Lejet Linux për Administratorët e Sistemit dhe Zhvilluesit
Çështja e lejeve në Linux dhe përdorimi i tij i saktë përmes komandës "chmod" është diçka që ekspozohet dhe diskutohet shumë shpesh në Komunitetet SL. nga Përdoruesit e Avancuar, Teknikët dhe Administratorët e serverave dhe sistemeve. Për shembull në Blog-un tonë kemi 2 botime shumë të mira në lidhje me të, të cilat janë: Lejet dhe të Drejtat në Linux (01/12) y Lejet themelore në GNU / Linux me chmod (08/16).
Por shumë herë Zhvilluesit SW kush janë ata që krijojnë Aplikime dhe Sisteme, shumica e tyre Sisteme dhe Uebsajt, gjatë zhvillimit të tyre, ata zakonisht nuk marrin në konsideratë se cilat janë lejet e duhura për t'u zbatuar mbi to, duke e lënë detyrën pothuajse gjithmonë në anën e Serverëve dhe Administratorëve të Sistemit. Në këtë botim do të përpiqemi të japim pak udhëzime në lidhje me to.
paraqitje
Komanda "chmod»Shtë shumë i dobishëm dhe i rëndësishëm për përdorim të përparuar të Sistemeve Operative të bazuara në Linux. Sidoqoftë, si i tillë "chmod" nuk është një paketë e pavarur, por është e integruar në paketë "thelbësore« Paketa "coreutils" është një paketë që i ofron Sistemit Operativ me shumë mjete themelore për menaxhimin e skedarëve, interpretuesit e komandave dhe përpunimin e tekstit. Dhe në përgjithësi, ajo është instaluar tashmë si parazgjedhje në shumicën e Distros Linux.
Konkretisht, kjo paketë përmban, përveç komandës "chmod", komandat e mëposhtme: arch base64 basename cat chcon chgrp chmod chown chroot cksum comm cp csplit data e prerjes dd df dir dircolors dirname du echo env zgjero faktorin expr tufë false fmt dele grupe kokë hostid id instalo bashko lidhjen ln logname ls md5sum mkdir mkfifo mknod mktemp mv nicm mv mnm numm od paste pathchk pinky printenv printf ptx pwd readlink realpath rm rmdir runcon sha * shuma seq copë gjumi lloj ndarje stat stty sum sync tac bisht test tee timeout prekje tr cung i vërtetë tsort tty uname unexpand uniq shkëput përdoruesit vdir wc kush whoami po.
Në përmbledhje, komanda «chmod» lejon detyrën shumë të rëndësishme të menaxhimit të lejeve në skedarë dhe dosje për të gjithë përdoruesit e menaxhuar nga Sistemi Operativ. Kjo është për shkak se Linux si një sistem operativ është shumë përdorues, dhe për këtë arsye, ai ka nevojë për të siguruar mjedisin e punës me një sistem leje për të kontrolluar një sërë operacionesh të autorizuara në skedarë dhe direktori, i cili përfshin të gjitha burimet e sistemit dhe pajisjet.
përmbajtje
Përdorni për Zhvilluesit SW
Një Administrator Server dhe Sistemesh (Sysadmin) kur vendos se cilat leje për të dhënë një Përdorues ose profil të nivelit X në skedar ose dosje X, duhet të dijë saktësisht se çfarë lloji të operacioneve ose proceseve duhet të kryejnë në to. Në rastin e një Web Server, Përdoruesit mund të klasifikohen në 2 lloje:
- Përdoruesit e administratorit: Të cilët kanë një llogari përdoruesi në server për t'u identifikuar, kanë privilegje specifike dhe që zakonisht kryejnë ndryshime të caktuara (kopjoni / fshini / modifikoni) në Sistemin ose Uebfaqen e instaluar përmes SSH ose SFTP, për shembull.
