selvom der allerede er mange gode sikkerhedsfunktioner indbygget i Linu. – baserede systemer, kan en meget vigtig potentiel sårbarhed eksistere, når lokal adgang gives – – det er filtilladelsesbaserede problemer, der skyldes, at en bruger ikke tildeler de korrekte tilladelser til filer og mapper. Så baseret på behovet for ordentlige tilladelser, vil jeg gennemgå måderne til at tildele tilladelser og vise dig nogle eksempler, hvor ændring kan være nødvendig.,
grundlæggende filtilladelser
Tilladelsesgrupper
hver fil og mappe Har tre brugerbaserede tilladelsesgrupper:
- ejer – ejerens tilladelser gælder kun ejeren af filen eller mappen, de vil ikke påvirke andre brugeres handlinger.
- gruppe-Gruppetilladelserne gælder kun for den gruppe, der er tildelt filen eller mappen, de påvirker ikke andre brugers handlinger.
- alle brugere – tilladelserne for alle brugere gælder for alle andre brugere på systemet, Dette er den tilladelsesgruppe, du vil se mest.,
Tilladelse Typer
Hver fil eller mappe har tre grundlæggende tilladelse typer:
- læs – Læs tilladelse refererer til en brugers evne til at læse indholdet af filen.
- writerite-skrivetilladelserne henviser til en brugers evne til at skrive eller ændre en fil eller mappe.udfør-tilladelsen Udfør påvirker en brugers evne til at udføre en fil eller se indholdet i en mappe.,
Visning af Tilladelser
Du kan få vist de tilladelser, der er ved at kontrollere fil eller directory permissions i din foretrukne GUI File Manager (som jeg ikke vil dække her) eller ved at gennemgå output fra “ls -l” – kommandoen i terminalen, mens de arbejder i det bibliotek, som indeholder den fil eller mappe.tilladelsen i kommandolinjen vises som: _r..r. .r 1 1 1 ejer:gruppe
- brugerrettigheder/tilladelser
- det første tegn, som jeg markerede med en understregning, er det særlige tilladelsesflag, der kan variere.,
- følgende sæt af tre tegn (r..) er for ejeren tilladelser.
- det andet sæt af tre tegn (r..) er for gruppen tilladelser.
- det tredje sæt af tre tegn (r..) er for alle brugere tilladelser.
- Efter denne gruppering, da heltal/tal viser antallet af hardlinks til filen.
- det sidste stykke er ejeren og Gruppetildelingen formateret som ejer:gruppe.
ændring af tilladelserne
Når du er i kommandolinjen, redigeres tilladelserne ved at bruge kommandoen chmod., Du kan tildele tilladelserne eksplicit eller ved hjælp af en binær reference som beskrevet nedenfor.
eksplicit definition af tilladelser
for eksplicit at definere tilladelser skal du henvise til Tilladelsesgruppen og Tilladelsestyperne.
Tilladelse Grupper, der anvendes er:
potentielle Opgave Operatører er + (plus) og – (minus); disse bruges til at fortælle systemet om at tilføje eller fjerne den specifikke tilladelser.,
Tilladelse Typer, der er anvendt, er:
- r – Læs
- w – Skriv
- x – Udfør
Så for et eksempel, lad os sige, at jeg har en fil med navnet fil1, der i øjeblikket har de tilladelser, der er indstillet til _rw_rw_rw, hvilket betyder, at den ejer, gruppe og alle brugere har læse-og skriveadgang. Nu vil vi fjerne læse-og skrivetilladelserne fra Gruppen alle brugere.,
for at gøre denne ændring skal du påkalde kommandoen: chmod a-r.file1
for at tilføje tilladelserne ovenfor skal du påkalde kommandoen: chmod a+r. file1
som du kan se, hvis du vil give disse tilladelser, vil du ændre minustegnet til et plus for at tilføje disse tilladelser.
brug af binære referencer til at indstille tilladelser
nu hvor du forstår tilladelsesgrupperne og typerne, skal denne føles naturlig. For at indstille tilladelsen ved hjælp af binære referencer skal du først forstå, at indgangen udføres ved at indtaste tre heltal/tal.,
en prøve tilladelse streng ville være chmod 640 file1, hvilket betyder, at ejeren har læst og skrive tilladelser, gruppen har læst tilladelser, og alle andre brugere har ingen rettigheder til filen.
det første nummer repræsenterer ejerens tilladelse; det andet repræsenterer Gruppetilladelserne; og det sidste nummer repræsenterer tilladelserne for alle andre brugere. Tallene er en binær repræsentation af R.. – strengen.
