Articles
admin
november 8, 2020
No Comments

Linux bestandspermissies

hoewel er al veel goede beveiligingsfuncties zijn ingebouwd in Linux-gebaseerde systemen, kan er een zeer belangrijke potentiële kwetsbaarheid bestaan wanneer lokale toegang wordt verleend – – dat zijn problemen op basis van bestandspermissies als gevolg van een gebruiker die de juiste permissies niet toewijst aan bestanden en mappen. Dus op basis van de noodzaak voor de juiste machtigingen, zal ik gaan over de manieren om machtigingen toe te wijzen en toon u enkele voorbeelden waar wijziging nodig kan zijn.,

Basic File Permissions

Permission Groups

elk bestand en elke map heeft drie op gebruikers gebaseerde permissions:

  • eigenaar – de eigenaar permissions gelden alleen de eigenaar van het bestand of de map, ze hebben geen invloed op de acties van andere gebruikers.
  • groep – de groepsmachtigingen zijn alleen van toepassing op de groep die is toegewezen aan het bestand of de map, ze zullen de acties van andere gebruikers niet beïnvloeden.
  • alle gebruikers – de alle gebruikers rechten gelden voor alle andere gebruikers op het systeem, Dit is de machtigingsgroep die u het meest wilt bekijken.,

Permissietypen

elk bestand of map heeft drie basis permissietypen:

  • lezen – de leesmachtiging verwijst naar de mogelijkheid van een gebruiker om de inhoud van het bestand te lezen.
  • schrijven – de schrijfrechten verwijzen naar de mogelijkheid van een gebruiker om een bestand of map te schrijven of te wijzigen.
  • uitvoeren – de uitvoerrechten beïnvloeden de mogelijkheid van een gebruiker om een bestand uit te voeren of de inhoud van een map te bekijken.,

het bekijken van de machtigingen

u kunt de machtigingen bekijken door de machtigingen voor bestanden of mappen te controleren in uw favoriete GUI bestandsbeheer (die ik hier niet zal behandelen) of door de uitvoer van het commando “ls-l” te bekijken in de terminal en terwijl u werkt in de map die het bestand of de map bevat.

de rechten op de opdrachtregel worden weergegeven als: _rwxrwxrwx 1 eigenaar: groep

  1. gebruikersrechten/rechten
    1. Het eerste teken dat ik gemarkeerd heb met een underscore is de speciale rechten vlag die kan variëren.,
    2. de volgende set van drie karakters (rwx) is voor de eigenaar permissies.
    3. de tweede set van drie karakters (rwx) is voor de groep permissies.
    4. de derde set van drie karakters (rwx) is voor de rechten van alle gebruikers.
  2. volgt die groepering omdat het gehele getal het aantal hardlinks naar het bestand toont.
  3. Het Laatste stuk is de eigenaar – en Groepstoewijzing die is geformatteerd als eigenaar: Groep.

De machtigingen wijzigen

wanneer op de opdrachtregel de machtigingen worden bewerkt met het commando chmod., U kunt de machtigingen expliciet toewijzen of met behulp van een binaire referentie zoals hieronder beschreven.

expliciet definiërende Machtigingen

om explicity definieer machtigingen moet u verwijzen naar de Machtigingsgroep en Machtigingstypen.

De Toestemming Groepen gebruikt worden:

u – Eigenaar
g – Groep
o – Anderen

– Alle gebruikers

De mogelijke Opdracht Operatoren + (plus) en – (min); deze worden gebruikt om het systeem of het toevoegen of verwijderen van specifieke machtigingen.,

De Permissietypen die worden gebruikt zijn:

  • r – Read
  • w – Write
  • x – Execute

dus bijvoorbeeld, laten we zeggen dat ik een bestand met de naam file1 heb dat momenteel de permissies heeft ingesteld op _rw_rw_rw, wat betekent dat de eigenaar, de groep en alle gebruikers lees-en schrijfrechten hebben. Nu willen we de lees-en schrijfmachtigingen verwijderen uit de groep alle gebruikers.,

om deze wijziging aan te brengen zou je het commando: chmod a-rw file1
aanroepen om de rechten hierboven toe te voegen zou je het commando aanroepen: chmod a+rw file1

zoals je kunt zien, als je die rechten wilt verlenen zou je het minteken veranderen in een plus om die rechten toe te voegen.

binaire verwijzingen gebruiken om machtigingen in te stellen

Nu u de machtigingen groepen en types begrijpt, moet dit natuurlijk aanvoelen. Om de toestemming in te stellen met behulp van binaire referenties moet je eerst begrijpen dat de invoer wordt gedaan door het invoeren van drie gehele getallen/getallen.,

een voorbeeldmachtigingsreeks zou chmod 640 file1 zijn, wat betekent dat de eigenaar lees-en schrijfrechten heeft, de groep lees-rechten heeft en alle andere gebruikers geen rechten hebben op het bestand.

het eerste nummer staat voor de eigenaarsrechten; het tweede nummer staat voor de groepsrechten; en het laatste nummer staat voor de machtigingen voor alle andere gebruikers. De getallen zijn een binaire representatie van de rwx string.

