Även om det redan finns många bra säkerhetsfunktioner inbyggda i Linux-baserade system, kan en mycket viktig potentiell sårbarhet existera när lokal åtkomst beviljas – det är filbehörighetsbaserade problem till följd av att en användare inte tilldelar rätt behörigheter till filer och kataloger. Så baserat på behovet av korrekta behörigheter, kommer jag att gå över sätten att tilldela behörigheter och visa dig några exempel där modifiering kan vara nödvändig.,
grundläggande filbehörigheter
behörighetsgrupper
varje fil och katalog har tre användarbaserade behörighetsgrupper:
- ägare – Ägarbehörigheterna gäller endast ägaren till filen eller katalogen, de kommer inte att påverka andra användares handlingar.
- group – Gruppbehörigheterna gäller endast för gruppen som har tilldelats filen eller katalogen, de kommer inte att påverka andra användares åtgärder.
- alla användare-alla användarbehörigheter gäller för alla andra användare i systemet, det här är behörighetsgruppen som du vill titta mest på.,
Behörighetstyper
varje fil eller katalog har tre grundläggande behörighetstyper:
- läs – Läsbehörigheten avser en användares förmåga att läsa innehållet i filen.
- write – Skrivbehörigheterna hänvisar till en användares förmåga att skriva eller ändra en fil eller katalog.
- execute – behörigheten Execute påverkar en användares förmåga att exekvera en fil eller visa innehållet i en katalog.,
visa behörigheterna
Du kan visa behörigheterna genom att kontrollera filen eller katalogbehörigheterna i din favorit GUI filhanterare (som jag inte kommer att täcka här) eller genom att granska produktionen av kommandot ”ls-l” medan du är i terminalen och när du arbetar i katalogen som innehåller filen eller mappen.
behörigheten i kommandoraden visas som: _rwxrwxrwx 1 ägare: grupp
- användarrättigheter/behörigheter
- det första tecknet som jag markerade med ett understreck är den särskilda behörighetsflaggan som kan variera.,
- följande uppsättning av tre tecken (rwx) är för ägarbehörigheterna.
- den andra uppsättningen med tre tecken (rwx) är för Gruppbehörigheterna.
- den tredje uppsättningen av tre tecken (rwx) är för alla användare behörigheter.
- efter denna gruppering eftersom heltalet / numret visar antalet hårdlänkar till filen.
- den sista delen är ägare och grupptilldelning formaterad som ägare:grupp.
ändra behörigheterna
När behörigheterna i kommandoraden redigeras med kommandot chmod., Du kan tilldela behörigheterna uttryckligen eller genom att använda en binär referens som beskrivs nedan.
uttryckligen definiera behörigheter
för att explicity definiera behörigheter måste du referera till Behörighetsgruppen och Tillståndstyperna.
de behörighetsgrupper som används är:
de potentiella Tilldelningsoperatörerna är + (plus) och – (minus); dessa används för att berätta för systemet om du vill lägga till eller ta bort specifika behörigheter.,
de Tillståndstyper som används är:
- r – Read
- w – Write
- X – Execute
så för ett exempel, låt oss säga att jag har en fil som heter file1 som för närvarande har behörigheterna inställda på _rw_rw_rw, vilket innebär att ägaren, gruppen och alla användare har läs-och skrivbehörighet. Nu vill vi ta bort läs-och skrivbehörigheterna från gruppen alla användare.,
för att göra denna ändring skulle du åberopa kommandot: chmod a-rw file1
för att lägga till behörigheterna ovan skulle du åberopa kommandot: chmod a + rw file1
som du kan se, om du vill bevilja dessa behörigheter skulle du ändra minustecknet till ett plus för att lägga till dessa behörigheter.
använda binära referenser för att ställa in behörigheter
Nu när du förstår behörighetsgrupperna och typerna som den här ska känna sig naturlig. För att ställa in behörigheten med binära referenser måste du först förstå att inmatningen görs genom att ange tre heltal / nummer.,
en behörighetssträng för prov skulle vara chmod 640 file1, vilket innebär att ägaren har läs-och skrivbehörigheter, gruppen har läsbehörigheter och alla andra användare har inga rättigheter till filen.
det första numret representerar Ägarbehörigheten; det andra representerar Gruppbehörigheterna; och det sista numret representerar behörigheterna för alla andra användare. Siffrorna är en binär representation av rwx strängen.
