Linux dozvole za sistemske administratore i programere

Linux dozvole za sistemske administratore i programere

Linux dozvole za sistemske administratore i programere

Pitanje dozvola u Linuxu i njegova ispravna upotreba putem naredbe "chmod" nešto je vrlo često izloženo i o kojem se raspravlja u SL zajednicama. Napredni korisnici, tehničari i administratori poslužitelja i sustava. Na primjer, na našem blogu imamo 2 vrlo dobre publikacije o tome, a to su: Dopuštenja i prava u Linuxu (01/12) y Osnovna dopuštenja u GNU / Linuxu s chmodom (08/16).

Ali mnogo puta SW programeri koji su ti koji stvaraju Aplikacije i sustave, većina njih sustave i web stranice, kada ih razvijaju, obično ne razmatraju koja su točna dopuštenja koja se na njih trebaju primijeniti, ostavljajući zadatak gotovo uvijek na strani servera i administratora sustava. U ovoj publikaciji pokušat ćemo dati malo smjernica u vezi s njima.

Dopuštenja za Linux za DevOps / BDA: Uvod

I

Naredba "chmod»Vrlo je koristan i važan za naprednu upotrebu operativnih sustava zasnovanih na Linuxu. Međutim, kao takav "chmod" nije samostalni paket, već je integriran u paket "coreutils«. Paket "coreutils" paket je koji pruža operativnom sustavu mnoštvo osnovnih alata za upravljanje datotekama, interpretatore naredbi i obradu teksta. I općenito, već je unaprijed instaliran u većini Linux Distrosa.

Konkretno, ovaj paket sadrži, pored naredbe "chmod", sljedeće naredbe: arch base64 basename cat chcon chgrp chmod chown chroot cksum comm cp csplit cut date dd df dir dircolors dirname du echo env proširiti ekspr faktor netačno jato fmt fold grupe glava hostid id instalirati link link ln logname ls md5sum mkdir mkfifo mknod mktemp mh nicem mhmmmhmt mh numt mv nicem mh numm mh nicem od paste pathchk pinky pr printenv printf ptx pwd readlink realpath rm rmdir runcon sha * sum seq shred sleep sort split split stat stty sum sync tac tail tee test timeout touch tr true truncate tsort tty uname expand uniq unlink users vdir wc who whoami yes.

Ukratko, naredba "chmod" omogućuje najvažniji zadatak upravljanja dozvolama datoteka i mapa svim korisnicima kojima upravlja operativni sustav. To je zato što je Linux kao operativni sustav višekorisnički, pa stoga radnom okruženju treba pružiti sustav dozvola za kontrolu skupa autoriziranih operacija nad datotekama i direktorijima, koji uključuje sve resurse sustava i uređaje.

sadržaj

Linux dozvole za SW / BD: Sadržaj 1

Koristite za programere SW-a

Administrator poslužitelja i sustava (Sysadmin) kada odlučuje koja će dopuštenja odobriti korisnika ili profil na X razini u X datoteci ili mapi, mora točno znati koju vrstu operacija ili procesa treba izvršiti na njima. U slučaju web poslužitelja, korisnici se mogu svrstati u 2 vrste:

  1. Administratorski korisnici: Tko ima korisnički račun na poslužitelju za prijavu, ima određene privilegije i koji obično vrši određene promjene (kopiranje / brisanje / izmjena) u sustavu ili web mjestu instaliranom putem SSH ili SFTP, na primjer.
  2. Korisnici koji nisu administratori: Da nemaju korisnički račun na poslužitelju, jer su samo posjetitelji web mjesta i web sustava. Stoga nemaju dozvolu za izravni pristup datotekama i mapama, već s njima komuniciraju putem web sučelja web mjesta ili instaliranog web sustava.

Međutim, kada Sysadmin ne dobije dovoljno ili dovoljno informacije, dokumentacija ili podrška programera SW-a o mogućnostima, funkcionalnostima ili strukturi datoteka web-mjesta i sustava koji se instaliraju završava izvršavanjem pouzdanog maksimuma, koji je u ovom slučaju obično:

chmod 777 -R /var/www/sistema-web

I mnogo puta završava sa:

chown root:root -R /var/www/sistema-web

Linux dozvole za SW / BD: Sadržaj 2

upozorenje

To je obično loša praksa, ali obično izbjegava bilo kakav problem s dozvolom i lošim izvršavanjem instaliranih web stranica i sustava. Loša praksa, jer kada se naredba chmod 777 izvrši na ovaj način na mapi i datotekama web mjesta ili web sustava, uopće nema sigurnosti.

Omogućavanje bilo kojem korisniku Web mjesta ili Web sustava na mreži da bez većih prepreka promijeni ili izbriše bilo koju datoteku unutar strukture datoteka web mjesta ili web sustava unutar web servera ili šire. Budući da se mora imati na umu da je web poslužitelj taj koji djeluje u ime posjetitelja i da može mijenjati iste datoteke koje se izvršavaju.

A u slučaju da je korisnik napadač i dobije određenu ranjivost na web mjestu ili web sustavu, mogao bi ga lako iskoristiti da ga iskvari, onemogući, ili još gore, umetnite zlonamjerni kôd za izvršavanje phishing napada ili krađu podataka s poslužitelja, a da to nitko ne može lako znati.

