សិទ្ធិលីនុចសម្រាប់អ្នកគ្រប់គ្រងប្រព័ន្ធនិងអ្នកអភិវឌ្ឍន៍
បញ្ហានៃការអនុញ្ញាតនៅក្នុងលីនុចនិងការប្រើប្រាស់ត្រឹមត្រូវរបស់វាតាមរយៈពាក្យបញ្ជា“ ជែម” គឺជាអ្វីមួយដែលត្រូវបានបង្ហាញនិងពិភាក្សាជាទូទៅនៅក្នុងសហគមន៍អេសអិល។ ដោយអ្នកប្រើកម្រិតខ្ពស់អ្នកបច្ចេកទេសនិងអ្នកគ្រប់គ្រងម៉ាស៊ីននិងប្រព័ន្ធ។ ឧទាហរណ៍នៅក្នុងប្លក់របស់យើងយើងមានការបោះពុម្ពផ្សាយល្អពីរអំពីវាដែលជាៈ សិទ្ធិនិងសិទ្ធិក្នុងលីនុច (០១/១២) y ការអនុញ្ញាតជាមូលដ្ឋាននៅក្នុង GNU / លីនុចជាមួយ chmod (០៨/១៦).
ប៉ុន្តែច្រើនដង អ្នកអភិវឌ្ឍន៍ SW តើអ្នកណាជាអ្នកបង្កើតកម្មវិធីនិងប្រព័ន្ធដែលភាគច្រើនជាប្រព័ន្ធនិងគេហទំព័រ នៅពេលអភិវឌ្ឍពួកវាជាធម្មតាពួកគេមិនពិចារណាថាតើសិទ្ធិណាមួយដែលត្រូវអនុវត្តលើពួកគេទេដោយទុកកិច្ចការនេះស្ទើរតែនៅផ្នែកខាងម៉ាស៊ីនមេនិងអ្នកគ្រប់គ្រងប្រព័ន្ធ។ នៅក្នុងការបោះពុម្ភផ្សាយនេះយើងនឹងព្យាយាមផ្តល់ការណែនាំបន្តិចបន្តួចទាក់ទងនឹងបញ្ហានេះសម្រាប់ពួកគេ។
លិបិក្រម
សេចក្តីណែនាំ
ពាក្យបញ្ជា "chmod»ពិតជាមានប្រយោជន៍និងសំខាន់ណាស់សម្រាប់ការប្រើប្រាស់ជឿនលឿននៃប្រព័ន្ធប្រតិបត្តិការលីនុច។ ទោះយ៉ាងណាដូចជា“ ជែម” មិនមែនជាកញ្ចប់តែឯងទេប៉ុន្តែត្រូវបានបញ្ចូលទៅក្នុងកញ្ចប់”ស្នូល«។ កញ្ចប់ "ស្នូល" គឺជាកញ្ចប់មួយដែលផ្តល់ប្រព័ន្ធប្រតិបត្តិការជាមួយឧបករណ៍មូលដ្ឋានជាច្រើនសម្រាប់ការគ្រប់គ្រងឯកសារអ្នកបកប្រែពាក្យបញ្ជានិងដំណើរការពាក្យ។ ហើយជាទូទៅវាត្រូវបានតំឡើងរួចហើយតាមលំនាំដើមនៅក្នុងលីនុច Distros ភាគច្រើន។
ជាពិសេសកញ្ចប់នេះមានបន្ថែមលើពាក្យបញ្ជា "ឆែម" ពាក្យបញ្ជាខាងក្រោម៖ arch base64 ឈ្មោះអាងឆ្មា chcon chgrp chmod chown chroot cksum comm cp csplit កាត់កាលបរិច្ឆេទ dd dir dircolors dirname du អេកូ env ពង្រីក expr factor ក្រុម fft ក្រុមមិនពិតក្រុមក្បាល hostid id ដំឡើងចូលរួមតំណអិនឈ្មោះចូល Ls md5sum mkdir mkfifo mknod mktemp mv nicecm od បិទបាំង pathchk pinky pr printenv printf ptx pwd readlink realpath rm rmdir runcon sha * sum seq shred គេងតម្រៀបដំណែងបំបែក stat stty sum sync tac tail tee test អស់ពេលប៉ះ tr truncate tsort tty មិនស្គាល់អ្នកប្រើប្រាស់មិនច្បាស់និងមិនភ្ជាប់អ្នកប្រើ vdir wc អ្នកណាអ្នកណា។
