Linux atļaujas sistēmas administratoriem un izstrādātājiem

Linux atļaujas sistēmas administratoriem un izstrādātājiem

Linux atļaujas sistēmas administratoriem un izstrādātājiem

Jautājums par Linux atļaujām un to pareizu izmantošanu, izmantojot komandu "chmod", ir kaut kas ļoti bieži atklāts un apspriests SL kopienās. serveru un sistēmu pieredzējuši lietotāji, tehniķi un administratori. Piemēram, mūsu emuārā mums ir 2 ļoti labas publikācijas par to: Atļaujas un tiesības Linux (01/12) y Pamata atļaujas GNU / Linux ar chmod (08/16).

Bet daudzas reizes SW izstrādātāji kas ir tie, kas veido lietojumprogrammas un sistēmas, galvenokārt sistēmas un vietnes, tos izstrādājot, viņi parasti neuzskata, kuras ir pareizās atļaujas, kas viņiem jāievieš, uzdevumu gandrīz vienmēr atstājot servera un sistēmas administratoru pusē. Šajā publikācijā mēs viņiem mēģināsim sniegt nelielu ievirzi.

Linux atļaujas DevOps / BDA: ievads

Ievads

Komanda "chmod»Ir ļoti noderīgs un svarīgs, lai uzlabotu Linux operētājsistēmu izmantošanu. Tomēr, tā kā šāda "chmod" nav atsevišķa pakete, bet ir integrēta paketē "coreutils«. "Coreutils" pakete ir pakete, kas nodrošina operētājsistēmu ar daudziem pamata rīkiem failu pārvaldībai, komandu tulkotājiem un tekstu apstrādei. Un kopumā tas jau pēc noklusējuma ir instalēts lielākajā daļā Linux Distros.

Šajā paketē papildus komandai "chmod" ir šādas komandas: arkas base64 bāzes nosaukums cat chcon chgrp chmod chown chroot cksum comm cp csplit cut date dd df dir dircolors numfmt od paste pathchk pinky pr printenv printf ptx pwd readlink realpath rm rmdir runcon sha * sum seq shred sleep sleep sort split stty sum sync tac tail tee test timeout touch tr true truncate tsort tty uname Expand uniq atsaistīt lietotājus vdir wc who whoami jā.

Apkopojot, komanda "chmod" ļauj visiem operētājsistēmas pārvaldītajiem lietotājiem visu svarīgo uzdevumu pārvaldīt failu un mapju atļaujas. Tas ir tāpēc, ka Linux kā operētājsistēma ir daudzlietotāju, un tāpēc tai ir jānodrošina darba vide ar atļauju sistēmu, lai kontrolētu autorizēto darbību kopu failos un direktorijos, kas ietver visus sistēmas resursus un ierīces.

saturs

Linux atļaujas SW / BD: 1. saturs

Izmantojiet SW izstrādātājiem

Servera un sistēmu administratoram (Sysadmin), izlemjot, kādas atļaujas piešķirt X līmeņa lietotājam vai profilam X failā vai mapē, precīzi jāzina, kāda veida darbības vai procesi viņiem ar tiem jāveic. Tīmekļa servera gadījumā lietotājus var iedalīt divos veidos:

  1. Administratori: Kam ir servera lietotāja konts, lai pieteiktos, viņiem ir īpašas privilēģijas un kuri parasti veic noteiktas izmaiņas (kopiju / dzēšanu / modificēšanu) sistēmā vai vietnē, piemēram, izmantojot SSH vai SFTP.
  2. Lietotāji, kas nav administratori: Ka viņiem serverī nav lietotāja konta, jo viņi ir tikai vietnes un tīmekļa sistēmas apmeklētāji. Tāpēc viņiem nav atļauju tieši piekļūt failiem un mapēm, viņi drīzāk mijiedarbojas ar tiem, izmantojot Vietnes tīmekļa saskarni vai instalēto Web sistēmu.

Tomēr, kad Sysadmin nesaņem pietiekami daudz vai adekvāti SW izstrādātāju sniegtā informācija, dokumentācija vai atbalsts par instalējamo vietņu un sistēmu iespējām, funkcionalitāti vai failu struktūru galu galā izpilda uzticamo maksimumu, kas šajā gadījumā parasti ir:

chmod 777 -R /var/www/sistema-web

Un daudzas reizes tas beidzas ar:

chown root:root -R /var/www/sistema-web

Linux atļaujas SW / BD: 2. saturs

Brīdinājums

Parasti tā ir slikta prakse, taču tā parasti izvairās no jebkādām atļauju problēmām un nepareizas instalēto vietņu un sistēmu izpildes. Slikta prakse, jo, šādā veidā izpildot komandu chmod 777 vietnes vai tīmekļa sistēmas mapē un failos, par to vispār nav drošības.

Ļaujot jebkuram vietnes vai tīmekļa sistēmas lietotājam tiešsaistē bez lieliem šķēršļiem mainīt vai izdzēst jebkuru vietnes vai tīmekļa sistēmas failu struktūras failu Web serverī vai ārpus tā. Tā kā jāatceras, ka tieši tīmekļa serveris darbojas apmeklējošo lietotāju vārdā un ka tas spēj mainīt tos pašus failus, kas tiek izpildīti.

Ja lietotājs ir uzbrucējs un tajā ir kāda ievainojamība vietnē vai tīmekļa sistēmā, viņš to var viegli izmantot, lai to izjauktu, atspējotuvai, vēl ļaunāk, tomēr ievietojiet ļaunprātīgu kodu, lai veiktu pikšķerēšanas uzbrukumus, vai nozagt informāciju no servera, to viegli nezinot.

