إدارة الحقوق من دليل Kali Linux بواسطة OnWorks

انتقل إلى المحتوى

3.4.4. إدارة الحقوق‌

Linux هو نظام متعدد المستخدمين لذلك من الضروري توفير نظام أذونات للتحكم في مجموعة العمليات المصرح بها على الملفات والأدلة ، والتي تشمل جميع موارد وأجهزة النظام (في نظام Unix ، يتم تمثيل أي جهاز بواسطة ملف أو الدليل). هذا المبدأ شائع في جميع الأنظمة الشبيهة بيونكس.

لكل ملف أو دليل أذونات محددة لثلاث فئات من المستخدمين:

• صاحبها (يرمز له بـ u، مثل كلمة user)

• المجموعة المالكة لها (يرمز لها بـ g، كما في المجموعة) ، تمثل جميع أعضاء المجموعة

• الآخرون (يرمز لهم ب o، كما في غيره) يمكن الجمع بين ثلاثة أنواع من الحقوق:

• القراءة (يرمز لها بـ r، كما في read) ؛

• الكتابة (أو التعديل ، يرمز لها بـ w، مثل الكتابة) ؛

• التنفيذ (يرمز له بـ x، مثل eXecute).

في حالة الملف ، يمكن فهم هذه الحقوق بسهولة: يسمح الوصول للقراءة بقراءة المحتوى (بما في ذلك النسخ) ، ويسمح الوصول للكتابة بتغييره ، ويسمح الوصول للتنفيذ بتشغيله (والذي سيعمل فقط إذا كان برنامجًا).

setuid و مجموعة هناك حقان محددان لهما صلة بالملفات القابلة للتنفيذ: setuid و مجموعة (يرمز لها الملفات التنفيذية بالحرف "s"). لاحظ أننا نتحدث كثيرًا عن البت ، نظرًا لأن كل من هذه القيم المنطقية يمكن تمثيلها بـ 0 أو 1. يسمح هذان الحقان لأي مستخدم بتنفيذ

البرنامج مع حقوق المالك أو المجموعة ، على التوالي. تمنح هذه الآلية الوصول إلى الميزات التي تتطلب أذونات ذات مستوى أعلى من تلك التي قد تمتلكها عادةً.

منذ أ setuid يتم تشغيل برنامج الجذر بشكل منهجي تحت هوية المستخدم الفائق ، ومن المهم جدًا التأكد من أنه آمن وموثوق. يمكن لأي مستخدم يدير تخريب برنامج جذر setuid لاستدعاء أمر من اختياره أن ينتحل شخصية المستخدم الجذر ويكون له جميع الحقوق على النظام. يبحث مختبرو الاختراق بانتظام عن هذه الأنواع من الملفات عند وصولهم إلى نظام كطريقة لتصعيد امتيازاتهم.

setuid و مجموعة هناك حقان محددان لهما صلة بالملفات القابلة للتنفيذ: setuid و مجموعة (يرمز لها الملفات التنفيذية بالحرف "s"). لاحظ أننا نتحدث كثيرًا عن البت ، نظرًا لأن كل من هذه القيم المنطقية يمكن تمثيلها بـ 0 أو 1. يسمح هذان الحقان لأي مستخدم بتنفيذ

البرنامج مع حقوق المالك أو المجموعة ، على التوالي. تمنح هذه الآلية الوصول إلى الميزات التي تتطلب أذونات ذات مستوى أعلى من تلك التي قد تمتلكها عادةً.

منذ أ setuid يتم تشغيل برنامج الجذر بشكل منهجي تحت هوية المستخدم الفائق ، ومن المهم جدًا التأكد من أنه آمن وموثوق. يمكن لأي مستخدم يدير تخريب برنامج جذر setuid لاستدعاء أمر من اختياره أن ينتحل شخصية المستخدم الجذر ويكون له جميع الحقوق على النظام. يبحث مختبرو الاختراق بانتظام عن هذه الأنواع من الملفات عند وصولهم إلى نظام كطريقة لتصعيد امتيازاتهم.

يتم التعامل مع الدليل بشكل مختلف عن الملف. يمنح الوصول للقراءة الحق في الرجوع إلى قائمة محتوياته (الملفات والأدلة) ؛ يسمح الوصول للكتابة بإنشاء الملفات أو حذفها ؛ ويسمح الوصول للتنفيذ بالعبور عبر الدليل للوصول إلى محتوياته (على سبيل المثال ، باستخدام ملف cd يأمر). أن تكون قادرًا على عبور دليل دون أن يكون قادرًا على قراءته يمنح المستخدم الإذن بالوصول إلى الإدخالات الموجودة فيه المعروفة بالاسم ، ولكن ليس للعثور عليها دون معرفة اسمه بالضبط.

الأمن • مجموعة بت ينطبق أيضا على الدلائل. أي عنصر تم إنشاؤه حديثًا في هذه الأدلة

مجموعة الدليل و لزج

بت

يتم تعيين مجموعة مالك الدليل الأصلي تلقائيًا ، بدلاً من وراثة-

في المجموعة الرئيسية للمنشئ كالمعتاد. لهذا السبب ، لا يتعين عليك تغيير مجموعتك الرئيسية (بامتداد newgrp command) عند العمل في شجرة ملفات مشتركة بين عدة مستخدمين من نفس المجموعة المخصصة.

• قليلا لزجة (يرمز له بالحرف "t") هو إذن مفيد فقط في الدلائل. يتم استخدامه بشكل خاص للأدلة المؤقتة حيث يمتلك الجميع حق الوصول للكتابة (مثل / تمة /): يقيد حذف الملفات بحيث لا يتمكن من حذفها إلا مالكها أو مالك الدليل الأصلي. في حالة عدم وجود هذا ، يمكن للجميع حذف ملفات المستخدمين الآخرين في / تمة /.

