Uprawnienia systemu Linux dla administratorów systemu i programistów

Kwestia uprawnień w Linuksie i ich poprawnego używania za pomocą polecenia „chmod” jest bardzo często ujawniana i dyskutowana w społecznościach SL. przez zaawansowanych użytkowników, techników i administratorów serwerów i systemów. Na przykład na naszym Blogu mamy 2 bardzo dobre publikacje na ten temat, którymi są: Uprawnienia i prawa w systemie Linux (01/12) y Podstawowe uprawnienia w systemie GNU / Linux z chmod (08/16).

Ale wiele razy Deweloperzy oprogramowania kim są twórcy Aplikacji i Systemów, w większości Systemy i Strony internetowe, opracowując je, zwykle nie biorą pod uwagę, jakie są prawidłowe uprawnienia do zaimplementowania na nichpozostawiając zadanie prawie zawsze po stronie serwera i administratorów systemu. W tej publikacji postaramy się dać im małą orientację.

Wprowadzenie

Komenda "chmod»Jest bardzo przydatny i ważny przy zaawansowanym korzystaniu z systemów operacyjnych opartych na systemie Linux. Jednak jako taki „chmod” nie jest pakietem samodzielnym, ale jest zintegrowany z pakietem ”rdzeńutils«. Pakiet „coreutils” to pakiet zapewniający systemowi operacyjnemu wiele podstawowych narzędzi do zarządzania plikami, interpreterów poleceń i przetwarzania tekstu. Ogólnie rzecz biorąc, jest już domyślnie zainstalowany w większości dystrybucji Linuksa.

W szczególności ten pakiet zawiera, oprócz polecenia „chmod”, następujące polecenia: arch base64 basename cat chcon chgrp chmod chown chroot cksum comm cp csplit data wycięcia dd df dir dircolors dirname du echo env rozwiń współczynnik expr false flock fmt zwiń grupy głowa identyfikator hosta instalacja łącze link ln nazwa dziennika ls md5sum mkdir mkfifo mknod mktemp no mv numer nicec nom od wklej pathchk pinky pr printenv printf ptx pwd readlink realpath rm rmdir runcon sha * sum seq shred sleep sort split stat stty sum sync tac tail tee test timeout touch tr true truncate tsort tty uname nieporozumienie i uniq odłącz użytkowników vdir wc who whoami tak.

Podsumowując, polecenie „chmod” pozwala na bardzo ważne zadanie zarządzania uprawnieniami do plików i folderów dla wszystkich użytkowników zarządzanych przez system operacyjny. Dzieje się tak, ponieważ Linux jako system operacyjny jest przeznaczony dla wielu użytkowników, a zatem musi zapewnić środowisku pracy system uprawnień, aby kontrolować zestaw autoryzowanych operacji na plikach i katalogach, który obejmuje wszystkie zasoby systemowe i urządzenia.

zawartość

Użyj dla programistów SW

Administrator serwerów i systemów (Sysadmin) decydując, jakie uprawnienia przyznać użytkownikowi poziomu X lub profilu do pliku lub folderu X, musi dokładnie wiedzieć, jakiego typu operacje lub procesy musi na nich wykonać. W przypadku serwera WWW Użytkowników można podzielić na 2 typy:

1. Administratorzy: Którzy mają konto użytkownika na serwerze do logowania, mają określone uprawnienia i zazwyczaj dokonują pewnych zmian (kopiuj / usuwaj / modyfikuj) w Systemie lub Stronie internetowej zainstalowanej na przykład za pośrednictwem SSH lub SFTP.
2. Użytkownicy niebędący administratorami: Że nie mają konta użytkownika na serwerze, ponieważ są tylko gośćmi na Stronie i systemie sieciowym. Dlatego nie mają uprawnień do bezpośredniego dostępu do plików i folderów, ale raczej wchodzą w interakcję z nimi za pośrednictwem interfejsu internetowego Witryny lub zainstalowanego systemu internetowego.

