Yksi käytännöllisimmistä tavoista, joilla voimme suojata tiedostojamme ja kansioita Linux-ympäristöissä, on luomalla oikeudet oikein, jotta järjestelmää käyttävät voivat muokata tai ei muokata näitä tiedostoja.
Kaikki nämä arvot voidaan määrittää yksinkertaisella tavalla ja määritellä, minkä laajuuden käyttäjä voi olla kansiossa tai tiedostossa, voidaan lukea tai kirjoittaa ja siten säilyttää tiedostojemme eheys.
Linux CHMOD -käyttöoikeudet antavat meille pääsyn tiedostoihin ja kansioihin. CHMOD vastaa kaikesta tämän luvanhallinnasta. Monet käyttävät niitä muun muassa verkkopalvelimilla, koska se on yksi hyödyllisimmistä ja tehokkaimmista toiminnoista, kun kyse on kaikkien Linux-palvelimen tai tietokoneen tiedostojen ja kansioiden käyttöoikeuksien laatimisesta ja hallinnasta.
CHMOD-komento antaa meille mahdollisuuden muuttaa koneen tiedostojen ja kansioiden käyttöoikeuksia Linuxilla. Tässä on esimerkkejä tästä opetusohjelmasta. Usein tiedetään, että CHMOD: n käyttö on paras pHp: n suhteen muiden kielten joukossa, joten Linux-palvelimien käyttö on muiden ominaisuuksien joukossa. Jotta ymmärrät näiden komentojen toiminnan, sinun tulisi ensin tietää, miten ne toimivat.
Tänään analysoimme kuinka asettaa käyttöoikeudet Linux-ympäristössä .
Tässä tapauksessa käytämme tiedostoa Debian 8: ssa, mutta menettelytapa on samanlainen kaikissa Linux-distroissa.
1. Linux-käyttöoikeustyypit
Kaikissa Unix-järjestelmissä on mekanismi, joka antaa meille järjestelmänvalvojina määritellä tietyn tiedoston tai kansion käyttötyypit.
Tässä Unix-ympäristöjen hallintamekanismissa on kahden tyyppisiä muuttujia, jotka on tunnettava ja ymmärrettävä niiden toiminnasta:
luokat
Ne määrittävät, mitkä käyttäjät voivat käyttää tiedostoa tai kansiota
käyttöoikeudet
Ne määrittävät tehtävän, jonka valtuutetut käyttäjät voivat suorittaa näissä tiedostoissa
Nyt kun napsautamme tiedostoa tai kansiota hiiren oikealla painikkeella ja siirrymme Ominaisuudet-asetukseen, näemme seuraavan:
Tässä järjestelmässä tunnistetaan kolme (3) luokkatyyppiä:
omistaja
Onko henkilö, joka on luonut tiedoston tai kansion
ryhmä
Tämän parametrin sisällä määrittelemme käyttäjäryhmän, jolla on pääsy tiedostoon tai kansioon
toiset
Tämä parametri sisältää yksityiset käyttäjät
Nyt meillä on kolmen tyyppinen lupa tiedostojen tai kansioiden muokkaamiseen, nämä ovat:
lukeminen
Tämän vaihtoehdon avulla käyttäjä voi katsella tiedostoa, mutta ei anna hänelle valtaa tehdä siihen muutoksia, mikä antaa meille korkeatasoisen turvallisuuden, koska he eivät voi muokata, kopioida tai poistaa sitä.
kirjoittaminen
Antamalla tämän luvan annamme tiedostoa tai kansiota käyttäville käyttäjille minkä tahansa tyyppisiä muokkauksia (kopioida, leikata, poistaa), jotka vaarantavat sen eheyden.
ajaa
Aktivoimalla tämä asetus, joka on oletuksena poistettu käytöstä, voimme suorittaa tiedostoja.
Tämän ymmärtämiseksi voimme luoda yhdistelmiä oikeuksien ja luokkien välillä määrittääksemme tiedostoillemme parhaan turvatason.
2. Lupavirhekoodien ymmärtäminen Linuxissa
Nyt on yksi niistä seikoista, jotka tietotekniikka-alueen järjestelmänvalvojina tai henkilöstöä on tunnettava, ja se on niiden virheiden tunnistaminen, joita syntyy sillä hetkellä, kun käyttäjä yrittää suorittaa joitain toimenpiteitä tiedostoon, esimerkiksi kuuluisaan 777-tiedostoon.
