Quyền của Linux dành cho quản trị viên và nhà phát triển hệ thống

Linux Post InstallĐã cập nhật vào

2 Comments

Quyền của Linux dành cho quản trị viên và nhà phát triển hệ thống

Quyền của Linux dành cho quản trị viên và nhà phát triển hệ thống

Vấn đề về quyền trong Linux và việc sử dụng nó đúng cách thông qua lệnh "chmod" là điều rất thường được phơi bày và thảo luận trong Cộng đồng SL. bởi Người dùng nâng cao, Kỹ thuật viên và Quản trị viên của Máy chủ và Hệ thống. Ví dụ trong Blog của chúng tôi, chúng tôi có 2 ấn phẩm rất hay về nó, đó là: Quyền và Quyền trong Linux (01/12) y Các quyền cơ bản trong GNU / Linux với chmod (08/16).

Nhưng nhiều khi Nhà phát triển SW ai là những người tạo ra các Ứng dụng và Hệ thống, hầu hết trong số đó là Hệ thống và Trang web, Khi phát triển chúng, họ thường không xem xét đâu là quyền chính xác được triển khai trên chúng, để lại nhiệm vụ hầu như luôn ở phía Quản trị viên máy chủ và hệ thống. Trong ấn phẩm này, chúng tôi sẽ cố gắng đưa ra một chút định hướng về nó cho họ.

Quyền của Linux cho DevOps / BDA: Giới thiệu

Giới thiệu

Lệnh "chmod»Rất hữu ích và quan trọng để sử dụng nâng cao Hệ điều hành dựa trên Linux. Tuy nhiên, vì "chmod" không phải là một gói độc lập, mà được tích hợp vào gói "lõi«. Gói "coreutils" là một gói cung cấp cho Hệ điều hành nhiều công cụ cơ bản để quản lý tệp, trình thông dịch lệnh và xử lý văn bản. Và nói chung, nó đã được cài đặt mặc định trong hầu hết các Distro Linux.

Cụ thể, gói này chứa, ngoài lệnh "chmod", các lệnh sau: Arch base64 basename cat chcon chgrp chmod chown chroot cksum comm cp csplit cut day dd df dir dircolors dirname du echo env expand expr factor false bầy fmt gấp nhóm đầu hostid id cài đặt tham gia liên kết ln logname ls md5sum mkdir mkfifo mknod mktemp mv Nicefm noth noh od paste pathchk pinky pr printenv printf ptx pwd readlink realpath rm rmdir runcon sha * sum seq shred sleep sort split stat stty sum sync tac tail tee test timeout touch tr true truncate tsort tty uname unxpand uniq hủy liên kết người dùng vdir wc whoami yes.

Tóm lại, lệnh «chmod» cho phép thực hiện nhiệm vụ rất quan trọng là quản lý các quyền trên tệp và thư mục đối với tất cả người dùng do Hệ điều hành quản lý. Điều này là do Linux với tư cách là một Hệ điều hành có nhiều người dùng, và do đó, nó cần cung cấp cho môi trường làm việc một hệ thống quyền để kiểm soát tập hợp các hoạt động được ủy quyền trên các tệp và thư mục, bao gồm tất cả tài nguyên hệ thống và thiết bị.

nội dung

Quyền của Linux cho SW / BD: Nội dung 1

Sử dụng cho các nhà phát triển SW

Quản trị viên Máy chủ và Hệ thống (Sysadmin) khi quyết định quyền nào để cấp cho Người dùng cấp X hoặc hồ sơ trên tệp hoặc thư mục X, cần biết chính xác loại hoạt động hoặc quy trình mà họ cần thực hiện trên chúng. Trong trường hợp của một Máy chủ Web, Người dùng có thể được phân thành 2 loại:

  1. Người dùng quản trị: Ví dụ: ai có tài khoản người dùng trên máy chủ để đăng nhập, có các đặc quyền cụ thể và những người thường thực hiện các thay đổi nhất định (sao chép / xóa / sửa đổi) trong Hệ thống hoặc Trang web được cài đặt qua SSH hoặc SFTP.
  2. Người dùng không phải quản trị viên: Rằng họ không có tài khoản người dùng trên máy chủ, vì họ chỉ là khách truy cập vào Trang web và Hệ thống Web. Và do đó, họ không có quyền truy cập trực tiếp vào các tệp và thư mục mà phải tương tác với chúng, thông qua giao diện web của Trang web hoặc Hệ thống Web được cài đặt.

