Линук дозволе за системске администраторе и програмере

Linux Post Install

КСНУМКС Минутос

Линук дозволе за системске администраторе и програмере

Линук дозволе за системске администраторе и програмере

Тема дозвола у Линуку и њихова исправна употреба преко команде "цхмод" је нешто што се врло често излаже ио чему се расправља у СЛ заједницама од стране напредних корисника, техничара и администратора сервера и система. На пример, у нашем Блогу имамо 2 веома добре публикације о томе, а то су: Дозволе и права у Линук-у (01/12) y Основне дозволе у ​​ГНУ/Линук-у са цхмод-ом (08/16).

Али много пута СВ Девелоперс ко су они који креирају апликације и системе, већином системе и веб странице, Када их развијају, обично не узимају у обзир које су исправне дозволе које треба применити на њих., остављајући задатак скоро увек на страни администратора сервера и система. У овој публикацији покушаћемо да им дамо мале смернице у том погледу.

Линук дозволе за ДевОпс/БДА: Увод

Увод

Команда "цхмод» је веома корисно и важно за напредну употребу оперативних система заснованих на Линуку. Међутим, као такав "цхмод" није независан пакет, већ је интегрисан у пакет "цореутилс«. Пакет „цореутилс“ је пакет који оперативном систему обезбеђује многе основне алате за управљање датотекама, тумаче команди и обраду текста. И генерално, већ је подразумевано инсталиран у већини Линук дистрибуција.

Конкретно, овај пакет садржи, поред команде „цхмод“, и следеће команде: арцх басе64 басенаме цат цхцон цхгрп цхмод цховн цхроот цксум цомм цп цсплит цут дате дд дф дир дирцолорс дирнаме ду ецхо енв екпанд екпр фактор фалсе флоцк фмт фолд групе хеад хостид ид инсталл јоин линк лн логнаме лс мдкмнмкно темпхфо уп нпроц нумфмт од пасте патхцхк пинки пр принтенв принтф птк пвд реадлинк реалпатх рм рмдир рунцон сха*сум сек схред слееп сорт сплит стат стти сум синц тац таил тее тест тимеоут тоуцх тр труе трунцате тсорт тти унаме унекпанд уник в унлинк вхо усерс.

Укратко, команда "цхмод" омогућава веома важан задатак управљања дозволама за датотеке и фасцикле свим корисницима којима управља оперативни систем. То је зато што је Линук као оперативни систем вишекориснички и стога мора да обезбеди радном окружењу систем дозвола за контролу скупа овлашћених операција над датотекама и директоријумима, што укључује све системске ресурсе и уређаје.

садржина

Дозволе за Линук за СВ/БД: Садржај 1

Користи се за СВ програмере

Администратор сервера и система (Сисадмин), када одлучује које дозволе треба да буду додељене кориснику Кс нивоа или профила на Кс датотеци или фасцикли, мора тачно да зна коју врсту операција или процеса треба да изврши на њима. У случају веб сервера, корисници се могу класификовати у 2 типа:

  1. Корисници администратора: Они имају кориснички налог на серверу за пријаву, имају одређене привилегије и обично врше одређене промене (копирају/бришу/модификују) на инсталираном систему или веб локацији користећи ССХ или СФТП, на пример.
  2. Корисници који нису администратори: Да немају кориснички налог на серверу, пошто су само посетиоци Веб сајта и Веб система. Стога, они немају дозволе за директан приступ датотекама и фасциклама, већ су у интеракцији са њима, преко веб интерфејса инсталиране веб локације или система.

Међутим, када сисадмин не добије довољно или адекватно информације, документацију или подршку СВ програмера о могућностима, функционалностима или структури датотека веб локација и веб система који ће бити инсталирани завршава извршавањем поуздане максиме, која је у овом случају обично:

chmod 777 -R /var/www/sistema-web

И много пута се завршава са:

chown root:root -R /var/www/sistema-web

Дозволе за Линук за СВ/БД: Садржај 2

Упозорење

Ово је обично лоша пракса, али обично спречава сваки проблем са дозволама и лоше извршавање инсталираних веб локација и система из корена. Лоша пракса, пошто када се команда цхмод 777 на овај начин изврши на фасцикли и датотекама веб локације или веб система, нема никакве безбедности у вези са тим.

Омогућавање било ком кориснику интернет странице или веб система да промени или избрише било коју датотеку унутар структуре датотека сајта или веб система унутар веб сервера или изван њега, без даљих препрека. Пошто се мора имати на уму да је веб сервер тај који делује у име корисника који посећују, и да је способан да мења исте датотеке које се извршавају.

