Linux dozvole za sistemske administratore i programere

Linux dozvole za sistemske administratore i programere

Linux dozvole za sistemske administratore i programere

Pitanje dozvola u Linuxu i njegova ispravna upotreba putem naredbe "chmod" nešto je što je vrlo često izloženo i o čemu se raspravlja u SL zajednicama. od naprednih korisnika, tehničara i administratora servera i sistema. Na primjer, na našem blogu imamo 2 vrlo dobre publikacije o tome, a to su: Dozvole i prava u Linuxu (01/12) y Osnovna dopuštenja u GNU / Linuxu s chmodom (08/16).

Ali mnogo puta SW programeri koji su ti koji stvaraju Aplikacije i sisteme, od kojih su većina sistemi i web stranice, kada ih razvijaju, obično ne razmišljaju koje su tačne dozvole koje se na njih trebaju primijeniti, ostavljajući zadatak gotovo uvijek na strani servera i administratora sistema. U ovoj publikaciji pokušat ćemo dati malo smjernica u vezi s njima.

Linux dozvole za DevOps / BDA: Uvod

Uvod

Naredba "chmod»Veoma je koristan i važan za naprednu upotrebu operativnih sistema zasnovanih na Linuxu. Međutim, kao takav "chmod" nije samostalni paket, već je integriran u paket "coreutils«. Paket "coreutils" je paket koji pruža operativnom sistemu mnoštvo osnovnih alata za upravljanje datotekama, interpretatore naredbi i obradu teksta. I općenito, već je instaliran po defaultu u većini Linux Distros-a.

Konkretno, ovaj paket sadrži, pored naredbe "chmod", sljedeće naredbe: arch base64 basename mačka chcon chgrp chmod chown chroot cksum comm cp csplit cut date dd df dir dircolors dirname du echo env proširiti ekspr faktor netačno jato fmt fold grupe glava hostid id instalacija pridruži link ln logname ls md5sum mkdir mkfifo mknod mktem mh numt mh nicem mh numm mh nicem od paste pathchk pinky pr printenv printf ptx pwd readlink realpath rm rmdir runcon sha * sum seq shred san razvrstaj split stat stty sum sync tac tail tee test timeout touch tr true truncate tsort tty uname expand uniq unlink users vdir wc whoami da.

Ukratko, naredba "chmod" omogućava najvažniji zadatak upravljanja dozvolama za datoteke i mape svim korisnicima kojima upravlja operativni sistem. To je zato što je Linux kao operativni sistem višekorisnički, i zato treba radnom okruženju pružiti sistem dozvola za kontrolu skupa autoriziranih operacija na datotekama i direktorijima, koji uključuje sve sistemske resurse i uređajima.

Contenido

Linux dozvole za SW / BD: Sadržaj 1

Koristite za SW programere

Administrator servera i sistema (Sysadmin) prilikom odlučivanja koja dozvole za dodjeljivanje korisnika ili profila na X nivou X datoteke ili mape, mora tačno znati koju vrstu operacija ili procesa treba izvršiti na njima. U slučaju web servera, korisnici se mogu svrstati u 2 vrste:

  1. Admin korisnici: Tko ima korisnički račun na serveru za prijavu, ima određene privilegije i koji uglavnom vrši određene promjene (kopiranje / brisanje / izmjena) u sistemu ili web lokaciji instaliranom putem SSH ili SFTP, na primjer.
  2. Korisnici koji nisu administratori: Da nemaju korisnički račun na serveru, jer su samo posjetitelji stranice i web sistema. Zbog toga nemaju dozvolu za direktan pristup datotekama i mapama, već radije komuniciraju s njima putem web interfejsa web lokacije ili instaliranog web sistema.

Međutim, kada Sysadmin ne dobije dovoljno ili dovoljno informacije, dokumentacija ili podrška SW programera o mogućnostima, funkcionalnostima ili strukturi datoteka Web lokacija i sistema koje treba instalirati završava izvršavanjem pouzdanog maksimuma, koji je u ovom slučaju obično:

chmod 777 -R /var/www/sistema-web

I mnogo puta završava sa:

chown root:root -R /var/www/sistema-web

Linux dozvole za SW / BD: Sadržaj 2

Upozorenje

To je obično loša praksa, ali obično izbjegava bilo kakav problem s dozvolom i lošim izvršavanjem instaliranih web lokacija i sistema. Loša praksa, jer kada se naredba chmod 777 izvrši na ovaj način na fascikli i datotekama web lokacije ili web sistema, uopće nema sigurnosti.

Omogućavanje bilo kojem korisniku Web lokacije ili Web sistema na mreži da bez većih prepreka promijeni ili izbriše bilo koju datoteku unutar strukture datoteka Web lokacije ili Web sistema unutar Web servera ili šire. Budući da se mora imati na umu da je web poslužitelj taj koji djeluje u ime korisnika koji gostuju i da je sposoban promijeniti iste datoteke koje se izvršavaju.

A u slučaju da je korisnik napadač i dobije određenu ranjivost na web mjestu ili web sustavu, mogao bi ga lako iskoristiti da ga upropasti, onemogući, ili još gore, ubacite zlonamjeran kôd za izvođenje phishing napada ili ukradite podatke sa servera, a da to niko ne može lako znati.

