Selv om det finnes allerede mange gode sikkerhetsfunksjoner innebygd i Linux-baserte systemer, en svært viktig potensielle sårbarheten kan eksistere når lokal tilgang er gitt - - det er filen tillatelse basert problemstillinger som følge av en bruker ikke tilordne riktige tillatelser til filer og kataloger. Så basert på behovet for nødvendige tillatelsene, vil jeg gå over måter å tildele tillatelser og vise deg noen eksempler der modifikasjon kan være nødvendig.
Grunn filrettigheter
Tillatelse Grupper
< p> Hver fil og katalog har tre brukergrupper basert rettighets grupper:
eieren - eieren tillatelser gjelde bare eieren av filen eller katalogen, vil de ikke påvirke handlingene til andre brukere
.
gruppe - Konsern tillatelser gjelder bare for den gruppen som har blitt tildelt til filen eller katalogen, vil de ikke påvirke handlingene til andre brukere
alle brukere -. Alle brukere tillatelser gjelde for alle andre brukere på systemet, er dette tillatelse gruppen du ønsker å se mest mulig
tillatelser
Hver fil eller katalog har tre grunnleggende tillatelser.
lese - The Les tillatelse refererer til en brukers evne til å lese innholdet i filen
write -.. skriverettighetene referere til en brukers evne til å skrive eller endre en fil eller katalog Anmeldelser
utføre -. Execute tillatelse påvirker brukerens evne til å kjøre en fil eller vise innholdet i en Katalog
Ser Tillatelser
Du kan vise tillatelsene ved å sjekke fil- eller mapperettigheter i din favoritt GUI File Manager (som jeg ikke vil dekke her) eller ved å gå gjennom produksjonen av \\ " ls -l \\ " Når du er i kommandolinjen, tillatelsene er redigert. ved hjelp av kommandoen chmod For å explicity define tillatelser må du referere tillatelse Group og tillatelser. Tillatelsen grupper som brukes er: Potensialet Oppdrags Operatører er + (pluss) og - (minus); disse brukes til å fortelle systemet om å legge til eller fjerne bestemte tillatelser. Tillatelsen Typer som benyttes er: Så for en eksempel kan si jeg har en fil som heter fil1 som i dag har de tillatelser satt til _rw_rw_rw, noe som betyr at eieren, gruppen og alle brukere har lese- og skrivetilgang. Nå ønsker vi å fjerne lese og skrive tillatelser fra alle brukere gruppen. For å gjøre denne endringen du vil påberope kommandoen: chmod a-rw fil1 Nå som du forstår tillatelses grupper og typer dette bør føles naturlig. Angi tillatelses bruker binære referanser må du først forstå at inngangen er gjort ved å legge inn tre heltall /tall. En prøve tillatelse streng ville bli chmod 640 fil1, noe som betyr at eieren har lese- og skriverettigheter, har gruppen leserettigheter, og alle andre brukeren har ingen rettigheter til filen. Det første tallet representerer eieren tillatelse; den andre representerer tillatelsene konsernet; og det siste tallet representerer tillatelsene for alle andre brukere. Tallene er en binær representasjon av rwx strengen. Du legger tallene for å få heltall /tall som representerer tillatelsene du ønsker å stille. Du må ta med de binære tillatelser for hver av de tre tillatelsesgruppene. Så for å sette en fil til rettigheter på fil1 å lese _ rwxr Eiere og grupper Jeg har gjort flere referanser til eiere og grupper over, men har ennå ikke fortalt deg hvordan du kan tildele eller endre eieren og konsernet tildelt en fil eller katalog. Du bruker chown kommandoen til å endre eier og gruppeoppgaver, er syntaksen enkel chown eier: gruppe filnavn Avanserte Tillatelser Den spesielle tillatelser flagget kan merkes med noe av det følgende: setuid /setgid spesielle tillatelser setuid /setguid tillatelser brukes til å fortelle systemet til å kjøre en kjørbar som eier med eieren \\ 's tillatelser. Vær forsiktig med å bruke setuid /setgid biter i tillatelser. Hvis du feilaktig tildele tillatelser til en fil som eies av root med setuid /setgid biten satt, så kan du åpne systemet til inntrenging. Du kan bare tilordne setuid /setgid bit av eksplisitt definere tillatelser. Tegnet for setuid /setguid bit er s. Så setter setuid /setguid litt på file2.sh du ville gi kommandoen chmod g + s file2.sh Sticky litt spesiell Tillatelser Den klebrige bit kan være svært nyttig i felles miljø fordi når det er blitt tildelt til de tillatelser på en katalog det setter det så bare file eier kan endre navn på eller slette sa filen. Du kan bare tilordne sticky bit av eksplisitt definere tillatelser. Tegnet for den klebrige bit er t. Å sette sticky bit på en katalog som heter dir1 du ville gi kommandoen chmod + t dir1 For noen brukere av Mac- eller Windows-baserte datamaskiner du ikke tenker på tillatelser, men de miljøer ikke fokusere så aggressivt på brukerbaserte rettigheter på filene med mindre du er i et bedriftsmiljø. Men nå er du kjører et Linux-basert system, og tillatelse basert sikkerhet er forenklet og kan enkelt brukes til å begrense tilgangen som du vil. Så vil jeg vise deg noen dokumenter og mapper som du ønsker å fokusere på og viser deg hvordan de optimale tillatelser bør settes. Andre eksempler kan gis, men denne artikkelen er allerede svært langvarig, så hvis du ønsker å dele andre eksempler på nødvendige restriksjoner kan du gjøre det i kommentarfeltet. Hvis du har noe å legge til eller ønsker å gjøre en kommentar eller korreksjon kan du gjøre det i kommentarfeltet. Jeg ser frem til din tilbakemelding og ønsker deg det beste i fremtiden med Linux-baserte systemer. Anmeldelser
kommando mens i terminalen og mens du arbeider i katalog som inneholder filen eller mappen. Tillatelsen i kommandolinjen vises som: _rwxrwxrwx en eier: gruppe
Bruker rettigheter /Tillatelser
Det første tegnet på at jeg merket med en understrekning er den spesiell tillatelse flagg som kan variere.