Tuy nhiên, khi một Sysadmin không nhận đủ hoặc đủ thông tin, tài liệu hoặc hỗ trợ của Nhà phát triển SW về các khả năng, chức năng hoặc cấu trúc tệp của Hệ thống và Trang web sẽ được cài đặt kết thúc thực thi mức tối đa đáng tin cậy, trong trường hợp này thường là:

chmod 777 -R /var/www/sistema-web

Và nhiều khi nó kết thúc bằng:

chown root:root -R /var/www/sistema-web

Quyền của Linux cho SW / BD: Nội dung 2

Sự phản đối

Đây thường là một thực tiễn không tốt, nhưng nó thường tránh được bất kỳ vấn đề nào về quyền và việc thực thi kém các Hệ thống và Trang web đã cài đặt. Một thực tế không tốt, vì khi lệnh chmod 777 được thực thi theo cách này trên thư mục và tệp của Trang web hoặc Hệ thống Web, sẽ không có bảo mật nào về nó.

Giúp bất kỳ người dùng Trang web hoặc Hệ thống Web trực tuyến nào có thể thay đổi hoặc xóa bất kỳ tệp nào trong cấu trúc tệp của Trang web hoặc Hệ thống Web trong Máy chủ Web hoặc hơn thế nữa mà không gặp trở ngại lớn. Vì cần phải nhớ rằng nó là Máy chủ Web hoạt động thay mặt cho những người dùng đang truy cập và nó có khả năng thay đổi các tệp tương tự đang được thực thi.

Và trong trường hợp người dùng là kẻ tấn công và nhận được một số lỗ hổng trong Trang web hoặc Hệ thống web, anh ta có thể dễ dàng khai thác nó để phá mặt, vô hiệu hóa nó, hoặc tệ hơn là chèn mã độc để thực hiện các cuộc tấn công lừa đảo, hoặc đánh cắp thông tin từ máy chủ mà không ai dễ dàng biết được.

Quyền của Linux cho SW / BD: Nội dung 3

Khuyến nghị

Để tránh những loại biện pháp này, Sysadmin hoặc SW Developer, phải đảm bảo rằng các thư mục và tệp của các Hệ thống hoặc Trang web khác nhau có các quyền và người dùng chính xác và cần thiết để tránh các vấn đề về bảo mật và quyền riêng tư trong tương lai.

Ở cấp độ quyền, 3 lệnh sau có thể được thực hiện để khôi phục quyền và người dùng của Hệ thống hoặc Trang web đã cài đặt về trạng thái bình thường.Đó là, đặt giá trị 755 cho tất cả các thư mục và 644 cho các tệp.

Luôn nhớ thực thi chúng trong thư mục Hệ thống hoặc Trang web, vì nếu chúng được thực thi trong một thư mục (thư mục) cao hơn, chẳng hạn như thư mục gốc của máy chủ, thì các lệnh lệnh sẽ sửa đổi đệ quy tất cả các quyền của Máy chủ, khiến nó rất có thể không hoạt động.

Quyền của Linux cho SW / BD: Nội dung 4

Quyền được áp dụng cho Thư mục (Thư mục)

Các ví dụ

Quyền đối với thư mục và tệp

find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;

y

chmod 777 -R .

o

chmod 777 -R /var/www/sistema-web

Trường hợp nằm ngoài thư mục (thư mục) của Hệ thống hoặc Trang web.

Người dùng hệ thống hoặc trang web

chown www-data:www-data -R .

o

chown www-data:www-data -R /var/www/sistema-web

Trường hợp nằm ngoài thư mục (thư mục) của Hệ thống hoặc Trang web. Và dữ liệu www của người dùng chỉ được sử dụng làm ví dụ, vì nó được sử dụng nhiều nhất hoặc thích hợp nhất khi có liên quan đến việc sử dụng Apache2.

