Selv om det er allerede mye god sikkerhet funksjoner bygget inn i Linux-baserte systemer, en meget viktig potensiell sårbarhet kan eksistere når lokal tilgang er gitt – – det er file (fil) tillatelse basert problemer som følge av at en bruker ikke tilordne riktige tillatelser til filer og kataloger. Så basert på behovet for nødvendige tillatelsene, vil jeg gå over måter å tilordne tillatelser og vise deg noen eksempler der endring kan være nødvendig.,
Grunnleggende-Fil Tillatelser
Tillatelse Grupper
Hver fil og katalog har tre brukeren basert tillatelse grupper:
- eier – Eier-tillatelser gjelde bare eieren av filen eller mappen, vil de ikke påvirke handlinger av andre brukere.
- gruppe – Gruppen tillatelser bare gjelde for den gruppen som er tilordnet til en fil eller katalog, vil de ikke påvirke handlinger av andre brukere.
- alle brukere Alle Brukere-tillatelser gjelde for alle andre brukere på systemet, dette er tillatelse gruppe som du ønsker å se mest mulig.,
Tillatelse Typer
Hver fil eller katalog har tre grunnleggende tillatelse typer:
- lese – Lese-tillatelse refererer til en brukers evne til å lese innholdet i filen.
- skrive – Skrive-tillatelser se en brukers evne til å skrive eller endre en fil eller en katalog.
- utføre – Utfør tillatelse påvirker brukerens evne til å kjøre en fil eller vise innholdet i en katalog.,
Vise Tillatelsene
Du kan vise tillatelsene ved å sjekke fil eller mappe tillatelser i din favoritt GUI File Manager (som jeg ikke vil dekke her) eller ved å se på produksjonen av «ls -l» – kommandoen mens i terminalen og mens du arbeider i den mappen som inneholder filen eller mappen.
tillatelse i kommandolinjen vises som: _rwxrwxrwx 1 eier:gruppe
- brukerrettigheter/Tillatelser
- Det første tegnet på at jeg merket med en understrek er spesiell tillatelse flagg som kan variere.,
- følgende sett av tre tegn (der rettighetene står) er for eieren om tillatelser.
- andre sett av tre tegn (der rettighetene står) er for Gruppen tillatelser.
- Det tredje settet av tre tegn (der rettighetene står) er for Alle Brukere tillatelse.
- Etter at gruppering siden heltall/tall viser antall hardkoblinger til filen.
- Den siste biten er Eier og Gruppe oppdrag formatert som Eier:Gruppe.
Endre Tillatelsene
Når du er i kommando-linje, tillatelser er redigert ved å bruke kommandoen chmod., Du kan tilordne tillatelser uttrykkelig eller ved hjelp av en binær referanse som beskrevet nedenfor.
Eksplisitt Definere Tillatelser
for Å explicity angi tillatelser du trenger å referere til Tillatelse-Gruppen og hvilke tillatelser.
Tillatelse Grupper som brukes er:
Den potensielle Oppdrag Operatorene + (pluss) og – (minus); disse er brukt for å fortelle systemet om å legge til eller fjerne spesifikke tillatelser.,
hvilke tillatelser som er brukt er:
- r – Les
- w – Skrive
- x – Utfør
Så, for eksempel, kan si jeg har en fil som heter fil1 som i dag har tillatelser som er satt til _rw_rw_rw, noe som betyr at de eier, gruppe og alle brukere har lese-og skrivetilgang. Nå ønsker vi å fjerne lese-og skriverettigheter fra alle i gruppen brukere.,
for Å gjøre denne endringen ville du bruke kommandoen chmod a-rw fil1
for Å legge til tillatelser over vil du bruke kommandoen chmod a+rw fil1
Som du kan se, hvis du ønsker å gi disse tillatelsene du vil endre minus tegn til et pluss for å legge til disse tillatelsene.
ved Hjelp av Binære Referanser til å Angi tillatelser
Nå som du forstår tillatelser grupper og typer av dette bør man føler seg naturlig. For å angi tillatelsen ved hjelp av binære referanser, må du først forstå at input er gjort ved å legge inn tre heltall/tall.,
Et eksempel tillatelse strengen ville være chmod 640 fil1, noe som betyr at eier har lese-og skriverettigheter konsernet har lese rettigheter, og alle andre som bruker har ingen rettigheter til filen.
Det første tallet representerer Eieren tillatelse, og den andre representerer Gruppen tillatelser, og det siste nummeret som representerer tillatelser for alle andre brukere. Tallene er en binær representasjon av der rettighetene står strengen.
