Articles
admin
8 listopadu, 2020
No Comments

Porozumění Linux Oprávnění Souboru

Ačkoli tam jsou už hodně dobré bezpečnostní funkce, vestavěný do Linux-založené systémy, jeden velmi důležitý potenciální zranitelnost může existovat, když místní přístup je samozřejmost – – to je sice oprávnění na základě otázky vyplývající z uživatele není přiřadit správná oprávnění pro soubory a adresáře. Takže na základě potřeby správných oprávnění projdu způsoby přiřazení oprávnění a ukážu vám několik příkladů, kde může být nutná změna.,

Základní Oprávnění Souboru.

Oprávnění Skupiny

Každý soubor a adresář má tři uživatele na základě oprávnění skupin:

  • vlastník – Vlastník oprávnění žádat pouze vlastník souboru nebo adresáře, budou mít dopad na jednání ostatních uživatelů.
  • group – oprávnění skupiny platí pouze pro skupinu, která byla přiřazena k souboru nebo adresáři, nebudou mít vliv na akce ostatních uživatelů.
  • všichni uživatelé-všechna oprávnění uživatelů platí pro všechny ostatní uživatele v systému, jedná se o skupinu oprávnění, kterou chcete sledovat nejvíce.,

Povolení Typů

Každý soubor či adresář má tři základní typů oprávnění:

  • čtení – oprávnění ke Čtení odkazuje na uživatele schopnost číst obsah souboru.
  • write – oprávnění k zápisu odkazují na schopnost uživatele psát nebo upravovat soubor nebo adresář.
  • execute-oprávnění Execute ovlivňuje schopnost uživatele spustit soubor nebo zobrazit obsah adresáře.,

Prohlížení Oprávnění

můžete Si prohlédnout oprávnění zaškrtnutím soubor nebo adresář oprávnění ve vaší oblíbené GUI Správce Souborů (které nebudu pokrytí zde) nebo o přezkoumání výstup z „ls-l“ příkaz, zatímco v terminálu a při práci v adresáři, který obsahuje soubor nebo složku.

povolení v příkazovém řádku se zobrazí jako: _rwxrwxrwx 1 majitel:skupina

  1. Uživatelská práva/Oprávnění
    1. první znak, který označil jsem s podtržítkem je zvláštní povolení příznak, který se může lišit.,
    2. následující sada tří znaků (rwx) je pro oprávnění vlastníka.
    3. druhá sada tří znaků (rwx) je pro oprávnění skupiny.
    4. třetí sada tří znaků (rwx) je určena pro všechna oprávnění uživatelů.
  2. Po tomto seskupení, protože číslo/číslo zobrazuje počet hardlinky na soubor.
  3. poslední kus je přiřazení vlastníka a skupiny formátované jako vlastník: skupina.

úprava oprávnění

když se v příkazovém řádku, oprávnění jsou upraveny pomocí příkazu chmod., Oprávnění můžete přiřadit explicitně nebo pomocí binárního odkazu, jak je popsáno níže.

explicitně definující oprávnění

Chcete-li explicity definovat oprávnění, budete muset odkazovat na skupinu oprávnění a typy oprávnění.

Oprávnění Skupiny používají jsou:

u – Vlastník
g – Group
Ostatní

– Všichni uživatelé

potenciální Přiřazení Operátory jsou + (plus) a – (mínus); tyto jsou používány sdělit systému, zda chcete přidat nebo odstranit konkrétní oprávnění.,

Povolení Typy, které jsou použity, jsou:

  • r – Číst
  • w – Psát
  • x – Execute

Takže, na příklad, řekněme, že mám soubor s názvem file1, že v současné době má oprávnění nastavit, aby _rw_rw_rw, což znamená, že vlastník, skupina a všichni uživatelé číst a psát oprávnění. Nyní chceme odebrat oprávnění ke čtení a zápisu ze skupiny všech uživatelů.,

, Aby se tato změna by vyvolat příkaz: chmod-rw soubor1
přidat oprávnění nad vámi by vyvolat příkaz: chmod a+rw soubor1

Jak můžete vidět, pokud chcete udělit tato oprávnění by změnit minus znak plus pro přidání těchto oprávnění.

použití binárních odkazů na Nastavení oprávnění

nyní, když pochopíte skupiny oprávnění a typy, které by se měly cítit přirozeně. Chcete-li nastavit oprávnění pomocí binárních odkazů, musíte nejprve pochopit, že vstup se provádí zadáním tří celých čísel/čísel.,

vzorový řetězec oprávnění by byl chmod 640 file1, což znamená, že vlastník má oprávnění ke čtení a zápisu, skupina má oprávnění ke čtení a všichni ostatní uživatelé nemají k souboru žádná práva.

první číslo představuje svolení Majitele; druhý představuje oprávnění Skupiny; a poslední číslo představuje oprávnění pro všechny ostatní uživatele. Čísla jsou binární reprezentace řetězce rwx.