Quyền của Linux cho SW / BD: Nội dung 5

Quyền được áp dụng cho Tệp (Files)

Khi các thay đổi về quyền đã được thực hiện, chúng tôi có thể tiến hành sửa đổi các quyền của các thư mục và tệp mà chúng tôi muốn có các quyền khác theo cách thủ công. Và nếu cần thiết cũng thay đổi chủ sở hữu người dùng của những người cần thiết. Do đó, tại thời điểm này, cả Sysadmin và SW Developers phải đồng ý về những quyền cần thiết cho mỗi thư mục và tệp trong cấu trúc Hệ thống hoặc Trang web.

Quyền của Linux cho SW / BD: Kết luận

Kết luận

Việc quản lý các quyền trên các tệp và thư mục của hệ điều hành Linux hoặc UNIX, là một trong những ưu điểm và lợi ích lớn của cùng, vì chúng cho phép kiểm soát tốt hơn, chính xác và an toàn các cấp độ truy cập, ấn bản và thực thi khác nhau trên các tệp và thư mục.

Và hơn thế nữa, khi nói đến cấp Máy chủ Web, tức là nơi lưu trữ Hệ thống hoặc Trang web nội bộ và bên ngoài của một Tổ chức, vì ưu tiên cao hơn là biết những quyền nào nên được chỉ định cho mỗi thư mục hoặc tệp, để đạt được sự cân bằng tốt nhất giữa quyền riêng tư, bảo mật và chức năng.


2 bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   polg28 dijo
    trước 4 năm

    Chào buổi sáng, bạn khỏe không?
    Tôi đang vọc linux, tôi có một ứng dụng có thể nhập tệp từ nó, người dùng tải lên một tệp .zip chứa một thư mục có tệp xml, sau khi giải nén tệp chúng được chèn vào cơ sở dữ liệu. Trong windows tôi không gặp vấn đề gì, khi chuyển ứng dụng sang linux tôi sẽ thiếu một số quyền, về nguyên tắc để kiểm tra mọi thứ tôi đã làm những gì họ nói trong bài viết này và nó không nên làm haha ​​(nhưng tôi sẽ thay đổi một khi tôi có thể xác nhận tất cả các chức năng).
    Thực tế là các tệp được giải nén nhưng tôi thấy rằng chúng được tải xuống chỉ với quyền đọc và ghi cho chủ sở hữu, đọc cho nhóm chủ sở hữu và không có quyền cho người khác. Khi các tệp được sở hữu bởi người dùng sử dụng ứng dụng. Tôi hiểu rằng do không có quyền thực thi, nó không thể tuân theo quy trình bình thường và tiến hành chèn xml vào cơ sở dữ liệu. Câu hỏi của tôi là do tôi có thể cấp quyền cho các tệp mà tôi chưa có trên hệ thống? Trong thư mục được tải xuống (tmp), nó có tất cả các quyền, nó được áp dụng theo cách in nghiêng nhưng mỗi lần các tệp được tải xuống trong thư mục đó, chúng chỉ có các quyền được đề cập. Có cách nào để các tệp xuất hiện trong thư mục đó cũng có thể được để lại quyền thực thi không?
    Tôi hy vọng tôi đã rõ ràng, cảm ơn bạn rất nhiều trước và blog tuyệt vời

    Trả lời Polg28
  2.   Cài đặt bài đăng trên Linux dijo
    trước 4 năm

    Tôi giả định rằng thư mục / tmp hoặc… / tmp có 755 quyền nhưng ngay cả khi người dùng sở hữu ứng dụng ký gửi chúng, anh ta vẫn để lại cho họ các quyền khác. Tôi không phải là nhà phát triển nhưng tôi giả định rằng bằng ngôn ngữ của ứng dụng hoặc ngôn ngữ khác có thể chỉ ra cho nó một quy trình thực thi lệnh command (bash) các quyền cần thiết (chmod) và chủ sở hữu của các tệp (chown). Nếu không, bạn có thể chạy một tập lệnh mỗi phút nó chạy.

    Trả lời cài đặt bài đăng trên Linux