Povolenia pre systém Linux pre správcov a vývojárov systému Linux

Linux Post Install

7 minút

Povolenia pre systém Linux pre správcov a vývojárov systému Linux

Povolenia pre systém Linux pre správcov a vývojárov systému Linux

Otázka povolení v systéme Linux a jeho správne použitie pomocou príkazu „chmod“ je v komunitách SL často diskutovaná a diskutovaná. od pokročilých používateľov, technikov a správcov serverov a systémov. Napríklad v našom blogu máme k dispozícii dve veľmi dobré publikácie, ktoré sú: Povolenia a práva v systéme Linux (01. 12.) y Základné povolenia v GNU / Linux s chmod (08/16).

Ale mnohokrát Vývojári SW kto sú tí, ktorí vytvárajú aplikácie a systémy, väčšinou systémy a webové stránky, Pri ich vývoji zvyčajne nezohľadňujú, ktoré správne povolenia majú byť na nich implementované, takže úlohu ponecháva takmer vždy na strane administrátorov servera a systému. V tejto publikácii sa pokúsime pre nich v tejto súvislosti trochu usmerniť.

Povolenia pre Linux pre DevOps / BDA: Úvod

Úvod

Príkaz „chmod»Je veľmi užitočný a dôležitý pre pokročilé používanie operačných systémov založených na systéme Linux. „Chmod“ však nie je samostatný balík, ale je integrovaný do balíka. “coreutils«. Balík „coreutils“ je balík, ktorý poskytuje operačnému systému mnoho základných nástrojov na správu súborov, interpretov príkazov a spracovanie textu. Všeobecne je vo väčšine Linux Distros už predvolene nainštalovaný.

Tento balík konkrétne obsahuje okrem príkazu „chmod“ aj nasledujúce príkazy: arch base64 basename cat chcon chgrp chmod chown chroot cksum comm cp csplit cut date dd df dir dircolors dirname du echo env expand expr factor false flock fmt fold groups head hostid id install join link ln logname ls md5sum mkdir mkfifo mknod mktemp mvnm mkemp od paste pathchk pinky pr printenv printf ptx pwd readlink realpath rm rmdir runcon sha * sum seq skart spať triediť rozdeliť stat stty sum synchronizovať tac chvost tričko test timeout dotyk tr true skrátiť tsort tty uname nerozbaliť uniq zrušiť prepojenie používateľov vdir wc kto whoami áno.

Stručne povedané, príkaz «chmod» umožňuje veľmi dôležitú úlohu správy povolení pre súbory a priečinky všetkým používateľom spravovaným operačným systémom. Je to preto, lebo Linux ako operačný systém je určený pre viacerých používateľov, a preto musí pracovnému prostrediu poskytovať systém povolení na kontrolu množiny autorizovaných operácií so súbormi a adresármi, ktorá obsahuje všetky systémové prostriedky a zariadenia.

obsah

Povolenia systému Linux pre SW / BD: obsah 1

Používa sa pre vývojárov softvéru

Správca serverov a systémov (Sysadmin) pri rozhodovaní o tom, aké oprávnenia udeliť používateľovi úrovne X alebo profilu v súbore alebo priečinku X, musí presne vedieť, aký typ operácií alebo procesov na nich musí vykonať. V prípade webového servera možno používateľov rozdeliť do dvoch typov:

  1. Správcovia: Kto má na serveri používateľský účet na prihlásenie, má konkrétne privilégiá a kto všeobecne vykonáva určité zmeny (kopírovanie / mazanie / úpravy) v systéme alebo na webových stránkach nainštalovaných napríklad cez SSH alebo SFTP.
  2. Používatelia bez oprávnenia správcu: Že na serveri nemajú používateľský účet, pretože sú iba návštevníkmi stránok a webového systému. Preto nemajú oprávnenie na priamy prístup k súborom a priečinkom, ale radšej s nimi interagujú prostredníctvom webového rozhrania webu alebo nainštalovaného webového systému.

Keď však Sysadmin nedostane dostatok alebo dostatočné množstvo informácie, dokumentácia alebo podpora vývojárov softvéru o možnostiach, funkčnostiach alebo štruktúre súborov webov a systémov, ktoré sa majú nainštalovať nakoniec vykoná spoľahlivé maximum, ktoré je v tomto prípade zvyčajne:

chmod 777 -R /var/www/sistema-web

A mnohokrát to končí:

chown root:root -R /var/www/sistema-web

Povolenia systému Linux pre SW / BD: obsah 2

Upozornenie

Toto je zvyčajne zlý postup, ale spravidla sa vyhnete problémom s povolením a nesprávnym vykonaním nainštalovaných webových stránok a systémov. Zlý postup, pretože keď sa príkaz chmod 777 vykoná týmto spôsobom v priečinku a súboroch servera alebo webového systému, nie je o ňom vôbec žiadna bezpečnosť.

Umožnenie tomu, aby ktorýkoľvek používateľ stránky alebo webového systému online mohol bez väčších prekážok meniť alebo mazať akýkoľvek súbor v štruktúre súborov webu alebo webového systému na webovom serveri alebo mimo neho. Pretože je treba pamätať na to, že je to webový server, ktorý koná v mene hosťujúcich používateľov a že je schopný meniť tie isté vykonávané súbory.

A v prípade, že je používateľ útočníkom a získa určitú zraniteľnosť na webe alebo vo webovom systéme, mohol by ho ľahko zneužiť na zneškodnenie a deaktiváciu.alebo ešte horšie, vložte škodlivý kód na vykonanie phishingových útokov alebo ukradnite informácie zo servera bez toho, aby o tom niekto ľahko vedel.

