Articles
admin
november 8, 2020
No Comments

Megértése Linux Fájl engedélyek

bár már sok jó biztonsági funkciók beépített Linux-alapú rendszerek, egy nagyon fontos potenciális biztonsági rés létezhet, ha a helyi hozzáférés biztosított – – azaz fájl engedély alapú problémák eredő felhasználó nem rendeli a megfelelő engedélyeket a fájlokat és könyvtárakat. Tehát a megfelelő engedélyek szükségessége alapján áttekintem az engedélyek hozzárendelésének módjait, és bemutatok néhány példát, ahol szükség lehet a módosításra.,

Basic File Permissions

engedélyezési csoportok

minden fájlnak és könyvtárnak három felhasználói alapú engedélycsoportja van:

  • tulajdonos – a tulajdonos jogosultságai csak a fájl vagy könyvtár tulajdonosára vonatkoznak, nem befolyásolják más felhasználók tevékenységét.
  • csoport-a csoportengedélyek csak a fájlhoz vagy könyvtárhoz rendelt csoportra vonatkoznak, nem befolyásolják más felhasználók műveleteit.
  • minden felhasználó-az összes felhasználói engedély a rendszer összes többi felhasználójára vonatkozik, ez az engedélycsoport, amelyet a legjobban meg szeretne nézni.,

Engedélytípusok

minden fájlnak vagy könyvtárnak három alapvető engedélytípusa van:

  • read – az olvasási engedély a felhasználó azon képességére utal, hogy elolvassa a fájl tartalmát.
  • write-az írási jogosultságok arra utalnak, hogy a felhasználó képes fájlt vagy könyvtárat írni vagy módosítani.
  • execute – az Execute engedély befolyásolja a felhasználó azon képességét, hogy végre egy fájlt, vagy megtekintheti a tartalmát egy könyvtárat.,

Az engedélyek megtekintése

megtekintheti az engedélyeket a kedvenc GUI Fájlkezelőjében található fájl vagy könyvtár engedélyeinek ellenőrzésével (amelyet itt nem fogok lefedni), vagy az “ls-l” parancs kimenetének áttekintésével a terminálon, miközben a fájlt vagy mappát tartalmazó könyvtárban dolgozik.

a parancssori engedély a következőképpen jelenik meg:_rwxrwxrwx 1 tulajdonos: csoport

  1. felhasználói jogok/engedélyek
    1. az első karakter, amelyet aláhúzással jelöltem, a különleges engedély zászló, amely változhat.,
    2. a következő három karakterből álló készlet (rwx) a tulajdonos jogosultságaira vonatkozik.
    3. a második sor három karakter (rwx) van a csoport engedélyeket.
    4. A három karakterből álló harmadik készlet (rwx) az összes felhasználó engedélyére vonatkozik.
  2. ezt a csoportosítást követően, mivel az egész / szám megjeleníti a fájlhoz tartozó hardlinkek számát.
  3. az utolsó darab a tulajdonos és a csoport hozzárendelése, formázva tulajdonos:csoport.

az Engedélyek módosítása

amikor a parancssorban az engedélyeket a chmod parancs segítségével szerkesztik., Az engedélyeket kifejezetten hozzárendelheti, vagy az alábbiakban leírt bináris hivatkozással.

explicit módon definiálja az engedélyeket

az engedélyek definiálásához meg kell adnia az Engedélycsoportot és az Engedélytípusokat.

Az Engedélyt Csoportok használt:

u – Tulajdonos
g – Csoport
o – Mások

egy – az Összes felhasználó

A lehetséges Feladat Szereplők + (plusz), illetve a – (mínusz); ezek mindig azt mondta a rendszer, hogy a hozzáadni vagy eltávolítani az egyedi engedélyeket.,

Az Engedélyt Típusok, amelyek használják a következők:

  • r – Olvassa el a
  • w – Write
  • x – Végrehajtás

Így például, tegyük fel, hogy van egy fájl neve file1, hogy jelenleg a jogosultságok beállítása, hogy _rw_rw_rw, ami azt jelenti, hogy a tulajdonos, csoport, valamint minden felhasználó írni-olvasni engedélyt. Most el akarjuk távolítani az olvasási és írási engedélyeket az összes felhasználó csoportból.,

ennek a módosításnak a végrehajtásához a következő parancsot hívná: chmod a-rw file1
a fenti engedélyek hozzáadásához hívja fel a parancsot: chmod a + rw file1

amint láthatja, ha meg akarja adni ezeket az engedélyeket, akkor a mínusz karaktert pluszra változtatná, hogy hozzáadhassa ezeket az engedélyeket.

bináris hivatkozások segítségével állítsa be az engedélyeket

most, hogy megérted az engedélyeket csoportok és típusok ezt kell érezni természetes. Az engedély bináris hivatkozásokkal történő beállításához először meg kell értenie, hogy a bemenet három egész szám/szám megadásával történik.,

a minta engedély karakterlánc chmod 640 file1 lenne, ami azt jelenti, hogy a tulajdonos olvasási és írási jogosultsággal rendelkezik, a csoport olvasási jogosultsággal rendelkezik, és az összes többi felhasználónak nincs joga a fájlhoz.

az első szám a tulajdonos engedélyét, a második a csoport engedélyeit, az utolsó szám pedig az összes többi felhasználó engedélyét jelenti. A számok az rwx karakterlánc bináris ábrázolása.