Unix-ympäristöissä periaatteessa jokaisella luvalla on seuraava arvo:
- Lukema: 4
- Kirjoittaminen: 2
- Suoritus: 1
Meidän on opittava pelaamaan näillä numeroilla seuraavasti, jotta voimme tehdä Linux-kokemuksestamme parhaan.
Jos haluamme luoda kirjoitusluvan, käytämme 6 (4 + 2 = lukeminen + kirjoittaminen)
Jos haluamme käyttäjän suorittavan, käytämme 7 (4 + 2 + 1 = lue + kirjoita + suorita)
$config[ads_text5] not foundNyt meillä on seuraava arvotaulukko:
- 0: Ilman käyttöoikeuksia
- 1: Suoritus
- 2: Kirjoittaminen
- 3: Lukeminen ja kirjoittaminen
- 4: Lukeminen
- 5: Lukeminen ja toteutus
- 6: Lukeminen ja kirjoittaminen
- 7: Lukeminen, kirjoittaminen ja toteutus
3. Yleisimmät lupatyypit
Yleisimmät lupatyypit tai niiden yhdistelmät ovat seuraavat:
666 (RW / RW / RW)
Tämän vaihtoehdon avulla kaikki käyttäjät voivat lukea ja kirjoittaa tiedostoon.
777 (RWX / RWX / RWX)
Tämän vaihtoehdon avulla kaikki käyttäjät voivat lukea, kirjoittaa ja suorittaa tiedostoa tai kansiota
755 (RWX / RW / RW)
Tällä luvalla tiedoston omistaja voi lukea, kirjoittaa ja suorittaa tiedostoon, kun taas muut lukevat ja kirjoittavat tiedostoon, mutta eivät suorita.
$config[ads_text6] not found644 (RW / R / R)
Tällä luvalla omistaja voi lukea ja kirjoittaa tiedostoon, kun taas muut voivat vain lukea.
700 (RWX / ---)
Tällä luvalla omistaja hallitsee tiedostoa täydellisesti, kun taas muilla käyttäjillä ei ole minkäänlaista pääsyä tiedostoon.
Kuten näemme, meillä on erilaisia vaihtoehtoja asettaa vastaavat käyttöoikeudet Linuxissa.
4. Kuinka asettaa luvan tiedostolle tai kansiolle
Luvan myöntämismenettely on hyvin yksinkertainen. Mene vain terminaaliin ja suorita seuraava syntaksi:$config[ads_text5] not found
chmod Käyttöoikeustyyppi File_path
Esimerkiksi:
chmod 666 /home/Solvetic/Solvetic.webpMeillä on nämä mielenkiintoiset vaihtoehdot asettaa parhaat turvallisuusparametrit tiedostoihimme ja kansioihimme.
Nähdessään sen Linux-järjestelmissä sanoituksella näet jotain tällaista kaikissa Linux-käyttöoikeuskysymyksissä:
0 = --- = ei pääsyä
1 = --x = suorittaminen
2 = -w- = kirjoita
3 = -wx = kirjoita ja suorita
4 = r-- = lue
5 = rx = lue ja suorita
6 = rw- = lue ja kirjoita
7 = rwx = lue, kirjoita ja suorita
Jos haluamme antaa useita lupia, meidän on lisättävä ne.
Jos esimerkiksi käytämme chmod 777 -komentoa:
chmod 777Sanomme, että annamme 3 käyttäjätyypille enimmäisluvan antamalla heille lukemisen, suorittamisen ja kirjoittamisen. Siksi käytämme kolme kertaa 7. Jos olemme lisänneet 4 + 2 + 1, niin meillä on kolme kertaa 7. Jos haluamme antaa kirjoituslupien, se olisi 4+ 2 = 6, jos haluamme vain lukea, olisi 4. Jos haluamme lukea ja toteuttaa, lisättäisiin 4 + 1 = 5. Tästä syystä eri yhdistelmät.
chmod 755Tässä tapauksessa chmod 755 antaa lukemis- ja toteutusluvan (4 + 1) kaikille käyttäjille paitsi omistajalle, jolla se on täydellinen (lue, kirjoita, suorita 4 + 2 + 1).
chmod 666Tämän tyyppinen chmod-komento on se, joka antaa luku- ja kirjoitusoikeuksia kaikille lukuun ottamatta suoritusta (4 + 2). Jokainen voi käyttää tiedostoa, lukea sen sisältöä ja muokata sitä.
chmod 644Tätä chmod 644: tä käytetään usein estämään kirjoittaminen kenellekään muulle kuin omistajalle. (755 on samanlainen, lue ja suorita sekä omistajan kaikki oikeudet) Tämä chmod 644 on rajoittavampi (vain luku) ja (hulluus, omistajan teko).