- r = 4
- w = 2
- x = 1
du lägger till siffrorna för att få heltalet / numret som representerar de behörigheter du vill ställa in., Du måste inkludera de binära behörigheterna för var och en av de tre behörighetsgrupperna.
så för att ställa in en fil till behörigheter på file1 för att läsa _rwxr_____, skulle du ange chmod 740 file1.
ägare och grupper
Jag har gjort flera referenser till ägare och grupper ovan, men har ännu inte berättat hur du tilldelar eller ändrar ägare och grupp som tilldelats en fil eller katalog.,
du använder kommandot chown för att ändra ägar-och grupptilldelningar, syntaxen är simplechown owner:group filename, så för att ändra ägaren till file1 till user1 och gruppen till familjen skulle du ange chown user1:family file1.
avancerade behörigheter
specialbehörighetsflaggan kan markeras med något av följande:
- – – inga speciella behörigheter
- d-katalog
- l-filen eller katalogen är en symbolisk länk
- S – detta indikerade setuid / setgid behörigheter., Detta är inte inställt som visas i den särskilda behörighetsdelen i behörighetsdisplayen, men representeras som ett s i läsdelen av ägaren eller gruppbehörigheterna.
- t – detta indikerar klibbiga bitbehörigheter. Detta är inte inställt som visas i den särskilda behörighetsdelen av behörighetsdisplayen, men representeras som en t i den körbara delen av alla användarbehörigheter
setuid/Setgid Specialbehörigheter
setuid / setguid-behörigheterna används för att berätta för systemet att köra en körbar som ägare med ägarens behörigheter.,
var försiktig med setuid/setgid bitar i behörigheter. Om du felaktigt tilldelar behörigheter till en fil som ägs av root med setuid / setgid bit set, kan du öppna ditt system för intrång.
Du kan bara tilldela setuid / setgid-biten genom att uttryckligen definiera behörigheter. Tecknet för setuid / setguid-biten är s.
så ställ in setuid / setguid-biten på file2.sh du skulle utfärda kommandot chmod g + s file2.sh. – herr talman!,
Sticky Bit speciella behörigheter
den klibbiga biten kan vara mycket användbar i delad miljö eftersom när den har tilldelats behörigheterna i en katalog ställer den in den så att endast filägaren kan byta namn på eller ta bort den nämnda filen.
Du kan bara tilldela den klibbiga biten genom att uttryckligen definiera behörigheter. Tecknet för den klibbiga biten är t.
för att ställa in den klibbiga biten på en katalog som heter dir1 skulle du utfärda kommandot chmod + t dir1.,
När behörigheter är viktiga
För vissa användare av Mac – eller Windows-baserade datorer tänker du inte på behörigheter, men dessa miljöer fokuserar inte så aggressivt på användarbaserade rättigheter på filer om du inte befinner dig i en företagsmiljö. Men nu kör du ett Linux-baserat system och behörighetsbaserad säkerhet förenklas och kan enkelt användas för att begränsa åtkomsten som du vill.
så jag kommer att visa dig några dokument och mappar som du vill fokusera på och visa dig hur de optimala behörigheterna ska ställas in.,
- hemkataloger– användarnas hemkataloger är viktiga eftersom du inte vill att andra användare ska kunna visa och ändra filerna i en annan användares dokument på skrivbordet. För att åtgärda detta vill du att katalogen ska ha drwx_____ _ (700) behörigheter, så låt oss säga att vi vill genomdriva de korrekta behörigheterna på användarens user1s hemkatalog som kan göras genom att utfärda kommandot chmod 700 /home/user1.,
- konfigurationsfiler för starthanterare– om du väljer att implementera lösenord för att starta specifika operativsystem så vill du ta bort läs-och skrivbehörigheter från konfigurationsfilen från alla användare men root. För att göra kan du ändra behörigheterna för filen till 700.
- system-och daemonkonfigurationsfiler– det är mycket viktigt att begränsa rättigheterna till system-och daemonkonfigurationsfiler för att begränsa användarna från att redigera innehållet, det kanske inte är lämpligt att begränsa läsbehörigheter, men att begränsa skrivbehörigheter är ett måste., I dessa fall kan det vara bäst att ändra rättigheterna till 644.
- brandväggsskript – det kanske inte alltid är nödvändigt att blockera alla användare från att läsa brandväggsfilen, men det är lämpligt att begränsa användarna från att skriva till filen. I det här fallet körs brandväggsskriptet av rotanvändaren automatiskt vid uppstart, så alla andra användare behöver inga rättigheter, så du kan tilldela 700-behörigheterna.