  • r = 4
  • w = 2
  • x = 1

hozzáadja a számokat, hogy megkapja a beállítani kívánt engedélyeket képviselő egész számot/számot., Meg kell adnia a bináris engedélyeket a három engedélycsoport mindegyikéhez.

tehát ahhoz, hogy egy fájlt a file1 engedélyeire állítson be a _rwxr_____ olvasásához, beírja a chmod 740 file1 fájlt.

tulajdonosok és csoportok

több utalást tettem a fenti tulajdonosokra és csoportokra, de még nem mondtam el, hogyan kell hozzárendelni vagy megváltoztatni a fájlhoz vagy könyvtárhoz rendelt tulajdonost és csoportot.,

a chown paranccsal módosíthatja a tulajdonost és a csoport hozzárendeléseket, a szintaxis simplechown owner:group filename, így a file1 tulajdonosát user1-re, a csoportot pedig a chown user1:family file1-re változtathatja.

Advanced Permissions

a speciális engedélyek megjelölése a következők bármelyikével jelölhető:

  • _ – nincs speciális engedély
  • d-directory
  • l-a fájl vagy könyvtár szimbolikus link
  • s-ez jelezte a setuid/setgid engedélyeket., Ez nincs beállítva jelenik meg a speciális engedély része az engedélyek kijelző, de képviseli, mint egy s az olvasási része a tulajdonos vagy Csoport engedélyek.
  • t-ez jelzi a sticky bit engedélyeket. Ez nincs beállítva jelenik meg a speciális engedély része az engedélyek kijelző, de képviseli, mint egy t a végrehajtható része az összes felhasználó engedélyek

Setuid/Setgid speciális engedélyek

a setuid/setguid engedélyeket használják, hogy elmondja a rendszer futtatni egy futtatható, mint a tulajdonos jogosultságokat.,

legyen óvatos a setuid / setgid bitek használatával az engedélyekben. Ha helytelenül hozzárendel engedélyeket a root tulajdonában lévő fájlhoz a setuid / setgid bitkészlettel, akkor megnyithatja a rendszert a behatoláshoz.

a setuid / setgid bitet csak az engedélyek kifejezett meghatározásával lehet hozzárendelni. A setuid/setguid bit karaktere s.

tehát állítsa be a setuid / setguid bitet file2.sh a chmod g+S parancsot adná ki file2.sh.,

Sticky Bit speciális engedélyek

a sticky bit nagyon hasznos lehet megosztott környezetben, mert amikor egy könyvtár engedélyeihez rendelték, beállítja, így csak a fájl tulajdonosa nevezheti át vagy törölheti az említett fájlt.

a sticky bitet csak az engedélyek kifejezett meghatározásával lehet hozzárendelni. A sticky bit karaktere t.

a sticky bit dir1 nevű könyvtárba történő beállításához a chmod +t dir1 parancsot adná ki.,

amikor az engedélyek fontosak

egyes Mac – vagy Windows-alapú számítógépek felhasználói számára, akkor nem gondol az engedélyekre, de ezek a környezetek nem koncentrálnak olyan agresszíven a fájlok felhasználói jogaira, kivéve, ha vállalati környezetben tartózkodik. De most Linux alapú rendszert futtat, az engedély alapú biztonság egyszerűsödik, és könnyen használható a hozzáférés korlátozására, ahogy tetszik.

tehát megmutatom néhány dokumentumot és mappát, amelyekre összpontosítani szeretne, és megmutatom, hogyan kell beállítani az optimális engedélyeket.,

  • otthoni könyvtárak-a felhasználók otthoni könyvtárai azért fontosak, mert nem szeretné, hogy más felhasználók megtekinthessék és módosíthassák a fájlokat egy másik felhasználó asztali dokumentumaiban. Ennek orvoslására azt szeretné, hogy a könyvtár a drwx_____ (700) engedélyekkel rendelkezzen, ezért mondjuk, hogy a megfelelő engedélyeket szeretnénk érvényesíteni a user1 otthoni könyvtárában, amelyet a chmod 700 /home/user1 parancs kiadásával lehet elvégezni.,
  • bootloader konfigurációs fájlokat– Ha úgy dönt, hogy végre jelszót boot konkrét operációs rendszerek, akkor távolítsa el írni, olvasni engedélyek a konfigurációs fájl minden felhasználó számára, de a root. Ehhez megváltoztathatja a fájl engedélyeit 700-ra.
  • system and daemon configuration files-nagyon fontos, hogy korlátozza a jogot, hogy a rendszer és a daemon konfigurációs fájlokat, hogy korlátozza a felhasználók szerkeszteni a tartalmat, nem tanácsos korlátozni olvasási jogosultságokat, de korlátozza írási engedélyek elengedhetetlen., Ezekben az esetekben lehet a legjobb, hogy módosítsa a jogokat 644.
  • tűzfal szkriptek-előfordulhat, hogy nem mindig szükséges blokkolni az összes felhasználót a tűzfalfájl olvasásától, de tanácsos korlátozni a felhasználókat az írásról a fájlra. Ebben az esetben a tűzfal szkriptet a root felhasználó automatikusan elindítja a rendszerindítást, így minden más felhasználónak nincs szüksége jogokra, így hozzárendelheti a 700 engedélyt.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Tovább az eszköztárra