Nämä komennot voidaan suorittaa komennoilla, jos se on paikallinen palvelin, kirjautumalla sisään ja tekemällä ne suoraan, jos se on etäyhteys, voit muodostaa yhteyden tähän ohjelmaan niin, että Linux-palvelimen ikkuna tulee näkyviin (ikään kuin olisit paikallisessa). Tai toinen vaihtoehto on ladata ilmaiseksi ja käyttää Filezilla-ohjelmaa, jonka avulla voimme tehdä nämä lupamuutokset graafisesti (helpompaa).
Näytämme tässä tapauksessa Linux-palvelimen, jonka yhdistämme etäyhteydessä Filezillan kanssa, ja käyttöoikeudet näkyvät graafisesti sekä tiedostoille että kansioille.
Jos haluamme muuttaa niitä, painaa kansiota tai tiedostoa oikealla painikkeella . Tiedoston käyttöoikeudet -vaihtoehto tulee näkyviin, kun sitä painetaan, näkyviin tulee ikkuna, jossa voimme muuttaa niitä.
$config[ads_text6] not foundToivomme, että se on auttanut sinua ymmärtämään käyttöoikeuksien käytön Linux / Unix-järjestelmissä. Siirrymme eteenpäin muihin 2 komentoon luvanhallintaa varten.
5. Mikä se on ja kuinka CHOWN Linux -komentoa käytetään
Niiden päivittäisten tehtävien joukossa, joita voimme toteuttaa Linux-ympäristöissä, on uuden tiedoston tai kansion omistajan perustaminen joko turvallisuutta, organisaatiota tai hallintaa varten.
Yksi käytännöllisimmistä tavoista, joita meillä Linuxissa on tähän tarkoitukseen, on chown-komennon käyttö, ja tänään näemme kuinka voimme toteuttaa sen ja hyödyntää tätä tärkeää komentoa täysimääräisesti.
Mikä on chown
Chown (Change Owner) on komento, jonka avulla voimme muokata tiedostojärjestelmän tiedoston tai kansion omistajaa tai omistajaa .
$config[ads_text5] not foundTämä komento on osa coreutils-ohjelmistopakettia, joka sisältyy oletuksena kaikkiin Linux-distroihin. Chownin avulla voimme määrittää uuden omistajan joko nimellä tai järjestelmän käyttäjätunnuksella (UID).
Chown parametrit
Voimme määritellä sarjan parametreja Chownin käyttöön, jotka ovat:
- -c: Tämän parametrin avulla voimme määritellä tiedoston muutokset.
- -R: Vaihtaa hakemistojen omistajat niiden sisällön viereen.
- -v: (sanallinen) Se näyttää kuvaavamman tuloksen tiedoista.
- --versio: Chown-versio näkyy näytöllä.
- --dereference: Tämä parametri vaikuttaa symboliarvoihin kohteen sijaan.
- - viite: tämä parametri muuttaa tiedoston omistajaa toisen tiedoston omistajan perusteella.
- -h: Kun kyse on symbolisista linkistä, vaihda kohteen omistaja linkin sijaan.$config[ads_text6] not found
Syntaksi, joka meidän tulisi pitää mielessä käytettäessä Chownia, on seuraava:
chown (valinnat) käyttäjä (: ryhmä) tiedosto (t) tai hakemisto (t)
Tässä tutkimuksessa käytämme Ubuntu 16: ta.Alla näemme joitain esimerkkejä Chownin käytöstä.
Muokkaa tiedoston omistajaa
Tämä on yksi chown-komennon perustehtävistä, ja ensin meidän on vahvistettava, mikä on tiedoston nykyinen omistaja, käytämme tätä syntaksia:
ls -lart-tiedostonimi
Olemme luoneet tiedoston nimeltä solvetic.txt, joten kirjoitamme seuraavan:Ls-liite solvetic.txt
Tämä näyttää omistajan sekä hänen nykyiset käyttöoikeutensa ja luontipäivän.Nyt varmistamme, että tiedoston omistaja on pääkäyttäjä, kirjoitamme seuraavan:
chown root solvetic.txt
Nyt ajamme uudelleen ls -lart solvetic.txt ja näemme uuden omistajan:Tiedostoryhmän muokkaaminen
Voimme perustaa uuden ryhmän tiedostoillemme käyttämällä chownia, jotta meidän on suoritettava seuraava prosessi:
Käytä ls - l (tiedostonimi) -komentoa näyttääksesi nykyisen tiedostoryhmän.
