако эта эмуляция не учитывает списки
управления доступом. Начиная с glibc 2.33, функция-оболочка позволяет избежать этой ошибки, используя
системный вызов faccessat 2(), который предоставляется основным ядром.
В Linux 2.4 (и более ранних версиях) есть некоторая странность в обработке тестов X_OK для
суперпользователя. Если все категории разрешений на выполнение отключены для файла, не относящегося к
каталогу, то единственный тест access(), который возвращает значение -1, выполняется, когда mode указан
как просто X_OK; если R_OK или W_OK также указаны в mode, тогда функция access() возвращает 0 для таких
файлов. Ранний Linux 2.6 (вплоть до Linux 2.6.3 включительно) также вел себя так же, как и Linux 2.4.
До Linux 2.6.20 эти вызовы игнорировали действие флага MS_NOEXEC, если он использовался для mount(2)
базовой файловой системы. Начиная с Linux 2.6.20, флаг MS_NOEXEC поддерживается.
СМОТРИТЕ ТАКЖЕ
chmod(2), chown(2), open(2), setgid(2), setuid(2), stat(2), euidaccess(3), credentials(7),
path_resolution(7), symlink(7)
ПЕРЕВОД
Русский перевод этой страницы руководства разработал(и) Dmitry Bolkhovskikh <d20052005@yandex.ru>, Yuri
Kozlov <yuray@komyakino.ru>, Aleksandr Felda <isk8da@gmail.com> и Kirill Rekhov <krekhov.dev@gmail.com>
Этот перевод является свободной программной документацией; он распространяется на условиях общедоступной
лицензии GNU (GNU General Public License - GPL, https://www.gnu.org/licenses/gpl-3.0.html версии 3 или
более поздней) в отношении авторского права, но БЕЗ КАКИХ-ЛИБО ГАРАНТИЙ.
Если вы обнаружите какие-либо ошибки в переводе этой страницы руководства, пожалуйста, сообщите об этом
разработчику(ам) по его(их) адресу(ам) электронной почты или по адресу списка рассылки русских
переводчиков.
Справочные страницы Linux 6.9.1 13 июня 2024 г. access(2)