А у случају да је корисник нападач и добије рањивост на веб локацији или веб систему, могао би је лако искористити да би је унаказио, онемогућио, или још горе, убаците злонамерни код да бисте извршили пхисхинг нападе или украли информације са сервера а да нико не може лако да сазна.

Дозволе за Линук за СВ/БД: Садржај 3

Препоруке

Да бисте избегли ове врсте мера, било Сисадмин или СВ Девелопер морају осигурати да фасцикле и датотеке различитих система или веб локација имају исправне и неопходне дозволе и кориснике. да бисте избегли будуће проблеме са безбедношћу и приватношћу.

На нивоу дозвола, следеће 3 наредбе команде се могу извршити да би се дозволе и корисници инсталираног система или веб локације вратили у нормалу., односно подесите вредност 755 за све директоријуме и 644 за датотеке.

Увек не заборавите да их извршите у фасцикли Систем или Веб локација, пошто ако се извршавају у вишем директоријуму (директоријуму), као што је корен сервера, наредбе команди ће рекурзивно модификовати све дозволе Сервера, највероватније га остављајући неоперативним.

Дозволе за Линук за СВ/БД: Садржај 4

Дозволе примењене на директоријуме (директорије)

Примери

Дозволе за директоријум и датотеке

find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;

y

chmod 777 -R .

o

chmod 777 -R /var/www/sistema-web

У случају да се налази изван фасцикле (директоријума) система или веб локације.

Корисници система или веб странице

chown www-data:www-data -R .

o

chown www-data:www-data -R /var/www/sistema-web

У случају да се налази изван фасцикле (директоријума) система или веб локације. А кориснички ввв-дата се користи само као пример, пошто је најкоришћенији и најприкладнији када је у питању употреба Апацхе2.

Дозволе за Линук за СВ/БД: Садржај 5

Дозволе примењене на датотеке (Фицхерос)

Када се промене дозволе изврше, можете наставити да ручно мењате дозволе директоријума и датотека за које желимо да имамо различите дозволе. А ако је потребно, промените и власнике корисника потребних. Стога, у овом тренутку, и Сисадмин и СВ Девелопери морају да се договоре о томе које дозволе треба да буду за сваку фасциклу и датотеку у структури система или веб локације.

Линук дозволе за СВ/БД: Закључак

Закључак

Администрација дозвола за датотеке и фасцикле оперативних система Линук или УНИКС је једна од њихових великих предности и предности., јер омогућавају бољу, прецизну и безбедну контролу различитих нивоа приступа, уређивања и извршавања датотека и фасцикли.

И много више, када је у питању ниво веб сервера, односно где се хостују интерни и екстерни системи или веб странице организације, пошто је већи приоритет знати које дозволе треба доделити сваком директоријуму или датотеци, како би се постигао најбољи баланс између приватности, безбедности и функционалности.


Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   Полг28 дијо
    чини КСНУМКС година

    Добро јутро како сте?
    Бавим се Линуксом, имам апликацију која може да увози фајлове из ње, корисник поставља .зип који садржи фасциклу са кмл фајловима, након декомпресије фајлова се убацују у базу података. У Виндовс-у немам проблема, приликом преноса апликације на Линукс недостајале би ми неке дозволе, у принципу да тестирам све што сам урадио оно што је добро поменуто у овом чланку и не би требало да се ради хаха (али променићу када могу да потврдим све функционалности).
    Чињеница је да су фајлови декомпримовани али видим да се преузимају само са дозволама за читање и писање за власника, читање за групу власника и без дозвола за друге. Када је власник датотека корисник који користи апликацију. Разумем да немате дозволе за извршавање не можете да пратите нормалан ток процеса и да наставите да убаците кмл у базу података. Дакле, долази моје питање, како могу да дам дозволе датотекама које још увек немам на систему? Фасцикла која се преузима (тмп) има све дозволе, оне се примењују рекурзивно, али сваки пут када се датотеке преузму унутар тог фолдера имају само поменуте дозволе. Да ли постоји начин да датотеке које се појављују у тој фасцикли такође могу имати дозволе за извршавање?
    Надам се да сам био јасан, хвала пуно и одличан блог

    Одговори Полг28
  2.   Линук Пост Инсталл дијо
    чини КСНУМКС година

    Претпостављам да директоријум /тмп или .../тмп има 755 дозвола, али чак и тако, када их корисник који је власник апликације депонује, оставља их са другим дозволама. Нисам програмер, али претпостављам да би на језику апликације или неком другом неко могао да јој укаже на рутину која извршава наредбу команде (басх) потребних дозвола (цхмод) и власника датотека (цховн). У супротном, можете покренути скрипту сваког минута која их извршава.

    Одговорите на Линук Пост Инсталл