Tässä tapauksessa käytämme ls-l solvetic.txt. Seuraavaksi käytämme seuraavaa syntaksia vastaavaan modifikaatioon:
chown: solvetic.txt-tuki
(Tuki on uuden ryhmän nimi).Katso Chownin nykyinen versio
Kirjoita tämä vain kirjoittamalla seuraava:
chown –versio
Muokkaa kansion omistajaa ja kaikkea sitä
Tässä tehtävässä käytämme seuraavaa syntaksia:
chown-R käyttäjän kansio
Tässä tapauksessa teemme pääkäyttäjästä kansion omistajan, tässä tapauksessa annamme seuraavan:chown-R root Solvetic
Vaihda ryhmä, jos käyttäjä kuuluu tiettyyn ryhmään
Voimme todeta, että ryhmää muutetaan, kun tiedosto on tietyssä ryhmässä.
Esimerkiksi, jos solvetic.txt-tiedosto on solvetic-ryhmässä, uutta ryhmää kutsutaan tueksi. Tätä varten käytämme parametria – alkaen
Ensin käytämme ls-l solvetic.txt- tiedostoa tarkastellaksesi ryhmää, johon tiedosto kuuluu. Myöhemmin käytämme syntaksia –lähetys: nykyinen ryhmä): (uusi ryhmä) tällä tavoin osoitamme, että jos tiedosto kuuluu, tässä tapauksessa liuotinryhmästä tulee tukiryhmä.
Kopioi tiedoston omistaja toiseen
Voimme kopioida tiedoston parametrejä toiseen käyttämällä -referenssiasetusta
Tässä tapauksessa meillä on kaksi tiedostoa:
- solvetic.txt = jonka omistaja on solvetic
- tests.txt = jonka omistaja on root.
Käytämme syntaksia:
chown –referenssi = solvetic.txt tests.txt
Joten testit.txt omistaja on sama kuin solvetic.txtNäemme kuinka chown tarjoaa meille erilaisia vaihtoehtoja hallita omistajia eri tiedostoissa ja kansioissa Linux-ympäristöissä yksinkertaisella ja luotettavalla tavalla.
6. Mikä se on ja kuinka CHATTR Linux -komentoa käytetään
Toiminnoista, joita järjestelmänvalvojina, tukihenkilöinä tai tietotekniikka-alueeseen liittyvänä henkilökunnanä on, on erittäin tärkeä tehtävä kansion tai tiedoston määritteiden muuttaminen sen suojaustasojen parantamiseksi, ja saatava tulos on seuraavat:
- Vältä luvatonta pääsyä tiedostoihin tai kansioihin
- Estä tiedostojen muokkaaminen
- Estä tietovarkaudet
- Pidä tietokoneella tallennettujen kansioiden ja tiedostojen erityinen hallinta
Vaikka tähän on useita tapoja tehdä tänään, näemme komennon, jolla on laaja valikoima vaihtoehtoja määritteiden määrittämiseen kaikissa Linux-distroissa: Chattr
Mikä on Chattr?
Chattr (Change Attribute - Change Attributes) on komento, jonka voimme helposti toteuttaa erilaisilla parametreilla, joiden avulla voimme suojata tiedostoja tahattomalta poistamiselta tai tahattomilta muutoksilta .
Yksi chattr: n suurista eduista on, että se suojaa tiedostoja, vaikka niitä poistavalla yrittäjällä olisi pääkäyttäjän oikeudet.
Natiivit Linux-järjestelmät, kuten ext2, ext3, ext4 ja btfrs, tukevat kaikkia ominaisuuksia, jotka voidaan toteuttaa chattr: llä. Tämä mahdollistaa tämän apuohjelman huomattavasti suuremman suojauksen.
$config[ads_text5] not foundChattr-sovelluksen yleinen syntaksi on seuraava:
chattr (operaattori) (attribuutti) (tiedosto)
Missä meidän olisi muutettava suluissa olevat tiedot siihen, mitä haluamme toteuttaa. Näemme sen seuraavissa esimerkeissä.Parametrit saatavana Chattr
Kuten näemme, meidän on määritettävä tietyt parametrit, joiden avulla voimme määritellä tiedostojemme tietoturvatasot, ne ovat luokittain seuraavat:toimijoiden
- +: Sallii määritettyjen määritteiden lisäämisen tiedostoon jo olemassa oleviin määritteisiin
- -: Sallii määritettyjen määritteiden poistamisen määritteistä
- =: Antaa ilmoitettujen määritteiden korvata tiedoston nykyiset määritteet.
vaihtoehtoja
- -V: Sen avulla voimme saada kuvaavamman chattr-tuotoksen, joka sisältää ohjelmaversion.