សរុបសេចក្ដីមកពាក្យបញ្ជា "ឆែម" អនុញ្ញាតឱ្យមានភារកិច្ចសំខាន់ក្នុងការគ្រប់គ្រងសិទ្ធិឯកសារនិងថតឯកសារដល់អ្នកប្រើប្រាស់ទាំងអស់ដែលគ្រប់គ្រងដោយប្រព័ន្ធប្រតិបត្តិការ។ នេះដោយសារតែលីនុចជាប្រព័ន្ធប្រតិបត្តិការមានអ្នកប្រើច្រើនដូច្នេះហើយវាចាំបាច់ត្រូវផ្តល់បរិយាកាសការងារជាមួយប្រព័ន្ធអនុញ្ញាតិដើម្បីគ្រប់គ្រងសំណុំនៃប្រតិបត្តិការដែលបានអនុញ្ញាតលើឯកសារនិងថតឯកសារដែលរាប់បញ្ចូលទាំងធនធានប្រព័ន្ធនិងឧបករណ៍ទាំងអស់។
មាតិកា
ប្រើសម្រាប់អ្នកអភិវឌ្ឍន៍អិលអេស
អ្នកគ្រប់គ្រងប្រព័ន្ធម៉ាស៊ីនមេនិងប្រព័ន្ធ (សឺសាដិន) នៅពេលសម្រេចចិត្តថាតើការអនុញ្ញាតអ្វីដើម្បីផ្តល់ដល់អ្នកប្រើប្រាស់កម្រិត X ឬទម្រង់នៅលើឯកសារឬថតឯកសារ X ចាំបាច់ត្រូវដឹងច្បាស់ថាតើប្រតិបត្ដិការឬដំណើរការប្រភេទណាដែលពួកគេត្រូវការដើម្បីអនុវត្ត។ ក្នុងករណី Web Server អ្នកប្រើប្រាស់អាចត្រូវបានបែងចែកជា ២ ប្រភេទ៖
- អ្នកប្រើប្រាស់រដ្ឋបាល៖ អ្នកដែលមានគណនីអ្នកប្រើប្រាស់នៅលើម៉ាស៊ីនមេដើម្បីចូលមានសិទ្ធិពិសេសហើយជាទូទៅអនុវត្តការផ្លាស់ប្តូរជាក់លាក់មួយចំនួន (ចម្លង / លុប / កែប្រែ) នៅក្នុងប្រព័ន្ធឬគេហទំព័រដែលបានតំឡើងតាមរយៈអេសអេសអេសអេសអេសភីអិល។
- អ្នកប្រើប្រាស់មិនមែនរដ្ឋបាល៖ ថាពួកគេមិនមានគណនីអ្នកប្រើប្រាស់នៅលើម៉ាស៊ីនមេទេពីព្រោះពួកគេគ្រាន់តែជាអ្នកចូលមើលគេហទំព័រនិងប្រព័ន្ធគេហទំព័រប៉ុណ្ណោះ។ ហេតុដូច្នេះហើយពួកគេមិនមានសិទ្ធិក្នុងការចូលមើលឯកសារនិងថតឯកសារដោយផ្ទាល់ទេប៉ុន្តែគួរតែធ្វើអន្តរកម្មជាមួយពួកគេតាមរយៈចំណុចប្រទាក់គេហទំព័រនៃគេហទំព័រឬតំឡើងប្រព័ន្ធគេហទំព័រ។
ទោះយ៉ាងណានៅពេលសុដិមមីនមិនទទួលបានគ្រប់គ្រាន់ឬគ្រប់គ្រាន់ ព័ត៌មានឯកសារឬការគាំទ្រពីអេស។ អេស។ អេស។ ភី។ អ្នកអភិវឌ្ឍន៍ស្តីពីសមត្ថភាពមុខងារឬរចនាសម្ព័ន្ធឯកសារនៃគេហទំព័រនិងប្រព័ន្ធដែលត្រូវតំឡើង បញ្ចប់ការប្រតិបត្តិអតិបរមាដែលអាចជឿទុកចិត្តបានដែលក្នុងករណីនេះជាធម្មតា:
