ניהול זכויות ממדריך Kali Linux מאת OnWorks

עבור לתוכן

3.4.4. ניהול זכויות

לינוקס היא מערכת מרובת משתמשים ולכן יש צורך לספק מערכת הרשאות לשליטה במערך הפעולות המורשות על קבצים וספריות, הכוללת את כל משאבי המערכת וההתקנים (במערכת Unix, כל מכשיר מיוצג על ידי קובץ או מַדרִיך). עיקרון זה משותף לכל המערכות דמויות יוניקס.

לכל קובץ או ספרייה יש הרשאות ספציפיות לשלוש קטגוריות של משתמשים:

• בעליו (מסומל על ידי u, כמו במשתמש)

• קבוצת הבעלים שלו (מסומל על ידי g, כמו בקבוצה), המייצגים את כל חברי הקבוצה

• האחרים (מסומל על ידי o, כמו באחרים) ניתן לשלב שלושה סוגי זכויות:

• קריאה (מסומל על ידי r, כמו בקריאה);

• כתיבה (או שינוי, מסומל על ידי w, כמו בכתיבה);

• ביצוע (מסומל על ידי x, כמו ב-eXecute).

במקרה של קובץ, הזכויות הללו מובנות בקלות: גישת קריאה מאפשרת קריאת התוכן (כולל העתקה), גישת כתיבה מאפשרת לשנות אותו, וגישה לביצוע מאפשרת להפעיל אותו (שתעבוד רק אם מדובר בתוכנית).

זמן מוגדר ו setgid שתי זכויות מסוימות רלוונטיות לקבצי הפעלה: זמן מוגדר ו setgid (מְסוּמָל הפעלות עם האות "s"). שים לב שאנו מדברים לעתים קרובות על bit, שכן כל אחד מהערכים הבוליאניים הללו יכול להיות מיוצג על ידי 0 או 1. שתי הזכויות הללו מאפשרות לכל משתמש לבצע

התוכנית עם זכויות הבעלים או הקבוצה, בהתאמה. מנגנון זה מעניק גישה לתכונות הדורשות הרשאות ברמה גבוהה יותר מאלה שבדרך כלל יש לך.

מאז זמן מוגדר תוכנית השורש מופעלת באופן שיטתי תחת זהות משתמש העל, חשוב מאוד לוודא שהיא מאובטחת ואמינה. כל משתמש שמצליח לשנות את תוכנית השורש של תוכנית בסיס לקריאת פקודה לפי בחירתו יכול אז להתחזות למשתמש השורש ויש לו את כל הזכויות על המערכת. בודקי חדירה מחפשים באופן קבוע קבצים מסוג זה כאשר הם מקבלים גישה למערכת כדרך להסלים את ההרשאות שלהם.

זמן מוגדר ו setgid שתי זכויות מסוימות רלוונטיות לקבצי הפעלה: זמן מוגדר ו setgid (מְסוּמָל הפעלות עם האות "s"). שים לב שאנו מדברים לעתים קרובות על bit, שכן כל אחד מהערכים הבוליאניים הללו יכול להיות מיוצג על ידי 0 או 1. שתי הזכויות הללו מאפשרות לכל משתמש לבצע

התוכנית עם זכויות הבעלים או הקבוצה, בהתאמה. מנגנון זה מעניק גישה לתכונות הדורשות הרשאות ברמה גבוהה יותר מאלה שבדרך כלל יש לך.

מאז זמן מוגדר תוכנית השורש מופעלת באופן שיטתי תחת זהות משתמש העל, חשוב מאוד לוודא שהיא מאובטחת ואמינה. כל משתמש שמצליח לשנות את תוכנית השורש של תוכנית בסיס לקריאת פקודה לפי בחירתו יכול אז להתחזות למשתמש השורש ויש לו את כל הזכויות על המערכת. בודקי חדירה מחפשים באופן קבוע קבצים מסוג זה כאשר הם מקבלים גישה למערכת כדרך להסלים את ההרשאות שלהם.

תמונה

ספרייה מטופלת בצורה שונה מקובץ. גישת קריאה מעניקה את הזכות לעיין ברשימת תכניה (קבצים וספריות); גישת כתיבה מאפשרת יצירה או מחיקה של קבצים; ו-execute access מאפשר מעבר דרך הספרייה כדי לגשת לתוכן שלה (לדוגמה, עם cd פקודה). היכולת לעבור דרך ספרייה מבלי יכולת לקרוא אותה מעניקה למשתמש הרשאה לגשת לערכים בה הידועים בשמם, אך לא למצוא אותם מבלי לדעת את שמם המדויק.

אבטחה אל האני setgid bit חל גם על ספריות. כל פריט חדש שנוצר בספריות כאלה

setgid מדריך ו דביק

קצת

מוקצה אוטומטית לקבוצת הבעלים של ספריית האב, במקום לרשת-

בקבוצה הראשית של היוצר כרגיל. בגלל זה, אתה לא צריך לשנות את הקבוצה הראשית שלך (עם ה newgrp פקודה) כאשר עובדים בעץ קבצים משותף בין מספר משתמשים של אותה קבוצה ייעודית.