Linux dozvole za SW / BD: Sadržaj 3

Recomendaciones

Da bi se izbjegle ove vrste mjera Sysadmin ili SW programer mora osigurati da mape i datoteke različitih sistema ili web lokacija sadrže tačne i potrebne dozvole i korisnike kako bi se izbjegla buduća pitanja sigurnosti i privatnosti.

Na razini dozvole mogu se izvršiti sljedeće 3 naredbe za vraćanje dozvola i korisnika instaliranog sistema ili web stranice u normalno stanje.Odnosno, postavite vrijednost 755 na sve direktorije i 644 na datoteke.

Uvijek se sjećam da ih izvršim unutar mape Sistem ili Web lokacija, jer ako se izvršavaju u višoj mapi (direktoriju), kao što je, na primjer, korijen poslužitelja, naredbe naredbe će rekurzivno izmijeniti sve dozvole poslužitelja, ostavljajući ga najvjerojatnije neaktivnim.

Linux dozvole za SW / BD: Sadržaj 4

Dozvole primijenjene na mape (direktoriji)

Primjeri

Odobrenja za direktorijume i datoteke

find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;

y

chmod 777 -R .

o

chmod 777 -R /var/www/sistema-web

U slučaju da ste izvan mape (direktorija) sistema ili web stranice.

Korisnici sistema ili web stranice

chown www-data:www-data -R .

o

chown www-data:www-data -R /var/www/sistema-web

U slučaju da ste izvan mape (direktorija) sistema ili web stranice. Korisnički www-podaci se koriste samo kao primjer, jer su najkorišteniji ili najprikladniji što se tiče upotrebe Apache2.

Linux dozvole za SW / BD: Sadržaj 5

Dozvole primijenjene na datoteke (datoteke)

Nakon što se izvrše promjene dozvola, možemo nastaviti s ručnim izmijenjivanjem dozvola direktorija i datoteka za koje želimo da imaju različita dopuštenja. A ako je potrebno također promijeniti vlasnika korisnika potrebnih. Stoga se u ovom trenutku i Sysadmin i SW programeri moraju složiti oko toga koja bi potrebna odobrenja trebala biti za svaku mapu i datoteku u strukturi sistema ili web stranice.

Linux dozvole za SW / BD: Zaključak

zaključak

Administriranje dozvola nad datotekama i mapama operativnog sistema Linux ili UNIX jedna je od velikih prednosti i prednosti istog, jer omogućavaju bolju, preciznu i sigurniju kontrolu različitih nivoa pristupa, izdanja i izvršavanja na datotekama i mapama.

I još mnogo toga, što se tiče nivoa Web servera, odnosno tamo gdje su hostirani Sistemi ili interne i eksterne web stranice organizacije, budući da je veći prioritet znati koja dopuštenja treba dodijeliti svakom direktoriju ili datoteci, kako bi se postigla najbolja ravnoteža između privatnosti, sigurnosti i funkcionalnosti.


Sadržaj članka pridržava se naših principa urednička etika. Da biste prijavili grešku, kliknite ovdje.

2 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena.

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   polg28 rekao je

    Dobro jutro kako si?
    Bavim se Linuxom, imam aplikaciju koja može uvesti datoteke iz njega, korisnik otprema .zip koji sadrži mapu s xml datotekama, nakon što je raspakirao datoteke koje su umetnute u bazu podataka. U Windowsima nemam problema, prilikom prenošenja aplikacije na linux, nedostajale bi mi neke dozvole, u principu da bih testirao sve što sam radio kako kažu u ovom članku i to ne bi trebalo raditi haha ​​(ali promijenit ću se kad budem mogao potvrditi sve funkcionalnosti) .
    Činjenica je da su datoteke dekomprimirane, ali vidim da se preuzimaju samo s dozvolama za čitanje i pisanje za vlasnika, za čitanje za grupu vlasnika i bez dozvola za ostale. Kada su datoteke u vlasništvu korisnika koji koristi aplikaciju. Razumijem da, nemajući dozvole za izvršenje, nije u mogućnosti pratiti normalni tok procesa i nastaviti umetati xml u bazu podataka. Na koje dolazi moje pitanje, kako mogu dati dozvole datotekama koje još nemam na sistemu? U mapi koja se preuzima (tmp) ima sve dozvole, primjenjuje se u kurzivu, ali svaki put kada se datoteke preuzmu iz te mape, imaju samo spomenute dozvole. Postoji li način da datoteke koje se pojave u toj mapi ostanu i sa dozvolama za izvršavanje?
    Nadam se da sam bio jasan, hvala puno unaprijed i odličan blog

  2.   Linux nakon instalacije rekao je

    Pretpostavljam da mapa / tmp ili ... / tmp ima 755 dozvola, ali čak i kad ih korisnik koji posjeduje aplikaciju deponira, ostavlja im druge dozvole. Nisam programer, ali pretpostavljam da bi mu na jeziku aplikacije ili nekom drugom mogao naznačiti rutinu koja izvršava naredbu naredbe (bash) potrebnih dozvola (chmod) i vlasnika datoteka (chown). Inače, skriptu možete pokretati svake minute kad se pokrene.

bool(tačno)