- r = 4
- w = 2
- x = 1
Du kan legge til numre for å få heltall/tall som representerer de rettighetene du ønsker å stille inn., Du vil trenge for å inkludere den binære tillatelser for hver av de tre tillatelse grupper.
Så for å angi en fil til tillatelser på fil1 å lese _rwxr_____, ville du skriver chmod 740 fil1.
Eiere og Grupper
jeg har laget flere referanser til Eiere og Grupper over, men har ennå ikke fortalt deg hvordan du skal tilordne eller endre Eier og Gruppe som er tilordnet til en fil eller katalog.,
Du bruker chown-kommandoen til å endre eier og gruppe-oppgaver, syntaksen er simplechown eier:gruppe filnavn, så for å endre eier av fil1 å bruker1 og gruppen til familiens vil du gå inn til chown bruker1:familie fil1.
Avanserte Tillatelser
De spesielle tillatelser flagg kan være merket med en av de følgende:
- _ – ingen spesielle tillatelser
- d – katalogen
- l– filen eller katalogen er en symbolsk link
- s – Dette indikerte setuid/setgid tillatelser., Dette er ikke angi vist i spesiell tillatelse del av tillatelser skjerm, men er representert som en s i les del av eier eller gruppe tillatelser.
- t – Dette viser sticky bit tillatelser. Dette er ikke angi vist i spesiell tillatelse del av tillatelser skjerm, men er representert som en t i kjørbar del av alle brukere tillatelse
Setuid/Setgid Spesielle Tillatelser
setuid/setguid tillatelser er brukt for å fortelle systemet til å kjøre en kjørbar fil som eier med eierens tillatelse.,
Vær forsiktig med å bruke setuid/setgid biter i tillatelser. Hvis du feilaktig tilordne tillatelser på en fil som eies av root med setuid/setgid bit set, deretter kan du åpne systemet for inntrenging.
Du kan bare tilordne setuid/setgid bit ved å eksplisitt definere tillatelser. Tegnet for setuid/setguid bits, s.
Slik gjør du angi setuid/setguid litt på file2.sh du ville gi kommandoen chmod g+s file2.sh.,
Sticky Bit Spesielle Tillatelser
sticky bit kan være svært nyttig i delte miljø fordi når det har blitt tildelt tillatelser på en katalog det setter det slik at bare filen eieren kan endre navn på eller slette sa fil.
Du kan bare tilordne sticky bit ved å eksplisitt definere tillatelser. Tegnet for sticky bit t.
for Å angi sticky bit på en katalog som heter dir1 du ville gi kommandoen chmod +t dir1.,
Når Tillatelsene Er Viktig
for noen brukere av Mac – eller Windows-baserte datamaskiner, du trenger ikke tenke på tillatelser, men de miljøer ikke fokusere så aggressivt på brukeren basert rettigheter på filer med mindre du er i et bedriftsmiljø. Men nå er du kjører en Linux-basert system og tillatelse-basert sikkerhet er forenklet og kan enkelt brukes til å begrense tilgangen som du vil.
Så jeg vil vise deg noen dokumenter og mapper som du ønsker å fokusere på, og viser deg hvordan den optimale tillatelser som bør settes.,
- hjem / kataloger– brukernes hjemmeområder er viktig fordi du ikke vil at andre brukere skal være i stand til å vise og endre filene på en annen brukers dokumenter på skrivebordet. For å bøte på dette vil du ønsker katalogen har drwx______ (700) tillatelser, så kan du si at vi ønsker å håndheve den riktige tillatelser for brukeren bruker1 ‘ s home directory som kan gjøres ved å sende kommandoen chmod 700 /hjem/bruker1.,
- bootloader konfigurasjonsfiler– Hvis du bestemmer deg for å implementere passord for å starte bestemte operativsystemer vil du ønsker å fjerne lese-og skriverettigheter fra konfigurasjonsfilen fra alle brukere, men roten. For å gjøre at du kan endre tillatelsene for filen for å 700.
- system og daemon konfigurasjonsfiler– Det er svært viktig for å begrense rettighetene til systemet og daemon konfigurasjonsfiler for å hindre brukere fra å redigere innholdet, det kan ikke være tilrådelig å begrense lese-tillatelser, men begrense skriverettigheter er et must., I disse tilfeller kan det være best å endre rettighetene til 644.
- brannmur skript – Det kan ikke alltid være nødvendig å blokkere alle brukere fra å lese brannmur-fil, men det er lurt å begrense brukere fra å skrive til filen. I dette tilfellet brannmur skriptet kjøres av brukeren root automatisk ved oppstart, slik at alle andre brukere behøver ingen rettigheter, slik at du kan tilordne 700 tillatelser.