אל האני קצת דביק (מסומל באות "t") היא הרשאה שימושית רק בספריות. הוא משמש במיוחד עבור ספריות זמניות שבהן לכולם יש גישת כתיבה (כגון / tmp /): זה מגביל את מחיקת הקבצים כך שרק הבעלים שלהם או הבעלים של ספריית האב יכולים למחוק אותם. בהעדר זה, כולם יכולים למחוק קבצים של משתמשים אחרים / tmp /.

setgid מדריך ו דביק

קצת

שלוש פקודות שולטות בהרשאות המשויכות לקובץ:

תמונה

• chown קובץ משתמש משנה את הבעלים של הקובץ

עצה לעתים קרובות אתה רוצה לשנות את הקבוצה של קובץ באותו זמן שאתה

שינוי המשתמש ו

קבוצה

לשנות את הבעלים. ה chown לפקודה יש תחביר מיוחד לכך: chown

המשתמש:קובץ קבוצתי

שינוי המשתמש ו

קבוצה

• chgrp קובץ קבוצתי משנה את קבוצת הבעלים

• chmod קובץ זכויות משנה את ההרשאות עבור הקובץ

ישנן שתי דרכים לייצוג זכויות. ביניהם, הייצוג הסמלי הוא כנראה הקל ביותר להבנה ולזכור. זה כולל את סמלי האותיות שהוזכרו לעיל. ניתן להגדיר זכויות לכל קטגוריה של משתמשים (u/g/o), על ידי הגדרתם במפורש (עם =), על ידי הוספה

(+), או חיסור (-). כך u=rwx,g+rw,or הנוסחה מעניקה לבעלים זכויות קריאה, כתיבה וביצוע, מוסיפה זכויות קריאה וכתיבה עבור קבוצת הבעלים, ומסירה זכויות קריאה עבור משתמשים אחרים. זכויות שלא השתנו על ידי חיבור או חיסור בפקודה כזו נשארות ללא שינוי. האות a, לכל דבר, מכסה את כל שלוש קטגוריות המשתמשים, כך ש a=rx מעניק לשלושת הקטגוריות אותן זכויות (קריאה וביצוע, אך לא כתיבה).

הייצוג הנומרי (אוקטלי) משייך כל זכות לערך: 4 לקריאה, 2 לכתיבה ו-1 לביצוע. אנו משייכים כל שילוב של זכויות לסכום של שלוש הדמויות, ולכל קטגוריית משתמשים מוקצה ערך, בסדר הרגיל (בעלים, קבוצה, אחרים).

למשל, chmod 754 פילה הפקודה תגדיר את הזכויות הבאות: קריאה, כתיבה וביצוע עבור הבעלים (שכן 7 = 4 + 2 + 1); לקרוא ולבצע עבור הקבוצה (שכן 5 = 4 + 1); לקריאה בלבד עבור אחרים. ה 0 פירושו אין זכויות; לכן chmod 600 פילה מאפשר הרשאות קריאה וכתיבה לבעלים, וללא זכויות לאף אחד אחר. השילובים הנכונים הנפוצים ביותר הם 755 עבור קבצים וספריות ברי הפעלה, ו 644 עבור קבצי נתונים.

כדי לייצג זכויות מיוחדות, אתה יכול להוסיף ספרה רביעית למספר זה על פי אותו עיקרון, כאשר ה- זמן מוגדר, setgid, ו דביק סיביות הן 4, 2 ו-1, בהתאמה. הפקודה chmod 4754 יקשר את זמן מוגדר קצת עם הזכויות שתוארו קודם לכן.

שים לב שהשימוש בתווי אוקטלי רק מאפשר לך להגדיר את כל הזכויות בבת אחת על קובץ; אינך יכול להשתמש בו כדי להוסיף זכות חדשה, כגון גישת קריאה לבעל הקבוצה, מכיוון שאתה חייב לקחת בחשבון את הזכויות הקיימות ולחשב את הערך המספרי התואם החדש.

הייצוג האוקטלי משמש גם עם ה אומסק הפקודה, המשמשת להגבלת הרשאות על קבצים חדשים שנוצרו. כאשר יישום יוצר קובץ, הוא מקצה הרשאות אינדיקטיביות, בידיעה שהמערכת מסירה אוטומטית את הזכויות המוגדרות עם אומסק. להיכנס אומסק בקליפה; תראה מסכה כגון 0022. זהו פשוט ייצוג אוקטלי של הזכויות שיש להסיר באופן שיטתי (במקרה זה, זכויות הכתיבה של הקבוצה ומשתמשים אחרים).

תמונה

אם אתה נותן לו ערך אוקטלי חדש, ה אומסק הפקודה משנה את המסכה. משמש בקובץ אתחול מעטפת (לדוגמה, ~ /. bas_profile), זה ישנה למעשה את מסכת ברירת המחדל עבור הפעלות העבודה שלך.

עצה לפעמים אנחנו צריכים לשנות זכויות עבור עץ קבצים שלם. כל הפקודות למעלה

פעולה רקורסיבית

יש לי -R אפשרות לפעול באופן רקורסיבי בתתי ספריות.

ההבחנה בין ספריות וקבצים גורמת לפעמים לבעיות בפעולות רקורסיביות. לכן האות "X" הוכנסה לייצוג הסמלי של זכויות. הוא מייצג זכות ביצוע אשר חלה רק על ספריות (ולא על קבצים חסרי זכות זו). לכן, chmod -R a+X בספרייה יוסיף רק זכויות הפעלה עבור כל קטגוריות המשתמשים (a) עבור כל ספריות המשנה והקבצים שלפחות לקטגוריה אחת של משתמשים (גם אם הבעלים הבלעדי שלהם) כבר יש להם זכויות ביצוע.

פעולה רקורסיבית

<הקודם | תוכן | הבא>