Linux dozvole za SW / BD: Sadržaj 3

Preporuke

Da bi se izbjegle ove vrste mjera Sysadmin ili SW programer mora osigurati da mape i datoteke različitih sustava ili web stranica sadrže ispravna i potrebna dopuštenja i korisnike kako biste izbjegli buduće probleme sa sigurnošću i privatnošću.

Na razini dopuštenja mogu se izvršiti sljedeće 3 naredbe za vraćanje dozvola i korisnika instaliranog sustava ili web mjesta u normalno stanje.Drugim riječima, postavite vrijednost 755 na sve direktorije, a 644 na datoteke.

Uvijek se prisjećam da ih izvršim u mapi Sustav ili web stranica, jer ako se izvršavaju u višoj mapi (direktoriju), kao što je, na primjer, korijen poslužitelja, naredbe naredbe rekurzivno će izmijeniti sva dopuštenja poslužitelja, ostavljajući ga najvjerojatnije neaktivnim.

Linux dozvole za SW / BD: Sadržaj 4

Dopuštenja primijenjena na mape (direktoriji)

Primjeri

Dopuštenja za direktorije i datoteke

find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;

y

chmod 777 -R .

o

chmod 777 -R /var/www/sistema-web

U slučaju da ste izvan mape (direktorija) sustava ili web mjesta.

Korisnici sustava ili web mjesta

chown www-data:www-data -R .

o

chown www-data:www-data -R /var/www/sistema-web

U slučaju da ste izvan mape (direktorija) sustava ili web mjesta. A korisnički podaci www koriste se samo kao primjer, jer su najkorišteniji ili najprikladniji što se tiče upotrebe Apache2.

Linux dozvole za SW / BD: Sadržaj 5

Dozvole primijenjene na datoteke (datoteke)

Nakon što se izvrše promjene dozvola, možemo nastaviti s ručnim mijenjanjem dozvola direktorija i datoteka za koje želimo imati različita dopuštenja. A ako je potrebno također promijeniti vlasnika korisnika potrebnih. Stoga se u ovom trenutku i Sysadmin i SW programeri moraju dogovoriti koja bi potrebna odobrenja trebala biti za svaku mapu i datoteku u strukturi sustava ili web stranice.

Dopuštenja za Linux za SW / BD: Zaključak

Zaključak

Administriranje dozvola za datoteke i mape operativnog sustava Linux ili UNIX jedna je od velikih prednosti i prednosti istog, jer omogućuju bolju, preciznu i sigurniju kontrolu različitih nivoa pristupa, izdanja i izvršavanja na datotekama i mapama.

I mnogo više, što se tiče razine web poslužitelja, to jest gdje su hostirani sustavi ili unutarnje i vanjske web stranice organizacije, budući da je veći prioritet znati koja dopuštenja treba dodijeliti svakom direktoriju ili datoteci, kako bi se postigla najbolja ravnoteža između privatnosti, sigurnosti i funkcionalnosti.


Sadržaj članka pridržava se naših načela urednička etika. Da biste prijavili pogrešku, kliknite ovdje.

2 komentara, ostavi svoj

Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Polg28 dijo

    Dobro jutro kako si?
    Bavim se Linuxom, imam aplikaciju koja može uvesti datoteke iz njega, korisnik preuzima .zip koji sadrži mapu s xml datotekama, nakon što je unzipirao datoteke koje su umetnute u bazu podataka. U sustavu Windows nemam problema, prilikom prosljeđivanja aplikacije na linux, nedostajale bi mi neke dozvole, u principu da bih testirao sve što sam učinio kako kažu u ovom članku i to ne bi trebalo činiti haha ​​(ali promijenit ću se kad budem mogao provjeriti sve funkcionalnosti) .
    Činjenica je da su datoteke dekomprimirane, ali vidim da se preuzimaju samo s dozvolama za čitanje i pisanje za vlasnika, za čitanje za grupu vlasnika i bez dozvola za ostale. Kada su datoteke u vlasništvu korisnika koji koristi aplikaciju. Razumijem da, nemajući dozvole za izvršenje, ne može pratiti uobičajeni tijek procesa i nastaviti umetati xml u bazu podataka. Na što dolazi moje pitanje, kako mogu dati dozvole datotekama koje još nemam u sustavu? U mapi koja se preuzima (tmp) ima sva dopuštenja, primjenjuje se u kurzivu, ali svaki put kad se datoteke preuzmu u toj mapi, imaju samo navedena dopuštenja. Postoji li način na koji datoteke koje se pojavljuju u toj mapi mogu imati i dopuštenja za izvršavanje?
    Nadam se da sam bio jasan, hvala puno unaprijed i izvrstan blog

  2.   Instalacija Linuxa nakon dijo

    Pretpostavljam da mapa / tmp ili ... / tmp ima 755 dozvola, ali čak i kad ih korisnik koji je vlasnik aplikacije položi, on im ostavlja druga dopuštenja. Nisam programer, ali pretpostavljam da bi mu na jeziku aplikacije ili nekom drugom mogao naznačiti rutinu koja izvršava naredbu naredbe (bash) potrebnih dozvola (chmod) i vlasnika datoteka (chown). Inače, skriptu možete pokretati svake minute kad se pokrene.