- r = 4
- = = 2
- = = 1
du tilføjer tallene for at få det heltal/nummer, der repræsenterer de tilladelser, du ønsker at indstille., Du skal medtage de binære tilladelser for hver af de tre tilladelsesgrupper.
så for at indstille en fil til tilladelser på file1 til at læse _r..r_____, vil du indtaste chmod 740 file1.
ejere og grupper
Jeg har henvist flere til ejere og grupper ovenfor, men har endnu ikke fortalt dig, hvordan du tildeler eller ændrer ejeren og gruppen, der er tildelt en fil eller mappe.,
Du bruger chown kommando til at ændre ejer og gruppe opgaver, syntaks er simplechown ejer:gruppe filnavn, så for at ændre ejeren af fil1 at user1 og den gruppe, familie, du vil indtaste chown user1:familie fil1.
Avancerede Tilladelser
De særlige tilladelser flag, kan være mærket med et af følgende:
- _ – ingen særlige tilladelser
- d – mappe
- l– Den fil eller mappe er et symbolsk link
- s – Dette angives setuid/setgid tilladelser., Dette er ikke indstillet, der vises i den særlige tilladelsesdel af tilladelsesdisplayet, men er repræsenteret som et s i den læste del af ejeren eller gruppetilladelserne.
- t-Dette angiver de klæbrige bit tilladelser. Dette er ikke indstillet, vises i særlig tilladelse til, at en del af tilladelser display, men er repræsenteret som et t i den eksekverbare del af alle brugere tilladelser
Setuid/Setgid Særlige Tilladelser
setuid/setguid tilladelser bruges til at fortælle systemet at køre en eksekverbar som ejer med ejerens rettigheder.,vær forsigtig med at bruge setuid/setgid bits i tilladelser. Hvis du forkert tildeler tilladelser til en fil, der ejes af root, med setuid/setgid-bitsættet, kan du åbne dit system for indtrængen.
Du kan kun tildele setuid / setgid bit ved eksplicit at definere tilladelser. Tegnet for setuid / setguid bit er S.
så indstil setuid / setguid bit på file2.sh du vil udstede kommandoen chmod g + s file2.sh.,
Sticky Bit særlige tilladelser
den sticky bit kan være meget nyttig i delt miljø, fordi når den er blevet tildelt tilladelserne i en mappe, sætter den det, så kun filejer kan omdøbe eller slette den nævnte fil.
Du kan kun tildele den klæbende bit ved eksplicit at definere tilladelser. Tegnet for den klistrede bit er t.
for at indstille den klistrede bit på en mappe med navnet dir1, vil du udstede kommandoen chmod +t dir1.,
Når Tilladelser Er Vigtig
At nogle brugere af Mac – eller Windows-baserede computere, behøver du ikke tænke på tilladelser, men disse miljøer ikke fokusere så aggressivt baseret på brugernes rettigheder på filer, medmindre du arbejder i et virksomhedsmiljø. Men nu kører du et Linu. – baseret system, og tilladelsesbaseret sikkerhed er forenklet og kan nemt bruges til at begrænse adgangen, som du vil.
så jeg vil vise dig nogle dokumenter og mapper, som du vil fokusere på, og vise dig, hvordan de optimale tilladelser skal indstilles.,hjemmemapper-brugernes hjemmemapper er vigtige, fordi du ikke ønsker, at andre brugere skal kunne se og ændre filerne i en anden brugers dokumenter på skrivebordet. For at afhjælpe dette vil du ønsker biblioteket at have drwx______ (700) tilladelser, så lad os sige, at vi ønsker at håndhæve de korrekte tilladelser på brugeren bruger1 ‘ s hjemmemappe, der kan gøres ved at udstede kommandoen chmod 700 /home/user1.,