chmod 777 -R /var/www/sistema-webហើយច្រើនដងវាបញ្ចប់ដោយ៖
chown root:root -R /var/www/sistema-web
ព្រមាន
នេះជាទម្លាប់អាក្រក់ប៉ុន្តែជាធម្មតាវាជៀសវាងរាល់បញ្ហានៃការអនុញ្ញាតនិងការប្រតិបត្តិមិនល្អនៃគេហទំព័រនិងប្រព័ន្ធដែលបានដំឡើង។ ការអនុវត្តមិនល្អចាប់តាំងពីពេលដែលពាក្យបញ្ជាលេខ ៧៧៧ ត្រូវបានប្រតិបត្តិតាមវិធីនេះនៅលើថតឯកសារនិងឯកសារនៃគេហទំព័រឬប្រព័ន្ធអ៊ីនធឺណេតមិនមានសុវត្ថិភាពអ្វីទាំងអស់។
ធ្វើឱ្យអ្នកប្រើប្រាស់គេហទំព័រឬបណ្តាញអ៊ីនធឺណិតអាចផ្លាស់ប្តូរឬលុបឯកសារណាមួយនៅក្នុងរចនាសម្ព័ន្ធឯកសាររបស់គេហទំព័រឬប្រព័ន្ធគេហទំព័រនៅក្នុងម៉ាស៊ីនមេវែបឬលើសពីនេះដោយគ្មានឧបសគ្គធំ ៗ ។ ដោយសារវាត្រូវចងចាំថាវាគឺជា Web Server ដែលដើរតួជំនួសអ្នកប្រើចូលមើលហើយវាមានសមត្ថភាពផ្លាស់ប្តូរឯកសារដូចគ្នាដែលកំពុងត្រូវបានប្រតិបត្តិ។
ហើយក្នុងករណីដែលអ្នកប្រើប្រាស់ជាអ្នកវាយប្រហារហើយទទួលបាននូវភាពងាយរងគ្រោះខ្លះៗនៅក្នុងប្រព័ន្ធបណ្តាញអ៊ីនធ័រណេតគាត់អាចកេងចំណេញវាយ៉ាងងាយដើម្បីបង្ខូចវាបិទវា។ឬអាក្រក់ជាងនេះទៀតបញ្ចូលកូដព្យាបាទដើម្បីវាយប្រហារការលួចបន្លំឬលួចព័ត៌មានពីម៉ាស៊ីនមេដោយមិនមាននរណាដឹងងាយឡើយ។
អនុសាសន៍
ដើម្បីចៀសវាងវិធានការប្រភេទទាំងនេះ Sysadmin ឬ SW Developer ត្រូវតែធានាថាថតឯកសារនិងឯកសារនៃប្រព័ន្ធឬគេហទំព័រផ្សេងៗមានសិទ្ធិត្រឹមត្រូវនិងចាំបាច់។ ដើម្បីជៀសវាងបញ្ហាសន្តិសុខនិងភាពឯកជននាពេលអនាគត។
នៅកម្រិតការអនុញ្ញាតពាក្យបញ្ជាចំនួន ៣ ខាងក្រោមអាចត្រូវបានអនុវត្តដើម្បីស្តារសិទ្ធិនិងអ្នកប្រើប្រាស់នៃប្រព័ន្ធឬគេហទំព័រដែលបានតំឡើងឱ្យមានដំណើរការធម្មតា។នោះគឺកំណត់តម្លៃ ៧៥៥ ទៅថតទាំងអស់និង ៦៤៤ ទៅឯកសារ។
ចងចាំជានិច្ចដើម្បីប្រតិបត្តិពួកវានៅក្នុងថតប្រព័ន្ធឬគេហទំព័រព្រោះថាប្រសិនបើពួកវាត្រូវបានប្រតិបត្តិក្នុងសឺមីខ្ពស់ជាងនេះ (ឧទាហរណ៍ថតឯកសារដើម) ពាក្យបញ្ជាបញ្ជានឹងកែប្រែសិទ្ធិរបស់ម៉ាស៊ីនបម្រើម្តងហើយម្តងទៀតដោយទុកឱ្យវាមិនដំណើរការ។
