Linux-käyttöoikeudet järjestelmänvalvojille ja kehittäjille

Linux-käyttöoikeuksien kysymys ja sen oikea käyttö "chmod" -komennon kautta on jotain, joka on SL: n yhteisöissä hyvin yleisesti esillä ja josta keskustellaan. Palvelinten ja järjestelmien kokeneet käyttäjät, teknikot ja järjestelmänvalvojat. Esimerkiksi blogissamme meillä on 2 erittäin hyvää julkaisua siitä, jotka ovat: Käyttöoikeudet Linuxissa (01/12) y Perusoikeudet GNU / Linuxissa chmodilla (08/16).

Mutta monta kertaa SW-kehittäjät jotka luovat sovelluksia ja järjestelmiä, joista suurin osa on järjestelmiä ja verkkosivustoja, kehittäessään niitä he eivät yleensä harkitse, mitkä ovat oikeat käyttöoikeudet heille, jättäen tehtävän melkein aina palvelimen ja järjestelmänvalvojien puolelle. Tässä julkaisussa yritämme antaa heille hieman asiaa koskevia ohjeita.

Esittely

Käsky "chmod»On erittäin hyödyllinen ja tärkeä Linux-pohjaisten käyttöjärjestelmien edistyneelle käytölle. Koska "chmod" ei kuitenkaan ole erillinen paketti, vaan se on integroitu pakettiin "ydinosat«. "Coreutils" -paketti on paketti, joka tarjoaa käyttöjärjestelmälle monia perustyökaluja tiedostojen hallintaan, komentotulkkeihin ja tekstinkäsittelyyn. Ja yleensä se on jo oletusarvoisesti asennettu useimpiin Linux-distroihin.

Tämä paketti sisältää "chmod" -komennon lisäksi seuraavat komennot: kaari base64 basename cat chcon chgrp chmod chown chroot cksum comm cp csplit cut date dd df dir dircolors dirname du echo env expand expr factor false flock fmt fold groups head hostid id install join link ln logname ls md5sum mkdir mkfifo mknod mktemp mv nicec noh od paste pathchk pinky pr printenv printf ptx pwd readlink realpath rm rmdir runcon sha * sum seq shred sleep sort sort split stat stty sum sync tac tail tee test timeout touch tr true truncate tsort tty uname expandand uniq unlink users vdir wc who whoami yes.

Yhteenvetona: "chmod" -komento sallii kaiken tärkeän tehtävän hallita tiedosto- ja kansio-oikeuksia kaikille käyttöjärjestelmän hallinnoimille käyttäjille. Tämä johtuu siitä, että Linux käyttöjärjestelmänä on monikäyttäjä, ja siksi sen on tarjottava työympäristölle lupajärjestelmä tiedostojen ja hakemistojen valtuutettujen toimintojen hallitsemiseksi, joka sisältää kaikki järjestelmän resurssit ja laitteita.

pitoisuus

Käytä SW-kehittäjille

Palvelimen ja järjestelmänvalvojan (Sysadmin) on päätettävä, mitkä käyttöoikeudet myönnetään X-tasolle tai profiilikäyttäjälle X-tiedostossa tai kansiossa, hänen on tiedettävä tarkalleen, minkä tyyppisiä toimintoja tai prosesseja heille on suoritettava. Verkkopalvelimen tapauksessa käyttäjät voidaan luokitella kahteen tyyppiin:

1. Järjestelmänvalvojan käyttäjät: Kenellä on palvelimella käyttäjätili kirjautumista varten, heillä on erityiset oikeudet ja jotka yleensä tekevät tiettyjä muutoksia (kopioi / poista / muokkaa) järjestelmässä tai verkkosivustossa, joka on asennettu esimerkiksi SSH: n tai SFTP: n kautta.
2. Muut kuin järjestelmänvalvojat: Että heillä ei ole käyttäjätili palvelimella, koska he ovat vain sivuston ja verkkojärjestelmän vierailijoita. Siksi heillä ei ole oikeuksia käyttää tiedostoja ja kansioita suoraan, vaan he ovat pikemminkin vuorovaikutuksessa niiden kanssa sivuston verkkosovittimen tai asennetun verkkojärjestelmän kautta.