- Përdoruesit jo administratorë: Se ata nuk kanë një llogari përdoruesi në server, pasi që ata janë vetëm vizitorë të sitit dhe sistemit të uebit. Dhe për këtë arsye, ata nuk kanë leje për të hyrë në skedarë dhe dosje direkt, por përkundrazi bashkëveprojnë me ta, përmes ndërfaqes së faqes në internet ose sistemit të instaluar të uebit.
Sidoqoftë, kur një Sysadmin nuk merr mjaftueshëm ose adekuat informacion, dokumentacion, ose mbështetje nga Zhvilluesit SW mbi aftësitë, funksionalitetet ose strukturën e skedarëve të Web Sites dhe Systems që do të instalohen përfundon duke ekzekutuar maksimumin e besueshëm, i cili në këtë rast zakonisht është:
chmod 777 -R /var/www/sistema-webDhe shumë herë përfundon me:
chown root:root -R /var/www/sistema-web
Paralajmërim
Kjo është zakonisht një praktikë e keqe, por zakonisht shmang çdo problem të lejes dhe ekzekutimit të keq të faqeve dhe sistemeve të instaluara. Një praktikë e keqe, pasi që kur komanda chmod 777 ekzekutohet në këtë mënyrë në dosjen dhe skedarët e një siti ose sistemi në internet, nuk ka aspak siguri në lidhje me të.
Duke bërë të mundur që çdo përdorues i Faqes ose Sistemit të Internetit të ndryshojë ose fshijë ndonjë skedar brenda strukturës së skedarit të Faqes ose Sistemit të Uebit brenda Web Server ose më gjerë, pa pengesa të mëdha. Meqenëse duhet të mbahet mend se është Web Server që vepron në emër të përdoruesve që vizitojnë, dhe se është i aftë të ndryshojë të njëjtat skedarë që ekzekutohen.
Dhe në rast se përdoruesi është një sulmues dhe merr ndonjë dobësi në sitin ose sistemin e uebit, ai lehtë mund ta shfrytëzojë atë për ta zhvlerësuar, për ta çaktivizuar, ose më keq akoma, futni kod të dëmshëm për të ekzekutuar sulme phishing, ose vjedhni informacione nga serveri pa e ditur askush me lehtësi.
Rekomandime
Për të shmangur këto lloj masash, ose Sysadmin ose Zhvilluesi SW, duhet të sigurojnë që dosjet dhe skedarët e Sistemeve ose Uebfaqeve të ndryshme mbajnë lejet dhe përdoruesit e duhur dhe të duhur. për të shmangur çështjet e sigurisë dhe privatësisë në të ardhmen.
Në nivelin e lejes, 3 komandat e mëposhtme mund të kryhen për të rivendosur në normalitetin e lejeve dhe përdoruesve të një Sistemi ose Uebfaqeje të instaluar., domethënë, vendosni një vlerë prej 755 për të gjithë direktoritë dhe 644 për skedarët.
Gjithmonë mbani mend t'i ekzekutoni ato brenda dosjes System ose Website, pasi që nëse ekzekutohen në një dosje (direktori) më të lartë, siç është, për shembull, rrënja e serverit, komandat e komandave do të modifikojnë në mënyrë rekursive të gjitha lejet e serverit, duke e lënë atë jo funksionuese.
Lejet e aplikuara për Dosjet (Drejtoritë)
Ejemplos
Lejet e drejtorive dhe skedarëve
find . -type d -exec chmod 755 {} \;find . -type f -exec chmod 644 {} \;y
chmod 777 -R .o
chmod 777 -R /var/www/sistema-webNë rast të të qenurit jashtë dosjes (direktorisë) së Sistemit ose Uebfaqes.
Përdoruesit e sistemit ose faqes së internetit
chown www-data:www-data -R .o
chown www-data:www-data -R /var/www/sistema-webNë rast të të qenurit jashtë dosjes (direktorisë) së Sistemit ose Uebfaqes. Dhe përdoruesit e të dhënave www përdoren vetëm si shembull, pasi ato janë më të përdorurat ose më të përshtatshmet për sa i përket përdorimit të Apache2.