Linux atļaujas SW / BD: 3. saturs

Ieteikumi

Lai izvairītos no šāda veida pasākumiem, vai nu Sysadmin vai SW izstrādātājam ir jānodrošina, lai dažādu sistēmu vai vietņu mapēm un failiem būtu pareizas un nepieciešamās atļaujas un lietotāji lai izvairītos no turpmākiem drošības un privātuma jautājumiem.

Atļauju līmenī var izpildīt šādas 3 komandas, lai atjaunotu normālas instalētās sistēmas vai vietnes atļaujas un lietotājus.Tas ir, iestatiet vērtību 755 visiem direktorijiem un 644 failiem.

Vienmēr atcerieties tos izpildīt mapē Sistēma vai Vietne, tā kā, ja tie tiek izpildīti augstākā mapē (direktorijā), piemēram, servera saknē, komandu komandas rekursīvi modificēs visas servera atļaujas, atstājot to, visticamāk, nederīgu.

Linux atļaujas SW / BD: 4. saturs

Mapēm (direktorijiem) piešķirtās atļaujas

Piemēri

Katalogi un failu atļaujas

find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;

y

chmod 777 -R .

o

chmod 777 -R /var/www/sistema-web

Ja atrodaties ārpus sistēmas vai vietnes mapes (direktorijas).

Sistēmas vai vietnes lietotāji

chown www-data:www-data -R .

o

chown www-data:www-data -R /var/www/sistema-web

Ja atrodaties ārpus sistēmas vai vietnes mapes (direktorijas). Un lietotāja www dati tiek izmantoti tikai kā piemērs, jo tie ir visvairāk izmantotie vai piemērotākie, ciktāl tas attiecas uz Apache2 lietošanu.

Linux atļaujas SW / BD: 5. saturs

Failiem (failiem) piemērotās atļaujas

Kad atļauju izmaiņas ir veiktas, mēs varam turpināt modificēt to direktoriju un failu atļaujas, kuriem mēs vēlamies iegūt dažādas atļaujas manuāli. Un, ja ir nepieciešams mainīt arī īpašnieku nepieciešamo lietotāju lietotājus. Tāpēc šajā brīdī gan Sysadmin, gan SW izstrādātājiem ir jāvienojas par to, kādām jābūt nepieciešamajām atļaujām katrai mapei un failam sistēmas vai vietnes struktūrā.

Linux atļaujas SW / BD: secinājums

Secinājums

Linux vai UNIX operētājsistēmas failu un mapju atļauju administrēšana ir viena no tās pašas sistēmas lielajām priekšrocībām un priekšrocībām., jo tie ļauj labāk, precīzi un droši kontrolēt dažādus piekļuves, izdošanas un izpildes līmeņus failos un mapēs.

Un daudz kas cits, runājot par tīmekļa serveru līmeni, tas ir, kur tiek mitinātas organizācijas sistēmas vai iekšējās un ārējās vietnes, tā kā augstāka prioritāte ir zināt, kādas atļaujas jāpiešķir katram direktorijam vai failam, lai panāktu vislabāko līdzsvaru starp privātumu, drošību un funkcionalitāti.


2 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   28. lappuse teica

    Labrīt! Kā tev iet?
    Es dabbling linux, man ir programma, kas var importēt failus no tā, lietotājs augšupielādē .zip, kurā ir mape ar xml failiem, pēc tam, kad tie ir izpakoti, tie ir ievietoti datu bāzē. Windows man nav problēmu, nododot lietojumprogrammu linux, man trūkst dažas atļaujas, principā, lai pārbaudītu visu, ko esmu darījis, ko viņi saka šajā rakstā, un to nevajadzētu darīt haha ​​(bet es mainīšu, tiklīdz es varu apstiprināt visas funkcijas) .
    Fakts ir tāds, ka faili ir atspiesti, bet es redzu, ka tie tiek lejupielādēti tikai ar lasīšanas un rakstīšanas atļaujām īpašniekam, lasīšanai īpašnieku grupai un bez atļaujām citiem. Kad faili pieder lietotājam, kurš izmanto lietojumprogrammu. Es saprotu, ka bez izpildes atļaujām tā nevar sekot procesa normālajai plūsmai un turpināt ievietot xml datu bāzē. Uz ko man rodas jautājums, kā es varu piešķirt atļaujas failiem, kuru man vēl nav sistēmā? Lejupielādētajā mapē (tmp) tai ir visas atļaujas, tā tiek lietota slīprakstā, taču katru reizi, kad faili tiek lejupielādēti šajā mapē, viņiem ir tikai minētās atļaujas. Vai ir kāds veids, kā failus, kas parādās šajā mapē, var atstāt arī ar izpildes atļaujām?
    Es ceru, ka man ir bijis skaidrs, liels paldies jau iepriekš un lielisks emuārs

  2.   Linux Post instalēšana teica

    Es pieņemu, ka mapei / tmp vai ... / tmp ir 755 atļaujas, taču pat tad, kad lietotājs, kuram pieder lietojumprogramma, tos deponē, atstāj viņiem citas atļaujas. Es neesmu izstrādātājs, bet pieņemu, ka lietojumprogrammas vai citas valodas valodā tam varētu norādīt rutīnu, kas izpilda nepieciešamo atļauju komandu komandu (bash) (chmod) un failu īpašnieku (chown). Pretējā gadījumā jūs varētu palaist skriptu katru minūti, kad tas darbojas.