- -R: Tämä asetus muuttaa hakemistojen määritteitä ja niiden sisältöä alenevassa järjestyksessä.
- -v: Sen avulla voimme visualisoida ohjelmaversion.
määritteet
- a: Antaa tiedoston avata vain liitetyssä tilassa kirjoittamista varten.
- V: Se sallii viimeisen käyttöpäivämäärän tai aikataulun muuttamisen.
- c: Sallii tiedoston pakkaamisen automaattisesti.
- d: Määritä, että valittua tiedostoa ei voida varmuuskopioida käytettäessä dump-työkalua.
- D: Kun viitataan hakemistoon, se mahdollistaa datan kirjoittamisen synkronoidusti levylle.
- e: viittaa tiedostoon tai kansioon, joka käyttää laajennuksia (laajennuksia), joita käytetään lohkon kartoitukseen.
- j: Sitä käytetään ext3- ja ext4-tiedostojärjestelmissä ja sen avulla voidaan todeta, että tiedosto kirjoitetaan lokikirjaan, kun olemme liittäneet sen vaihtoehtoihin data = tilattu tai data = kirjoittaminen .
- i: Antaa tiedoston olla muuttumaton, eli se voidaan poistaa tai muokata.
- S: Ilmaisee, että tiedostoon tehdyt muutokset kirjoitetaan synkronoidusti levylle.
- s: Tällä määritteellä kiintolevyllä käytetyt lohkot kirjoitetaan nolla-arvoilla (0).
- u: Asettamalla tämä ominaisuus, kun tiedosto poistetaan, sen sisältö tallennetaan myöhempää palautusta varten.
Chattr: n käyttö Ubuntussa
Katsotaan nyt käytännön esimerkkejä siitä, kuinka chattr voidaan toteuttaa Linux-distroilla, tässä tapauksessa käytämme Ubuntu 16: ta.Olemme luoneet kansion nimeltä Solvetic ja tiedoston nimeltä tests.txt. Jos haluamme suojata nämä tiedostot, käytämme seuraavaa syntaksia (Käytämme sudoa superkäyttäjän oikeuksiin).
sudo chattr + i Solvetic / test.txt
Kuten näemme, vaikka tietoja ei ole käytetty, muutokset on käsitelty.
Ominaisuuksien tarkistaminen
$config[ads_text6] not found
Käytämme lsattr-tiedostoa tarkistaaksesi toteuttamiamme määritteet, jotka näemme seuraavan:Jos yritämme poistaa test.txt-tiedoston, joka on superkäyttäjä, näemme, että se ei ole mahdollista, käytämme seuraavaa syntaksia:
sudo rm test.txt
Alkuperäisten arvojen asettaminen
Jos haluamme, että tiedostoillamme ei ole chattr-määritteitä, käytämme seuraavaa syntaksia:sudo chattr -i tiedostonimi
Esimerkissämme se olisi seuraava:sudo chattr -i Solvetic / test.txt
Nyt voimme yrittää poistaa tiedoston ja näemme, että se on jo mahdollista, koska olemme poistaneet määritteet:Samalla tavoin voimme suojata tiedostoja, jotka ovat arkaluonteisia järjestelmän optimaalisen toiminnan kannalta, kuten
/ etc / passwd ja / etc / shadow-tiedostot
Näiden tiedostojen suojaamiseksi meidän on annettava seuraava:sudo chattr + i / etc / passwd
sudo chattr + i / etc / varjotiedostot
Toinen esimerkki siitä, kuinka voimme käyttää kaaviota Linuxissa, on käyttää parametria, jolle se antaa meille mahdollisuuden avata tiedosto liitetiedostotilassa. Tätä varten olemme luoneet tiedoston nimeltä solvetic.txt$config[ads_text5] not foundMyöhemmin käytämme komentoa:
sudo-kaavio + Solvetic.txt
Tämän parametrin asettaminen tiedostoon.Tiedoston ominaisuudet voidaan nähdä käyttämällä lsattr.
Nyt yritämme muokata jotain tiedostossa echo-komennolla ja näemme, että viesti Operaatio ei sallittu näytetään. Jos käytämme nyt symboleja >>, voimme liittää jotain tekstiin.
Tällä tavoin meillä on useita vaihtoehtoja käyttää chattr : ää Linuxissä ja tarjota ylimääräisiä suojausparametreja tärkeimmille tiedostoille ja kansioille käyttämällä jotakin chattr: n tarjoamista ominaisuuksista.
Artikla