Linux-tillatelser for systemadministratorer og utviklere

Linux Post Install

7 minutter

Linux-tillatelser for systemadministratorer og utviklere

Linux-tillatelser for systemadministratorer og utviklere

Spørsmålet om tillatelser i Linux og riktig bruk gjennom "chmod" -kommandoen er noe som ofte blir eksponert og diskutert i SL-fellesskapene. av avanserte brukere, teknikere og administratorer av servere og systemer. I bloggen vår har vi for eksempel to veldig gode publikasjoner om den, som er: Tillatelser og rettigheter i Linux (01/12) y Grunnleggende tillatelser i GNU / Linux med chmod (08).

Men mange ganger SW-utviklere hvem er de som lager applikasjoner og systemer, de fleste av dem systemer og nettsteder, Når de utvikler dem, vurderer de vanligvis ikke hvilke rettigheter som skal implementeres på demog lar oppgaven nesten alltid være på siden av serveren og systemadministratorene. I denne publikasjonen vil vi prøve å gi litt orientering om det for dem.

Linux-tillatelser for DevOps / BDA: Introduksjon

Innledning

Kommandoen "chmod»Er veldig nyttig og viktig for avansert bruk av Linux-baserte operativsystemer. Imidlertid er "chmod" ikke en frittstående pakke, men er integrert i pakken "kjerneutiler«. Pakken "coreutils" er en pakke som gir operativsystemet mange grunnleggende verktøy for filadministrasjon, kommandotolker og tekstbehandling. Og generelt er det allerede installert som standard i de fleste Linux Distros.

Spesielt inneholder denne pakken, i tillegg til kommandoen "chmod", følgende kommandoer: arch base64 basenavn katt chcon chgrp chmod chown chroot cksum komm cp csplit klipp dato dd df dir dircolors dirname du echo env utvide expr faktor falske flock fmt fold grupper hode hostid id installer join link ln logname ls md5sum mkdir mkfifo mknod mktemp mv nicec noh num od paste pathchk pinky pr printenv printf ptx pwd readlink realpath rm rmdir runcon sha * sum seq shred sleep sort split stat stty sum sync tac tail tee test timeout touch tr true trunker tsort tty uname ekspand uniq unlink user vdir wc who whoami yes.

Oppsummert tillater kommandoen «chmod» den svært viktige oppgaven med å administrere tillatelsene til filer og mapper til alle brukere som administreres av operativsystemet. Dette er fordi Linux som operativsystem er flerbruker, og derfor må det gi arbeidsmiljøet et tillatelsessystem for å kontrollere settet med autoriserte operasjoner på filer og kataloger, som inkluderer alle systemressurser og enhetene.

Innhold

Linux-tillatelser for SW / BD: Innhold 1

Brukes for SW-utviklere

En server- og systemadministrator (Sysadmin) når han bestemmer seg for hvilke tillatelser å gi en bruker av X-nivå eller profil på X-fil eller mappe, trenger å vite nøyaktig hvilken type operasjoner eller prosesser de trenger å utføre på dem. Når det gjelder en webserver, kan brukere klassifiseres i to typer:

  1. Administratorbrukere: Som har en brukerkonto på serveren for å logge på, har spesifikke rettigheter, og som generelt utfører visse endringer (kopier / slett / modifiser) i systemet eller nettstedet installert for eksempel via SSH eller SFTP.
  2. Ikke-administratorbrukere: At de ikke har en brukerkonto på serveren, siden de bare er besøkende på nettstedet og websystemet. Og derfor har de ikke tillatelse til å få tilgang til filer og mapper direkte, men samhandler heller med dem via webgrensesnittet til nettstedet eller det installerte websystemet.

Imidlertid når en Sysadmin ikke mottar nok eller tilstrekkelig informasjon, dokumentasjon eller støtte fra SW Developers om funksjonalitet, funksjonalitet eller filstruktur for nettsteder og systemer som skal installeres ender med å utføre det pålitelige maksimumet, som i dette tilfellet vanligvis er:

chmod 777 -R /var/www/sistema-web

Og mange ganger slutter det med:

chown root:root -R /var/www/sistema-web

Linux-tillatelser for SW / BD: Innhold 2

advarsel

Dette er vanligvis dårlig praksis, men det unngår vanligvis ethvert problem med tillatelse og dårlig utførelse av de installerte nettstedene og systemene. En dårlig praksis, siden kommandoen chmod 777 kjøres på denne måten i mappen og filene til et nettsted eller websystem, er det ingen sikkerhet i det hele tatt.

Gjør det mulig for enhver bruker av nettstedet eller websystemet online å endre eller slette filer i filstrukturen til nettstedet eller websystemet i webserveren eller utover, uten store hindringer. Siden det må huskes at det er webserveren som handler på vegne av de besøkende brukerne, og at den er i stand til å endre de samme filene som blir utført.

