Forståelse af Linu.-filtilladelser

selvom der allerede er mange gode sikkerhedsfunktioner indbygget i Linu. – baserede systemer, kan en meget vigtig potentiel sårbarhed eksistere, når lokal adgang gives – – det er filtilladelsesbaserede problemer, der skyldes, at en bruger ikke tildeler de korrekte tilladelser til filer og mapper. Så baseret på behovet for ordentlige tilladelser, vil jeg gennemgå måderne til at tildele tilladelser og vise dig nogle eksempler, hvor ændring kan være nødvendig.,

grundlæggende filtilladelser

Tilladelsesgrupper

hver fil og mappe Har tre brugerbaserede tilladelsesgrupper:

  • ejer – ejerens tilladelser gælder kun ejeren af filen eller mappen, de vil ikke påvirke andre brugeres handlinger.
  • gruppe-Gruppetilladelserne gælder kun for den gruppe, der er tildelt filen eller mappen, de påvirker ikke andre brugers handlinger.
  • alle brugere – tilladelserne for alle brugere gælder for alle andre brugere på systemet, Dette er den tilladelsesgruppe, du vil se mest.,

Tilladelse Typer

Hver fil eller mappe har tre grundlæggende tilladelse typer:

  • læs – Læs tilladelse refererer til en brugers evne til at læse indholdet af filen.
  • writerite-skrivetilladelserne henviser til en brugers evne til at skrive eller ændre en fil eller mappe.udfør-tilladelsen Udfør påvirker en brugers evne til at udføre en fil eller se indholdet i en mappe.,

Visning af Tilladelser

Du kan få vist de tilladelser, der er ved at kontrollere fil eller directory permissions i din foretrukne GUI File Manager (som jeg ikke vil dække her) eller ved at gennemgå output fra “ls -l” – kommandoen i terminalen, mens de arbejder i det bibliotek, som indeholder den fil eller mappe.tilladelsen i kommandolinjen vises som: _r..r. .r 1 1 1 ejer:gruppe

  1. brugerrettigheder/tilladelser
    1. det første tegn, som jeg markerede med en understregning, er det særlige tilladelsesflag, der kan variere.,
    2. følgende sæt af tre tegn (r..) er for ejeren tilladelser.
    3. det andet sæt af tre tegn (r..) er for gruppen tilladelser.
    4. det tredje sæt af tre tegn (r..) er for alle brugere tilladelser.
  2. Efter denne gruppering, da heltal/tal viser antallet af hardlinks til filen.
  3. det sidste stykke er ejeren og Gruppetildelingen formateret som ejer:gruppe.

ændring af tilladelserne

Når du er i kommandolinjen, redigeres tilladelserne ved at bruge kommandoen chmod., Du kan tildele tilladelserne eksplicit eller ved hjælp af en binær reference som beskrevet nedenfor.

eksplicit definition af tilladelser

for eksplicit at definere tilladelser skal du henvise til Tilladelsesgruppen og Tilladelsestyperne.

Tilladelse Grupper, der anvendes er:

u – Ejer
g – Gruppen
o – Andre

– Alle brugere

potentielle Opgave Operatører er + (plus) og – (minus); disse bruges til at fortælle systemet om at tilføje eller fjerne den specifikke tilladelser.,

Tilladelse Typer, der er anvendt, er:

  • r – Læs
  • w – Skriv
  • x – Udfør

Så for et eksempel, lad os sige, at jeg har en fil med navnet fil1, der i øjeblikket har de tilladelser, der er indstillet til _rw_rw_rw, hvilket betyder, at den ejer, gruppe og alle brugere har læse-og skriveadgang. Nu vil vi fjerne læse-og skrivetilladelserne fra Gruppen alle brugere.,

for at gøre denne ændring skal du påkalde kommandoen: chmod a-r.file1
for at tilføje tilladelserne ovenfor skal du påkalde kommandoen: chmod a+r. file1

som du kan se, hvis du vil give disse tilladelser, vil du ændre minustegnet til et plus for at tilføje disse tilladelser.

brug af binære referencer til at indstille tilladelser

nu hvor du forstår tilladelsesgrupperne og typerne, skal denne føles naturlig. For at indstille tilladelsen ved hjælp af binære referencer skal du først forstå, at indgangen udføres ved at indtaste tre heltal/tal.,

en prøve tilladelse streng ville være chmod 640 file1, hvilket betyder, at ejeren har læst og skrive tilladelser, gruppen har læst tilladelser, og alle andre brugere har ingen rettigheder til filen.

det første nummer repræsenterer ejerens tilladelse; det andet repræsenterer Gruppetilladelserne; og det sidste nummer repræsenterer tilladelserne for alle andre brugere. Tallene er en binær repræsentation af R.. – strengen.