مجموعة الدليل و لزج

بت

هناك ثلاثة أوامر تتحكم في الأذونات المرتبطة بملف:

• CHOWN ملف المستخدم يغير مالك الملف

TIP كثيرًا ما تريد تغيير مجموعة الملف في نفس الوقت الذي تريده

تغيير المستخدم و

رأس التجميع

تغيير المالك. ال CHOWN الأمر له صيغة خاصة لذلك: CHOWN

المستخدم:ملف المجموعة

تغيير المستخدم و

رأس التجميع

• chgrp ملف المجموعة يغير مجموعة المالك

• شمود ملف الحقوق يغير أذونات الملف

هناك طريقتان لتمثيل الحقوق. من بينها ، ربما يكون التمثيل الرمزي هو الأسهل للفهم والتذكر. يتضمن رموز الحروف المذكورة أعلاه. يمكنك تحديد الحقوق لكل فئة من فئات المستخدمين (u/g/o) ، من خلال تعيينها صراحة (مع =)، بإضافة

(+) ، أو طرح (-). وهكذا u = rwx أو g + rw أو تمنح الصيغة حقوق القراءة والكتابة والتنفيذ للمالك ، وتضيف حقوق القراءة والكتابة لمجموعة المالك ، وتزيل حقوق القراءة للمستخدمين الآخرين. تظل الحقوق التي لم يتم تغييرها عن طريق الإضافة أو الطرح في مثل هذا الأمر غير معدلة. الرسالة a، للجميع ، يغطي جميع الفئات الثلاث من المستخدمين ، لذلك أ = ص يمنح جميع الفئات الثلاث نفس الحقوق (قراءة وتنفيذ ، ولكن ليس الكتابة).

يربط التمثيل الرقمي (الثماني) كل حق بقيمة: 4 للقراءة و 2 للكتابة و 1 للتنفيذ. نقوم بربط كل مجموعة من الحقوق بمجموع الأرقام الثلاثة ، ويتم تعيين قيمة لكل فئة من فئات المستخدمين ، بالترتيب المعتاد (مالك ، مجموعة ، أخرى).

على سبيل المثال، التصريح 754 ملف سيقوم الأمر بتعيين الحقوق التالية: القراءة والكتابة والتنفيذ للمالك (منذ 7 = 4 + 2 + 1) ؛ قراءة وتنفيذ للمجموعة (منذ 5 = 4 + 1) ؛ للقراءة فقط للآخرين. ال 0 تعني عدم وجود حقوق ؛ هكذا التصريح 600 ملف يسمح للقراءة والكتابة للمالك ، ولا يسمح بأي حقوق لأي شخص آخر. المجموعات الصحيحة الأكثر شيوعًا هي 755 للملفات والدلائل القابلة للتنفيذ ، و 644 لملفات البيانات.

لتمثيل حقوق خاصة ، يمكنك أن تسبق رقمًا رابعًا بهذا الرقم وفقًا لنفس المبدأ ، حيث setuid, مجموعةو لزج البتات هي 4 و 2 و 1 على التوالي. الامر التصريح 4754 سيربط setuid بت مع الحقوق الموصوفة سابقا.

لاحظ أن استخدام الترميز الثماني يسمح لك فقط بتعيين جميع الحقوق دفعة واحدة على الملف ؛ لا يمكنك استخدامه لإضافة حق جديد ، مثل حق الوصول للقراءة لمالك المجموعة ، حيث يجب أن تأخذ في الاعتبار الحقوق الموجودة وتحسب القيمة الرقمية المقابلة الجديدة.

يتم استخدام التمثيل الثماني أيضًا مع Umask الأمر الذي يستخدم لتقييد الأذونات على الملفات المنشأة حديثًا. عندما يقوم أحد التطبيقات بإنشاء ملف ، فإنه يقوم بتعيين أذونات إرشادية ، مع العلم أن النظام يقوم تلقائيًا بإزالة الحقوق المحددة من خلال Umask. أدخل Umask في قذيفة سترى قناع مثل 0022. هذا مجرد تمثيل ثماني للحقوق التي يجب إزالتها بشكل منهجي (في هذه الحالة ، حقوق الكتابة للمجموعة والمستخدمين الآخرين).

إذا أعطيته قيمة ثماني جديدة ، فإن Umask الأمر يعدل القناع. تُستخدم في ملف تهيئة shell (على سبيل المثال ، ~ / .bash_profile) ، سيغير القناع الافتراضي لجلسات عملك بشكل فعال.

TIP في بعض الأحيان يتعين علينا تغيير الحقوق لشجرة ملفات كاملة. كل الأوامر أعلاه

عملية تكرارية

لديك -R خيار للعمل بشكل متكرر في الدلائل الفرعية.

يؤدي التمييز بين الدلائل والملفات أحيانًا إلى حدوث مشكلات في العمليات المتكررة. هذا هو سبب إدخال الحرف "X" في التمثيل الرمزي للحقوق. إنه يمثل حق التنفيذ الذي ينطبق فقط على الأدلة (وليس على الملفات التي تفتقر إلى هذا الحق). هكذا، chmod -R a + X دليل سيضيف فقط حقوق التنفيذ لجميع فئات المستخدمين (a) لجميع الدلائل الفرعية والملفات التي لديها بالفعل فئة واحدة على الأقل من المستخدمين (حتى لو كان مالكها الوحيد) لديها بالفعل حقوق تنفيذ.

عملية تكرارية

<السابق | المحتويات | التالي>