  • r = 4
  • w = 2
  • x = 1

u voegt de getallen toe om het gehele getal te krijgen dat de rechten vertegenwoordigt die u wilt instellen., U moet de binaire Machtigingen voor elk van de drie machtigingsgroepen opnemen.

dus om een bestand in te stellen op permissies op bestand1 om _rwxr_____ te lezen, zou je chmod 740 bestand1 invoeren.

eigenaars en groepen

Ik heb meerdere verwijzingen naar eigenaren en groepen hierboven gemaakt, maar heb u nog niet verteld hoe u de eigenaar en groep die aan een bestand of map is toegewezen, kunt toewijzen of wijzigen.,

u gebruikt het chown commando om eigenaar en groepstoewijzingen te wijzigen, de syntaxis is simplechown owner: group bestandsnaam, dus om de eigenaar van bestand1 te veranderen in user1 en de groep in family zou u chown user1:family bestand1 invoeren.

geavanceerde Machtigingen

de speciale machtigingen vlag kan worden gemarkeerd met een van de volgende:

  • _ – geen speciale machtigingen
  • d – map
  • l– het bestand of de map is een symbolische link
  • s – Dit gaf de machtigingen setuid/setgid aan., Dit wordt niet weergegeven in het gedeelte speciale machtigingen van de weergave machtigingen, maar wordt weergegeven als een s in het gedeelte lezen van de machtigingen van de eigenaar of groep.
  • t – dit geeft de Sticky bit rechten aan. Dit wordt niet weergegeven in het gedeelte speciale machtigingen van het scherm machtigingen, maar wordt weergegeven als een t in het uitvoerbare gedeelte van de machtigingen voor alle gebruikers

Setuid/Setgid speciale machtigingen

De machtigingen setuid/setguid worden gebruikt om het systeem te vertellen een uitvoerbaar bestand uit te voeren als de eigenaar met de machtigingen van de eigenaar.,

wees voorzichtig met het gebruik van setuid / setgid bits in permissies. Als je per ongeluk machtigingen toewijst aan een bestand dat eigendom is van root met de setuid/setgid bit set, dan kun je je systeem openen voor inbraak.

u kunt de setuid/setgid bit alleen toewijzen door expliciet machtigingen te definiëren. Het teken voor het setuid/setguid-bit is s.

dus zet het setuid / setguid-bit op file2.sh u zou het commando chmod g+s geven file2.sh.,

Sticky Bit speciale permissies

de sticky bit kan zeer nuttig zijn in een gedeelde omgeving, omdat wanneer het is toegewezen aan de permissies op een Map Het stelt het zo alleen de eigenaar van het bestand kan hernoemen of verwijderen van het genoemde bestand.

u kunt de sticky bit alleen toewijzen door expliciet rechten te definiëren. Het teken voor de sticky bit is t.

om de sticky bit in te stellen op een map met de naam dir1 geeft u het commando chmod + t dir1.,

wanneer Machtigingen belangrijk zijn

voor sommige gebruikers van Mac – of Windows-computers denkt u niet aan machtigingen, maar deze omgevingen richten zich niet zo agressief op gebruikersrechten op bestanden, tenzij u zich in een bedrijfsomgeving bevindt. Maar nu draait u een Linux-gebaseerd systeem en toestemming gebaseerde beveiliging is vereenvoudigd en kan gemakkelijk worden gebruikt om de toegang te beperken als je wilt.

dus Ik zal u enkele documenten en mappen laten zien waarop u zich wilt concentreren en u laten zien hoe de optimale rechten ingesteld moeten worden.,

  • persoonlijke mappen-de persoonlijke mappen van gebruikers zijn belangrijk omdat u niet wilt dat andere gebruikers de bestanden in de documenten van een andere gebruiker op het bureaublad kunnen bekijken en wijzigen. Om dit te verhelpen wil je dat de directory de drwx______ (700) permissies heeft, dus laten we zeggen dat we de juiste permissies willen afdwingen op de home directory van de gebruiker user1 die gedaan kan worden door het commando chmod 700 /home/user1 uit te voeren.,
  • bootloader configuratiebestanden – als u besluit wachtwoord te implementeren om specifieke besturingssystemen op te starten, dan zult u lees-en schrijfrechten uit het configuratiebestand willen verwijderen van alle gebruikers behalve root. Om dit te doen kunt u de rechten van het bestand wijzigen naar 700.
  • systeem-en daemon-configuratiebestanden-het is erg belangrijk om rechten te beperken tot systeem-en daemon-configuratiebestanden om gebruikers te beperken tot het bewerken van de inhoud, is het misschien niet raadzaam om lees-rechten te beperken, maar schrijfrechten beperken is een must., In deze gevallen kan het het beste zijn om de rechten te wijzigen naar 644.
  • firewallscripts-het is niet altijd nodig om alle gebruikers te blokkeren van het lezen van het firewallbestand, maar het is raadzaam om de gebruikers te beperken van het schrijven naar het bestand. In dit geval wordt het firewall script automatisch uitgevoerd door de root gebruiker tijdens het opstarten, dus alle andere gebruikers hebben geen rechten nodig, dus je kunt de 700 rechten toewijzen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Spring naar toolbar