Povolenia systému Linux pre SW / BD: obsah 3

Odporúčanie

Aby sa zabránilo týmto typom opatrení, buď Sysadmin alebo vývojár SW musí zabezpečiť, aby priečinky a súbory rôznych systémov alebo webových stránok mali správne a potrebné povolenia a používateľov vyhnúť sa budúcim problémom s bezpečnosťou a ochranou súkromia.

Na úrovni povolení je možné vykonať nasledujúce 3 príkazy, aby sa povolenia a používatelia nainštalovaného systému alebo webových stránok dostali do normálu.Inými slovami, nastavte hodnotu 755 na všetky adresáre a 644 na súbory.

Vždy ich nezabudnite spustiť v priečinku Systém alebo Web, pretože ak sú vykonávané vo vyššom priečinku (adresári), ako je napríklad koreň servera, príkazové príkazy rekurzívne upravia všetky oprávnenia servera a ponechajú ho s najväčšou pravdepodobnosťou nefunkčné.

Povolenia systému Linux pre SW / BD: obsah 4

Povolenia použité pre priečinky (adresáre)

Príklady

Povolenia pre adresáre a súbory

find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;

y

chmod 777 -R .

o

chmod 777 -R /var/www/sistema-web

V prípade, že sa nachádzate mimo priečinok (adresár) systému alebo webovej stránky.

Používatelia systému alebo webových stránok

chown www-data:www-data -R .

o

chown www-data:www-data -R /var/www/sistema-web

V prípade, že sa nachádzate mimo priečinok (adresár) systému alebo webovej stránky. A užívateľské dáta www sú použité iba ako príklad, pretože sú najpoužívanejšie alebo najvhodnejšie, čo sa týka používania Apache2.

Povolenia systému Linux pre SW / BD: obsah 5

Povolenia použité pre súbory (súbory)

Po vykonaní zmien povolení môžeme pokračovať v manuálnej úprave povolení adresárov a súborov, ktoré chceme mať rôzne.. A v prípade potreby je potrebné zmeniť aj vlastníka používateľov potrebných. Preto sa v tomto okamihu musia Sysadmin aj SW vývojári dohodnúť na tom, aké potrebné povolenia by mali byť pre každý priečinok a súbor v štruktúre systému alebo webových stránok.

Povolenia pre Linux pre SW / BD: Záver

Záver

Správa povolení pre súbory a priečinky operačných systémov Linux alebo UNIX je jednou z veľkých výhod a výhod toho istého., pretože umožňujú lepšiu, presnejšiu a bezpečnejšiu kontrolu rôznych úrovní prístupu, vydávania a vykonávania súborov a priečinkov.

A ešte oveľa viac, pokiaľ ide o úroveň webových serverov, tj. Kde sú hostované systémy alebo interné a externé webové stránky organizácie, Pretože je najvyššou prioritou vedieť, aké povolenia by sa mali priradiť každému adresáru alebo súboru, aby sa dosiahla najlepšia rovnováha medzi súkromím, bezpečnosťou a funkčnosťou.


Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Zodpovedný za údaje: Miguel Ángel Gatón
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.

  1.   polg28 dijo
    hace 4 rokov

    Dobré ráno ako sa máš?
    Dabujem v linuxe, mám aplikáciu, ktorá z neho dokáže importovať súbory, užívateľ nahrá .zip obsahujúci priečinok s xml súbormi, po rozbalení súborov sa vloží do databázy. V systéme Windows nemám problémy, pri prechode aplikácie na linux by mi chýbali nejaké oprávnenia, v zásade otestovať všetko, čo som urobil, čo hovoria, čo hovoria v tomto článku a nemalo by sa to robiť haha ​​(ale ja sa raz zmením dokáže overiť všetky funkcie).
    Faktom je, že súbory sú dekomprimované, ale vidím, že sa sťahujú iba s povolením na čítanie a zápis pre vlastníka, na čítanie pre skupinu vlastníkov a bez povolení pre ostatných. Keď súbory vlastní používateľ, ktorý používa aplikáciu. Rozumiem, že tým, že nemám oprávnenie na vykonávanie, nie je schopný sledovať normálny priebeh procesu a pokračovať v vkladaní XML do databázy. Na čo prichádza moja otázka, ako môžem udeliť povolenie súborom, ktoré v systéme ešte nemám? V priečinku, ktorý je stiahnutý (tmp), má všetky oprávnenia, použite ich kurzívou, ale zakaždým, keď sa súbory sťahujú v tomto priečinku, majú iba uvedené oprávnenia. Existuje nejaký spôsob, že súbory, ktoré sa zobrazia v tomto priečinku, môžu byť ponechané aj na vykonávanie povolení?
    Dúfam, že som mal jasno, vopred veľmi pekne ďakujem a vynikajúci blog

    Odpovedať Polg28
  2.   Inštalácia systému Linux Post dijo
    hace 4 rokov

    Predpokladám, že priečinok / tmp alebo… / tmp má oprávnenie 755, ale aj napriek tomu, keď ich používateľ, ktorý aplikáciu vlastní, ich uloží, ponechá im ďalšie povolenia. Nie som vývojár, ale predpokladám, že v jazyku aplikácie alebo iného by to mohlo naznačovať rutinu, ktorá vykonáva príkazový príkaz (bash) potrebných povolení (chmod) a vlastník súborov (chown). Inak by ste mohli spustiť skript každú minútu, keď sa spustí.

    Odpovedzte na Linux Post Install