  • r = 4
  • = = 2
  • = = 1

du tilføjer tallene for at få det heltal/nummer, der repræsenterer de tilladelser, du ønsker at indstille., Du skal medtage de binære tilladelser for hver af de tre tilladelsesgrupper.

så for at indstille en fil til tilladelser på file1 til at læse _r..r_____, vil du indtaste chmod 740 file1.

ejere og grupper

Jeg har henvist flere til ejere og grupper ovenfor, men har endnu ikke fortalt dig, hvordan du tildeler eller ændrer ejeren og gruppen, der er tildelt en fil eller mappe.,

Du bruger chown kommando til at ændre ejer og gruppe opgaver, syntaks er simplechown ejer:gruppe filnavn, så for at ændre ejeren af fil1 at user1 og den gruppe, familie, du vil indtaste chown user1:familie fil1.

Avancerede Tilladelser

De særlige tilladelser flag, kan være mærket med et af følgende:

  • _ – ingen særlige tilladelser
  • d – mappe
  • l– Den fil eller mappe er et symbolsk link
  • s – Dette angives setuid/setgid tilladelser., Dette er ikke indstillet, der vises i den særlige tilladelsesdel af tilladelsesdisplayet, men er repræsenteret som et s i den læste del af ejeren eller gruppetilladelserne.
  • t-Dette angiver de klæbrige bit tilladelser. Dette er ikke indstillet, vises i særlig tilladelse til, at en del af tilladelser display, men er repræsenteret som et t i den eksekverbare del af alle brugere tilladelser

Setuid/Setgid Særlige Tilladelser

setuid/setguid tilladelser bruges til at fortælle systemet at køre en eksekverbar som ejer med ejerens rettigheder.,vær forsigtig med at bruge setuid/setgid bits i tilladelser. Hvis du forkert tildeler tilladelser til en fil, der ejes af root, med setuid/setgid-bitsættet, kan du åbne dit system for indtrængen.

Du kan kun tildele setuid / setgid bit ved eksplicit at definere tilladelser. Tegnet for setuid / setguid bit er S.

så indstil setuid / setguid bit på file2.sh du vil udstede kommandoen chmod g + s file2.sh.,

Sticky Bit særlige tilladelser

den sticky bit kan være meget nyttig i delt miljø, fordi når den er blevet tildelt tilladelserne i en mappe, sætter den det, så kun filejer kan omdøbe eller slette den nævnte fil.

Du kan kun tildele den klæbende bit ved eksplicit at definere tilladelser. Tegnet for den klistrede bit er t.

for at indstille den klistrede bit på en mappe med navnet dir1, vil du udstede kommandoen chmod +t dir1.,

Når Tilladelser Er Vigtig

At nogle brugere af Mac – eller Windows-baserede computere, behøver du ikke tænke på tilladelser, men disse miljøer ikke fokusere så aggressivt baseret på brugernes rettigheder på filer, medmindre du arbejder i et virksomhedsmiljø. Men nu kører du et Linu. – baseret system, og tilladelsesbaseret sikkerhed er forenklet og kan nemt bruges til at begrænse adgangen, som du vil.

så jeg vil vise dig nogle dokumenter og mapper, som du vil fokusere på, og vise dig, hvordan de optimale tilladelser skal indstilles.,hjemmemapper-brugernes hjemmemapper er vigtige, fordi du ikke ønsker, at andre brugere skal kunne se og ændre filerne i en anden brugers dokumenter på skrivebordet. For at afhjælpe dette vil du ønsker biblioteket at have drwx______ (700) tilladelser, så lad os sige, at vi ønsker at håndhæve de korrekte tilladelser på brugeren bruger1 ‘ s hjemmemappe, der kan gøres ved at udstede kommandoen chmod 700 /home/user1.,

  • bootloader configuration files– hvis du beslutter at implementere adgangskode for at starte specifikke operativsystemer, vil du fjerne læse-og skrivetilladelser fra konfigurationsfilen fra alle brugere, men root. For at gøre kan du ændre tilladelserne for filen til 700.
  • system-og daemon-konfigurationsfiler-det er meget vigtigt at begrænse rettighederne til system-og daemon-konfigurationsfiler for at begrænse brugere fra at redigere indholdet, er det muligvis ikke tilrådeligt at begrænse læsetilladelser, men begrænsning af skrivetilladelser er et must., I disse tilfælde kan det være bedst at ændre rettighederne til 644.
  • fire .all scripts – det er måske ikke altid nødvendigt at blokere alle brugere fra at læse fire .allfilen, men det anbefales at begrænse brugerne fra at skrive til filen. I dette tilfælde køres fire .all-scriptet automatisk af rodbrugeren ved opstart, så alle andre brugere behøver ingen rettigheder, så du kan tildele 700 tilladelser.
  • Skriv et svar

    Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *

    Videre til værktøjslinje