ការអនុញ្ញាតត្រូវបានអនុវត្តចំពោះថតឯកសារ (ថតឯកសារ)
ឧទាហរណ៏
ថតឯកសារនិងការអនុញ្ញាតឯកសារ
find . -type d -exec chmod 755 {} \;find . -type f -exec chmod 644 {} \;y
chmod 777 -R .o
chmod 777 -R /var/www/sistema-webក្នុងករណីដែលស្ថិតនៅក្រៅថតឯកសារ (ថត) នៃប្រព័ន្ធឬគេហទំព័រ។
ប្រព័ន្ធឬអ្នកប្រើប្រាស់គេហទំព័រ
chown www-data:www-data -R .o
chown www-data:www-data -R /var/www/sistema-webក្នុងករណីដែលស្ថិតនៅក្រៅថតឯកសារ (ថត) នៃប្រព័ន្ធឬគេហទំព័រ។ ហើយអ្នកប្រើប្រាស់ www-data ត្រូវបានប្រើជាឧទាហរណ៍ព្រោះវាត្រូវបានគេប្រើច្រើនបំផុតរឺក៏សមរម្យបំផុតដូចជាការប្រើប្រាស់ Apache2 ។
ការអនុញ្ញាតត្រូវបានអនុវត្តលើឯកសារ (ឯកសារ)
នៅពេលដែលការផ្លាស់ប្តូរសិទ្ធិត្រូវបានធ្វើឡើងយើងអាចបន្តកែប្រែសិទ្ធិរបស់ថតនិងឯកសារដែលយើងចង់មានសិទ្ធិខុសគ្នាដោយដៃ។ ហើយប្រសិនបើចាំបាច់ត្រូវផ្លាស់ប្តូរម្ចាស់អ្នកប្រើប្រាស់ដែលចាំបាច់។ ដូច្នេះត្រង់ចំណុចនេះទាំងសាឌីនមីននិងអ្នកអភិវឌ្ឍន៍អិលអេសអេសត្រូវតែយល់ព្រមលើអ្វីដែលជាសិទ្ធិចាំបាច់សម្រាប់ថតនិងឯកសារនីមួយៗនៅក្នុងប្រព័ន្ធឬរចនាសម្ព័ន្ធគេហទំព័រ។
សេចក្តីសន្និដ្ឋាន
ការគ្រប់គ្រងសិទ្ធិលើឯកសារនិងថតឯកសារនៃប្រព័ន្ធប្រតិបត្តិការលីនុចឬយូនីយគឺជាគុណសម្បត្តិនិងគុណប្រយោជន៍ដ៏អស្ចារ្យមួយដែលដូចគ្នា។ចាប់តាំងពីពួកគេអនុញ្ញាតឱ្យមានការគ្រប់គ្រងល្អប្រសើរច្បាស់លាស់និងមានសុវត្ថិភាពនៃកម្រិតផ្សេងៗគ្នានៃការចូលដំណើរការបោះពុម្ពនិងការប្រតិបត្តិនៅលើឯកសារនិងថតឯកសារ។
ហើយច្រើនទៀតនៅពេលនិយាយដល់កម្រិតនៃ Web Server នោះគឺកន្លែងដែលប្រព័ន្ធរឺវេបសាយខាងក្នុងនិងខាងក្រៅនៃអង្គភាពត្រូវបានរៀបចំ។ ដោយសារវាជាអាទិភាពខ្ពស់ជាងនេះដើម្បីដឹងពីសិទ្ធិដែលគួរតែត្រូវបានផ្តល់ទៅឱ្យថតឯកសារឬឯកសារនីមួយៗដើម្បីសម្រេចបាននូវតុល្យភាពល្អបំផុតរវាងភាពឯកជនសន្តិសុខនិងមុខងារ។
៥៧ យោបល់ទុកអ្នក
អរុណសួស្តីអ្នកសុខសប្បាយជាទេ?