Og i tilfelle brukeren er en angriper, og får noe sårbarhet på nettstedet eller websystemet, kan han enkelt utnytte det til å ødelegge det, deaktivere det, eller enda verre, sett inn skadelig kode for å utføre phishing-angrep, eller stjele informasjon fra serveren uten at noen vet det.

Linux-tillatelser for SW / BD: Innhold 3

Anbefalinger

For å unngå denne typen tiltak, heller Sysadmin eller SW Developer må sørge for at mappene og filene til de forskjellige systemene eller nettstedene har de riktige og nødvendige tillatelsene og brukerne for å unngå fremtidige sikkerhets- og personvernproblemer.

På tillatelsesnivå kan følgende 3 kommandoer utføres for å gjenopprette tillatelsene og brukerne av et installert system eller nettsted som normalt.Det vil si, sett verdien 755 til alle kataloger og 644 til filer.

Husk alltid å utføre dem i mappen System eller Nettsted, siden hvis de kjøres i en høyere mappe (katalog), som for eksempel serverens rot, vil kommandokommandoer rekursivt endre alle serverens tillatelser, og sannsynligvis ikke fungere.

Linux-tillatelser for SW / BD: Innhold 4

Tillatelser brukt til mapper (kataloger)

eksempler

Kataloger og filtillatelser

find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;

y

chmod 777 -R .

o

chmod 777 -R /var/www/sistema-web

I tilfelle du er utenfor mappen (katalogen) til systemet eller nettstedet.

System- eller nettstedsbrukere

chown www-data:www-data -R .

o

chown www-data:www-data -R /var/www/sistema-web

I tilfelle du er utenfor mappen (katalogen) til systemet eller nettstedet. Og brukeren www-data brukes bare som et eksempel, siden den er den mest brukte eller passende for bruk av Apache2.

Linux-tillatelser for SW / BD: Innhold 5

Tillatelser brukt på filer (filer)

Når tillatelsesendringene er gjort, kan vi fortsette med å endre tillatelsene til katalogene og filene vi ønsker å ha forskjellige tillatelser manuelt. Og hvis det er nødvendig å også endre eierbrukerne av de nødvendige. Derfor, på dette punktet, må både Sysadmin og SW-utviklerne være enige om hva de nødvendige tillatelsene skal være for hver mappe og fil i system- eller nettstedsstrukturen.

Linux-tillatelser for SW / BD: Konklusjon

Konklusjon

Administrasjonen av tillatelsene til filene og mappene til Linux- eller UNIX-operativsystemene er en av de store fordelene og fordelene med det samme, siden de gir en bedre, presis og sikker kontroll av de forskjellige nivåene av tilgang, utgave og kjøring på filer og mapper.

Og mye mer, når det gjelder nivået på webservere, det vil si hvor systemene eller interne og eksterne nettsteder til en organisasjon er vert, Siden det er høyere prioritet å vite hvilke tillatelser som skal tildeles hver katalog eller fil, for å oppnå den beste balansen mellom personvern, sikkerhet og funksjonalitet.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   polg28 sa
    hace 4 år

    God morgen, hvordan har du det?
    Jeg dabler i Linux, jeg har et program som kan importere filer fra det, brukeren laster opp en .zip som inneholder en mappe med xml-filer, etter å ha pakket ut filene de er satt inn i databasen. I Windows har jeg ingen problemer. Når jeg overfører applikasjonen til Linux, mangler jeg noen tillatelser, i prinsippet for å teste alt jeg har gjort det de sier i denne artikkelen, og det skal ikke gjøres haha ​​(men jeg vil endre når jeg kan validere alle funksjonene).
    Faktum er at filene dekomprimeres, men jeg ser at de bare lastes ned med lese- og skrivetillatelser for eieren, lese for eiergruppen og uten tillatelse for andre. Når filene eies av brukeren som bruker applikasjonen. Jeg forstår at ved ikke å ha utførelsestillatelser, er det ikke i stand til å følge prosessens normale flyt og fortsette å sette inn xml i databasen. Til hvilket kommer spørsmålet mitt, hvordan kan jeg gi tillatelser til filer som jeg ikke har på systemet ennå? I mappen som lastes ned (tmp) har den alle tillatelser, de brukes på en kursiv måte, men hver gang filer lastes ned i den mappen har de bare tillatelsene som er nevnt. Er det noen måte at filene som vises i den mappen også kan ha tillatelser?
    Jeg håper jeg har vært tydelig, tusen takk på forhånd og utmerket blogg

    Svar på Polg28
  2.   Linux PostInstall sa
    hace 4 år

    Jeg antar at mappen / tmp eller… / tmp har 755 tillatelser, men allikevel når brukeren som eier applikasjonen deponerer dem, etterlater han dem med andre tillatelser. Jeg er ikke en utvikler, men jeg antar at man på applikasjonsspråket eller en annen kan indikere en rutine som utfører kommandokommandoen (bash) av de nødvendige tillatelsene (chmod) og eieren av filene (chown). Ellers kan du kjøre et skript hvert minutt det kjører.

    Svar på Linux Post Install