Kuitenkin, kun Sysadmin ei saa tarpeeksi tai riittävästi tiedot, dokumentaatio tai SW-kehittäjien tuki asennettavien verkkosivustojen ja järjestelmien ominaisuuksista, toiminnoista tai tiedostorakenteesta lopulta suorittaa luotettavan maksimin, joka tässä tapauksessa on yleensä:

chmod 777 -R /var/www/sistema-web

Ja monta kertaa se päättyy:

chown root:root -R /var/www/sistema-web

varoitus

Tämä on yleensä huono käytäntö, mutta se välttää yleensä kaikki lupaongelmat ja asennettujen verkkosivustojen ja järjestelmien huonot suoritukset. Huono käytäntö, koska kun komento chmod 777 suoritetaan tällä tavalla sivuston tai Web-järjestelmän kansiossa ja tiedostoissa, siinä ei ole lainkaan tietoturvaa.

Mahdollistaa minkä tahansa Sivuston tai Web-järjestelmän käyttäjän verkossa muuttaa tai poistaa mitään tiedostoja Sivuston tai Web-järjestelmän tiedostorakenteessa Web-palvelimessa tai sen ulkopuolella ilman suurempia esteitä. Koska on muistettava, että verkkopalvelin toimii vierailevien käyttäjien puolesta ja että se pystyy muuttamaan samoja suoritettavia tiedostoja.

Ja jos käyttäjä on hyökkääjä ja saa jonkin haavoittuvuuden sivustoon tai verkkojärjestelmään, hän voi helposti käyttää sitä hyväksi, poistaa sen käytöstä, tai mikä vielä pahempaa, lisää haitallinen koodi tietojenkalasteluhyökkäysten suorittamiseksi tai varastaa palvelimelta tietoja kenenkään helposti tietämättä.

Suositukset

Joko tämäntyyppisten toimenpiteiden välttämiseksi Sysadminin tai SW-kehittäjän on varmistettava, että eri järjestelmien tai verkkosivustojen kansioilla ja tiedostoilla on oikeat ja tarvittavat oikeudet ja käyttäjät tulevaisuuden turvallisuus- ja yksityisyydensuojaongelmien välttämiseksi.

Käyttöoikeustasolla voidaan suorittaa seuraavat 3 komentoa palauttamaan asennetun järjestelmän tai verkkosivuston käyttöoikeudet ja käyttäjät normaaliksi.Toisin sanoen, aseta arvo 755 kaikille hakemistoille ja 644 tiedostoille.

Muista aina suorittaa ne Järjestelmä- tai Verkkosivustokansiossa, koska jos ne suoritetaan ylemmässä kansiossa (hakemistossa), kuten esimerkiksi palvelimen juuressa, komentokomennot muokkaavat rekursiivisesti kaikkia palvelimen käyttöoikeuksia, jättäen sen todennäköisesti käyttökelvottomaksi.

esimerkit

Hakemistojen ja tiedostojen käyttöoikeudet

find . -type d -exec chmod 755 {} \;

find . -type f -exec chmod 644 {} \;

y

chmod 777 -R .

o

chmod 777 -R /var/www/sistema-web

Jos olet järjestelmän tai verkkosivuston kansion (hakemiston) ulkopuolella.

Järjestelmän tai verkkosivuston käyttäjät

chown www-data:www-data -R .

o

chown www-data:www-data -R /var/www/sistema-web

Jos olet järjestelmän tai verkkosivuston kansion (hakemiston) ulkopuolella. Ja käyttäjän www-dataa käytetään vain esimerkkinä, koska se on Apache2: n käytöstä eniten käytetty tai sopiva.

Kun käyttöoikeusmuutokset on tehty, voimme jatkaa niiden hakemistojen ja tiedostojen oikeuksien muokkaamista, joille haluamme saada erilaiset käyttöoikeudet manuaalisesti. Ja jos on tarpeen vaihtaa myös tarvittavien omistajien käyttäjät. Siksi sekä Sysadminin että SW-kehittäjien on tässä vaiheessa sovittava, mitä tarvittavia käyttöoikeuksia jokaiselle kansiolle ja tiedostolle tulisi olla järjestelmän tai verkkosivuston rakenteessa.

Johtopäätös

Linux- tai UNIX-käyttöjärjestelmän tiedostojen ja kansioiden käyttöoikeuksien hallinta on yksi saman järjestelmän suurista eduista ja eduista, koska ne mahdollistavat paremman, tarkemman ja turvallisemman hallinnan tiedostojen ja kansioiden pääsyn, version ja suorituksen eri tasoille.

Ja paljon enemmän, kun on kyse verkkopalvelimien tasosta, ts. Missä organisaation järjestelmiä tai sisäisiä ja ulkoisia verkkosivustoja isännöidään, Koska on tärkeämpää tietää, mitkä käyttöoikeudet tulisi antaa kullekin hakemistolle tai tiedostolle, saavutetaan paras tasapaino yksityisyyden, turvallisuuden ja toiminnallisuuden välillä.