Jednak gdy administrator systemu nie otrzyma wystarczającej lub wystarczającej liczby informacje, dokumentacja lub wsparcie ze strony programistów SW w zakresie możliwości, funkcjonalności lub struktury plików witryn internetowych i systemów do zainstalowania kończy się wykonaniem niezawodnego maksimum, którym w tym przypadku jest zwykle:

chmod 777 -R /var/www/sistema-web

I wiele razy kończy się na:

chown root:root -R /var/www/sistema-web

ostrzeżenie

Zwykle jest to zła praktyka, ale zwykle pozwala uniknąć problemów z uprawnieniami i złym wykonaniem zainstalowanych witryn internetowych i systemów. Zła praktyka, ponieważ gdy polecenie chmod 777 jest wykonywane w ten sposób na folderze i plikach witryny lub systemu internetowego, nie ma w tym żadnego bezpieczeństwa.

Umożliwienie każdemu użytkownikowi Witryny lub systemu internetowego w trybie online zmiany lub usunięcia dowolnego pliku w strukturze plików Witryny lub systemu internetowego na serwerze internetowym lub poza nim, bez większych przeszkód. Należy bowiem pamiętać, że to serwer WWW działa w imieniu odwiedzających i jest w stanie zmieniać te same pliki, które są wykonywane.

W przypadku, gdy użytkownik jest atakującym i dostanie lukę w witrynie lub systemie sieciowym, może łatwo wykorzystać ją, aby ją zniszczyć, wyłączyćlub co gorsza, wstaw złośliwy kod, aby przeprowadzić ataki phishingowe lub wykraść informacje z serwera bez wiedzy nikogo.

Zalecenia

Aby uniknąć tego typu środków Administrator systemu lub programista oprogramowania musi zapewnić, że foldery i pliki różnych systemów lub witryn internetowych mają prawidłowe i niezbędne uprawnienia, a użytkownicy aby uniknąć przyszłych problemów z bezpieczeństwem i prywatnością.

Na poziomie uprawnień można wykonać następujące 3 polecenia, aby przywrócić uprawnienia i użytkowników zainstalowanego systemu lub strony internetowej do normalnego stanu.Oznacza to, że ustaw wartość 755 dla wszystkich katalogów i 644 dla plików.

Zawsze pamiętając o ich wykonywaniu w ramach Systemu lub folderu Serwisu, ponieważ jeśli są wykonywane w wyższym folderze (katalogu), takim jak na przykład katalog główny serwera, polecenia poleceń będą rekurencyjnie modyfikować wszystkie uprawnienia serwera, pozostawiając go najprawdopodobniej niedziałający.

Przykłady

Uprawnienia do katalogów i plików

find . -type d -exec chmod 755 {} \;

find . -type f -exec chmod 644 {} \;

y

chmod 777 -R .

o

chmod 777 -R /var/www/sistema-web

W przypadku przebywania poza folderem (katalogiem) Systemu lub Serwisu.

Użytkownicy Systemu lub Serwisu

chown www-data:www-data -R .

o

chown www-data:www-data -R /var/www/sistema-web

W przypadku przebywania poza folderem (katalogiem) Systemu lub Serwisu. Dane użytkownika www są używane tylko jako przykład, ponieważ są najczęściej używane lub odpowiednie, jeśli chodzi o użycie Apache2.

Po wprowadzeniu zmian w uprawnieniach możemy przystąpić do ręcznej modyfikacji uprawnień katalogów i plików, które chcemy mieć różne uprawnienia. A jeśli konieczna jest również zmiana właściciela, użytkowników niezbędnych. Dlatego w tym momencie zarówno administrator systemu, jak i programiści SW muszą uzgodnić, jakie niezbędne uprawnienia powinny mieć każdy folder i plik w strukturze systemu lub witryny internetowej.

Wnioski

Administrowanie uprawnieniami do plików i folderów systemów operacyjnych Linux lub UNIX jest jedną z największych zalet i korzyści tego samego, ponieważ umożliwiają lepszą, precyzyjną i bezpieczną kontrolę różnych poziomów dostępu, edycji i wykonywania plików i folderów.

I wiele więcej, jeśli chodzi o poziom serwerów WWW, to znaczy tam, gdzie hostowane są Systemy lub wewnętrzne i zewnętrzne strony internetowe organizacji, ponieważ wyższy priorytet ma wiedzieć, jakie uprawnienia należy przypisać do każdego katalogu lub pliku, aby uzyskać najlepszą równowagę między prywatnością, bezpieczeństwem i funkcjonalnością.