ខ្ញុំកំពុងដាក់បញ្ចូលក្នុងលីនុចខ្ញុំមានកម្មវិធីមួយដែលអាចនាំចូលឯកសារពីវាអ្នកប្រើផ្ទុកឯកសារហ្ស៊ីហ្ស៊ីដែលមានផ្ទុកឯកសារដែលមាន xml បន្ទាប់ពីពន្លាឯកសារដែលពួកគេត្រូវបានបញ្ចូលទៅក្នុងឃ្លាំងទិន្នន័យ។ នៅក្នុងបង្អួចខ្ញុំមិនមានបញ្ហាទេនៅពេលដែលផ្ទេរពាក្យសុំទៅលីនុចខ្ញុំនឹងបាត់សិទ្ធិខ្លះជាគោលការណ៍ដើម្បីសាកល្បងអ្វីគ្រប់យ៉ាងដែលខ្ញុំបានធ្វើតាមអ្វីដែលពួកគេនិយាយនៅក្នុងអត្ថបទនេះហើយវាមិនគួរធ្វើទេហាហា (ប៉ុន្តែខ្ញុំនឹងផ្លាស់ប្តូរម្តងខ្ញុំ អាចធ្វើឱ្យមុខងារទាំងអស់មានសុពលភាព) ។
ការពិតគឺថាឯកសារត្រូវបានអន់ថយប៉ុន្តែខ្ញុំឃើញថាពួកគេត្រូវបានទាញយកតែជាមួយសិទ្ធិអាននិងសរសេរសម្រាប់ម្ចាស់អានសម្រាប់ក្រុមម្ចាស់និងដោយគ្មានការអនុញ្ញាតសម្រាប់អ្នកដទៃ។ នៅពេលឯកសារត្រូវបានគ្រប់គ្រងដោយអ្នកប្រើដែលប្រើកម្មវិធី។ ខ្ញុំយល់ថាដោយមិនមានការអនុញ្ញាតប្រតិបត្តិវាមិនអាចអនុវត្តតាមលំហូរធម្មតានៃដំណើរការនិងបន្តបញ្ចូលឯកសារ xml នៅក្នុងមូលដ្ឋានទិន្នន័យ។ ចំពោះសំណួរដែលខ្ញុំសួរតើខ្ញុំអាចផ្តល់សិទ្ធិដល់ឯកសារដែលខ្ញុំមិនទាន់មានលើប្រព័ន្ធបានយ៉ាងដូចម្តេច? នៅក្នុងថតឯកសារដែលត្រូវបានទាញយក (tmp) វាមានសិទ្ធិទាំងអស់ពួកគេត្រូវបានអនុវត្តតាមរបៀបទ្រេតប៉ុន្តែរាល់ពេលឯកសារត្រូវបានទាញយកនៅក្នុងថតនោះពួកគេមានតែសិទ្ធិដែលបានលើកឡើងប៉ុណ្ណោះ។ តើមានវិធីណាដែលឯកសារដែលលេចឡើងនៅក្នុងសឺមីនោះអាចត្រូវបានទុកចោលដោយមានការអនុញ្ញាតប្រតិបត្តិផងដែរ?
ខ្ញុំសង្ឃឹមថាខ្ញុំច្បាស់ហើយសូមអរគុណអ្នកទុកជាមុននិងប្លក់ដ៏ល្អបំផុត
ខ្ញុំសន្មតថាថតឯកសារ / tmp ឬ… / tmp មានសិទ្ធិចំនួន ៧៥៥ ប៉ុន្តែទោះបីជាដូច្នេះនៅពេលអ្នកប្រើប្រាស់ដែលជាម្ចាស់ពាក្យសុំដាក់ប្រាក់នោះគាត់ ទុកឲ្យ ពួកគេដោយមានការអនុញ្ញាតផ្សេងទៀត។ ខ្ញុំមិនមែនជាអ្នកអភិវឌ្ឍទេប៉ុន្តែខ្ញុំសន្មតថានៅក្នុងភាសានៃកម្មវិធីឬមួយផ្សេងទៀតអាចចង្អុលបង្ហាញវាជាទម្លាប់មួយដែលប្រតិបត្តិពាក្យបញ្ជា (ប៊ីក) នៃការអនុញ្ញាតចាំបាច់ (chmod) និងម្ចាស់ឯកសារ (chown) ។ បើមិនដូច្នោះទេអ្នកអាចដំណើរការស្គ្រីបរៀងរាល់នាទីដែលវាដំណើរការ។