  • r = 4
  • w = 2
  • x = 1

přidat čísla získat číslo/číslo představující oprávnění chcete nastavit., Budete muset zahrnout binární oprávnění pro každou ze tří skupin oprávnění.

Chcete-li nastavit soubor na oprávnění file1 pro čtení _rwxr______, zadejte chmod 740 file1.

Majitelé a Skupiny

udělal jsem několik odkazů na Vlastníky a Skupiny výše, ale dosud jsem vám řekl, jak přiřadit nebo změnit Vlastníka a Skupiny přiřazené k souboru nebo adresáři.,

pomocí příkazu chown můžete změnit přiřazení vlastníka a skupiny, syntaxe je simplechown owner: Group filename, takže Chcete-li změnit vlastníka file1 na user1 a skupinu na rodinu, zadáte chown user1:family file1.

Pokročilá Oprávnění

zvláštní oprávnění vlajky mohou být označeny některou z těchto vlastností:

  • _ – žádná zvláštní oprávnění
  • d – directory
  • l– soubor nebo adresář je symbolický odkaz
  • s – To je uvedeno na setuid/setgid oprávnění., Toto není nastaveno v části zvláštního oprávnění na displeji oprávnění, ale je reprezentováno jako s v části čtení oprávnění vlastníka nebo skupiny.
  • t-to znamená oprávnění sticky bit. Toto není nastaveno, zobrazí ve zvláštním povolení část permissions displej, ale je reprezentován jako t v spustitelného část všichni uživatelé oprávnění

Setuid/Setgid Zvláštní Oprávnění.

setuid/setguid oprávnění jsou používány sdělit systému, aby spustit spustitelný soubor jako vlastník s majitelem oprávnění.,

buďte opatrní pomocí bitů setuid / setgid v oprávněních. Pokud nesprávně přiřadíte oprávnění k souboru vlastněnému rootem s bitovou sadou setuid/setgid, můžete systém Otevřít k narušení.

bit setuid/setgid můžete přiřadit pouze výslovným definováním oprávnění. Znak pro bit setuid / setguid je s.

takže nastavte bit setuid/setguid file2.sh byste vydat příkaz chmod g + s file2.sh.,

Sticky Bit Zvláštní Oprávnění.

sticky bit, může být velmi užitečné ve sdíleném prostředí, protože, když to byla přiřazena oprávnění na adresář, nastaví to tak, pouze vlastník souboru může přejmenovat nebo odstranit řekla souboru.

sticky bit můžete přiřadit pouze explicitně definováním oprávnění. Znak pro sticky bit je t.

nastavte sticky bit na adresář s názvem dir1 by vydat příkaz chmod +t dir1.,

Pokud jsou oprávnění důležitá

pro některé uživatele počítačů se systémem Mac nebo Windows, nemyslíte na oprávnění, ale tato prostředí se nezaměřují tak agresivně na uživatelská práva na soubory, pokud nejste v podnikovém prostředí. Nyní však používáte systém založený na Linuxu a zabezpečení založené na oprávnění je zjednodušeno a lze jej snadno použít k omezení přístupu, jak chcete.

takže vám ukážu některé dokumenty a složky, na které se chcete zaměřit, a ukážu vám, jak by měla být nastavena optimální oprávnění.,

  • domácí adresáře-domovské adresáře uživatelů jsou důležité, protože nechcete, aby ostatní uživatelé mohli prohlížet a upravovat soubory v dokumentech jiného uživatele plochy. K nápravě této, budete chtít, adresáře, aby drwx______ (700) oprávnění, takže řekněme, že chceme prosazovat správná oprávnění na uživatele user1 domovský adresář, který může být provedeno pomocí příkazu chmod 700 /home/user1.,
  • zavaděč konfiguračních souborů– Pokud se rozhodnete heslo boot jednotlivé operační systémy pak budete chtít odebrat oprávnění číst a zapisovat z konfiguračního souboru od všech uživatelů, ale root. Chcete-li to provést, můžete změnit oprávnění souboru na 700.
  • systém a daemon konfigurační soubory– To je velmi důležité omezit práva k systému a daemon konfigurační soubory omezit uživatele z úpravy obsahu, to nemusí být vhodné omezit oprávnění číst, ale omezení oprávnění k zápisu je nutné., V těchto případech může být nejlepší změnit práva na 644.
  • skripty brány firewall – nemusí být vždy nutné blokovat všem uživatelům čtení souboru brány firewall, ale je vhodné omezit uživatelům zápis do souboru. V tomto případě je skript brány firewall spuštěn uživatelem root automaticky při spuštění, takže všichni ostatní uživatelé nepotřebují žádná práva, takže můžete přiřadit oprávnění 700.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Přejít k navigační liště