Følgende sett av tre tegn (rwx) er for de eiertillatelser.
Det andre settet med tre tegn (rwx) er for tillatelsene konsernet.
Det tredje settet av tre karakterer (rwx) er for alle brukere tillatelser.
Etter at gruppering siden heltallet /nummer viser antall hardlinks til filen .
Den siste biten er eier og Gruppeoppgave formatert som Eier: Gruppe
modifisere tillatelser
. Du kan tildele tillatelsene eksplisitt eller ved hjelp av en binær referanse som beskrevet nedenfor.
Eksplisitt Definere tillatelser
u - Eier
g - Gruppe
o eller a - Alle brukere
r - Les
w - Skriv
x - Execute
å legge tillatelsene over deg ville påberope kommandoen: chmod a + rw fil1
Som du kan se, hvis du ønsker å gi disse tillatelsene du vil endre minus tegnet til et pluss å legge til disse tillatelsene.
Bruke Binary Referanser sette tillatelser
r = 4
w = 2
x = 1
_____, du ville komme inn chmod 740 fil1
.
,
så å endre eier av fil1 til bruker1 og gruppen til familien du vil angi chown bruker1: familie fil1
.
_ - ingen spesielle tillatelser
d Anmeldelser - katalog
l Anmeldelser - Filen eller katalogen er en symbolsk lenke
< em> s Anmeldelser - Dette angitte setuid /setgid tillatelser. Dette er ikke satt vises i spesiell tillatelse delen av tillatelser skjerm, men er representert som som i lesedelen av eieren eller grupperettigheter
t Anmeldelser -. Dette indikerer sticky bit tillatelser. Dette er ikke satt vises i spesiell tillatelse delen av tillatelser skjerm, men er representert som på i kjørbar del av alle brukere tillatelsene
.
.
Når Tillatelser Er Viktig
hjemmeområder Z - Brukerne \\ 'hjemmeområder er viktig fordi du ikke vil at andre brukere skal kunne se og endre filene i en annen bruker \\' s dokumenter av desktop. For å bøte på dette vil du ønsker katalogen å ha drwx______ (700) tillatelser, kan så si at vi ønsker å håndheve de riktige tillatelsene for brukeren bruker1 \\ 's hjemmeområde som kan gjøres ved å utstede kommandoen chmod 700 /home /bruker1 .
bootloader konfigurasjonsfiler Z - Hvis du bestemmer deg for å gjennomføre passord for å starte bestemte operativsystemer vil du ønsker å fjerne lese og skriverettigheter fra konfigurasjonsfilen fra alle brukere, men roten. For å gjøre at du kan endre tillatelsene for filen til 700.
system og daemon konfigurasjonsfiler Z - Det er svært viktig å begrense rettighetene til systemet og daemon konfigurasjonsfiler for å begrense brukere fra å redigere innhold, kan det ikke være tilrådelig å begrense lesetillatelser, men begrense skriverettigheter er et must. I disse tilfellene kan det være best å endre rettighetene til 644.
brannmur scripts Z - Det kan ikke alltid være nødvendig å blokkere alle brukere kan lese brannmur-fil, men det er tilrådelig å begrense brukerne fra å skrive til filen. I dette tilfellet brannmuren skriptet kjøres av root brukeren automatisk ved oppstart, slik at alle andre brukere trenger ingen rettigheter, slik at du kan tildele 700 tillatelser.
Kommentarer Velkommen