Lejet e aplikuara për Skedarët (Skedarët)
Pasi të jenë bërë ndryshimet e lejeve, ne mund të vazhdojmë të modifikojmë lejet e drejtorive dhe skedarëve që duam të kemi leje të ndryshme manualisht. Dhe nëse është e nevojshme të ndryshohen edhe përdoruesit e përdoruesve të atyre të nevojshëm. Prandaj, në këtë pikë, të dy Sysadmin dhe Zhvilluesit SW duhet të bien dakord se cilat duhet të jenë lejet e nevojshme për secilën dosje dhe skedar në sistemin ose strukturën e faqes në internet.
Përfundim
Administrimi i lejeve në skedarët dhe dosjet e sistemeve operative Linux ose UNIX, është një nga avantazhet dhe përfitimet e mëdha të së njëjtës, pasi ato lejojnë një kontroll më të mirë, të saktë dhe të sigurt të niveleve të ndryshme të hyrjes, botimit dhe ekzekutimit në skedarë dhe dosje.
Dhe shumë më tepër, kur bëhet fjalë për nivelin e serverave të internetit, d.m.th., ku sistemohen sistemet ose faqet e internetit të brendshme dhe të jashtme të një organizate, pasi që është një përparësi më e lartë të dihet se cilat leje duhet t'i caktohen secilit direktori ose skedar, për të arritur ekuilibrin më të mirë midis privatësisë, sigurisë dhe funksionalitetit.
Mirëmëngjesi, si jeni?
Unë jam duke u zhytur në linux, kam një aplikacion që mund të importojë skedarë prej tij, përdoruesi ngarkon një .zip që përmban një dosje me skedarë xml, pasi të hapë skedarët që futen në bazën e të dhënave. Në dritare nuk kam probleme, kur kaloj aplikacionin në linux do të më mungonin disa leje, në parim për të provuar gjithçka kam bërë atë që thonë në këtë artikull dhe nuk duhet të bëhet haha (por unë do të ndryshoj sapo të mund të vërtetojë të gjitha funksionet).
Fakti është që skedarët janë të dekompresuar, por unë shoh që ato shkarkohen vetëm me leje leximi dhe shkrimi për pronarin, lexohen për grupin e pronarit dhe pa leje për të tjerët. Kur skedarët janë në pronësi të përdoruesit që përdor aplikacionin. Unë e kuptoj që duke mos pasur lejet e ekzekutimit, nuk është në gjendje të ndjekë rrjedhën normale të procesit dhe të vazhdojë të fusë xml në bazën e të dhënave. Për të cilën vjen pyetja ime, si mund t'u jap leje skedarëve që nuk i kam akoma në sistem? Në dosjen që shkarkohet (tmp) ajo ka të gjitha lejet, ato zbatohen në një mënyrë të pjerrët, por sa herë që skedarët shkarkohen brenda kësaj dosje, ato kanë vetëm lejet e përmendura. A ka ndonjë mënyrë që skedarët që shfaqen në atë dosje të lihen me leje ekzekutimi gjithashtu?
Shpresoj të jem i qartë, faleminderit shumë paraprakisht dhe një blog i shkëlqyeshëm
Supozoj se dosja / tmp ose… / tmp ka 755 leje por edhe kështu kur përdoruesi që zotëron aplikacionin i depoziton ato, ai i lë ato me leje të tjera. Unë nuk jam një zhvillues, por supozoj se në gjuhën e aplikacionit ose një tjetër mund t'i tregojë asaj një rutinë që ekzekuton komandën komanduese (bash) të lejeve të nevojshme (chmod) dhe pronarin e skedarëve (chown). Përndryshe, mund të ekzekutoni një skenar çdo minutë kur ekzekutohet.