Foydalanuvchilarni boshqarish tizim xavfsizligining muhim qismidir. Samarasiz foydalanuvchilar va imtiyozlarni boshqarish ko'pincha ko'plab tizimlarning buzilishiga olib keladi. Shuning uchun oddiy va samarali foydalanuvchi hisobini boshqarish usullaridan foydalangan holda serveringizni qanday himoya qilishni tushunishingiz muhimdir.

Superuser qayerda?

Ubuntu ishlab chiquvchilari ongli ravishda barcha Ubuntu o'rnatishlarida ma'muriy ildiz hisobini (root) sukut bo'yicha blokirovka qilish to'g'risida ongli qaror qabul qilishdi. Bu ildiz hisobi o'chirilgan yoki unga kirish mumkin emas degani emas. Unga hech qanday mumkin bo'lmagan shifrlangan qiymatga mos kelmaydigan parol tayinlangan, shuning uchun uni to'g'ridan-to'g'ri tizimga kirish uchun ishlatib bo'lmaydi.

Buning o'rniga, foydalanuvchilarga nomli vositadan foydalanish tavsiya etiladi sudo ma'muriy vazifalarni o'tkazish. Sudo avtorizatsiya qilingan foydalanuvchilarga superfoydalanuvchiga berilgan parolni bilish oʻrniga oʻz parolidan foydalanib, oʻz imtiyozlarini vaqtincha oshirish imkonini beradi. Ushbu oddiy, ammo samarali usul foydalanuvchining barcha harakatlari uchun javobgarlikni ta'minlaydi va ma'lum imtiyozlarga ega foydalanuvchi qanday harakatlarni bajarishi mumkinligi ustidan ma'muriy nazoratni beradi.

1. Agar biron sababga ko'ra superuser hisobiga ruxsat bermoqchi bo'lsangiz, unga parol o'rnating:

Sudo passwd

Sudo parolingizni so'raydi va keyin o'rnatishni taklif qiladi Yangi parol ildiz uchun quyidagi kabi:

Foydalanuvchi nomi uchun parol: (o'z parolingizni kiriting) Yangi UNIX parolini kiriting: (yangi superfoydalanuvchi parolini kiriting) Yangi UNIX parolini qayta kiriting: (yangi superuser parolini takrorlang) passwd: parol muvaffaqiyatli yangilandi

2. Ildiz hisobini bloklash uchun quyidagi passwd sintaksisidan foydalaning:

Sudo passwd -l ildiz

Man sudo

Odatiy bo'lib, Ubuntu o'rnatuvchisi tomonidan yaratilgan boshlang'ich foydalanuvchi "admin" guruhining a'zosi bo'lib, u /etc/sudoers fayliga sudo-ruxsatlangan foydalanuvchilar sifatida qo'shiladi. Agar siz boshqa hisob qaydnomasi orqali to'liq superfoydalanuvchiga ruxsat berishni istasangiz sudo, shunchaki uni guruhga qo'shing admin.

Foydalanuvchilarni qo'shish va o'chirish

Mahalliy foydalanuvchilar va guruhlarni boshqarish jarayoni oddiy va boshqa GNU/Linux operatsion tizimlaridan unchalik farq qilmaydi. Ubuntu va boshqa Debian-ga asoslangan distribyutorlar hisobni boshqarish uchun "adduser" paketidan foydalanishni rag'batlantiradi.

1. Foydalanuvchi hisobini qo‘shish uchun quyidagi sintaksisdan foydalaning va parol va hisob ma’lumotlari kabi ko‘rsatmalarga amal qiling. to'liq ism, telefon va boshqalar:

Sudo adduser foydalanuvchi nomi

2. Foydalanuvchi va uning asosiy guruhini oʻchirish uchun quyidagi sintaksisdan foydalaning:

Sudo deluser foydalanuvchi nomi

Foydalanuvchini oʻchirish uning bogʻlangan uy katalogini oʻchirib tashlamaydi. Katalogni qo'lda o'chirish yoki uni saqlash qoidalariga muvofiq qoldirish sizning ixtiyoringizda.

Esda tutingki, keyinroq avvalgisi kabi bir xil UID/GID bilan qo'shilgan har qanday foydalanuvchi, agar siz kerakli ehtiyot choralarini ko'rmasangiz, ushbu katalogga kirish huquqiga ega bo'ladi.

Siz ushbu katalogning UID/GID qiymatlarini mosroq narsaga, masalan, superuser qiymatlariga o'zgartirishni xohlashingiz mumkin va kelajakdagi ziddiyatlarni oldini olish uchun katalogni ko'chirishingiz mumkin:

Sudo chown -R root:root /home/username/ sudo mkdir /home/archived_users/ sudo mv /home/username /home/archived_users/

3. Vaqtinchalik bloklash yoki blokdan chiqarish uchun quyidagi sintaksisdan foydalaning:

Sudo passwd -l foydalanuvchi nomi sudo passwd -u foydalanuvchi nomi

4. Shaxsiy guruhni qoʻshish yoki oʻchirish uchun mos ravishda quyidagi sintaksisdan foydalaning:

Sudo addgroup guruhi nomi sudo delgroup groupname

5. Guruhga foydalanuvchi qo‘shish uchun quyidagilardan foydalaning:

Sudo adduser foydalanuvchi nomi guruh nomi

Foydalanuvchi profili xavfsizligi

Yaratilganda Yangi foydalanuvchi, adduser yordam dasturi mos ravishda yangi nomli katalog yaratadi /home/foydalanuvchi nomi. Standart profil profillarni yaratish uchun barcha asoslarni o'z ichiga olgan /etc/skel katalogida joylashgan tarkibdan yaratiladi.

Agar sizning serveringizda ko'plab foydalanuvchilar joylashgan bo'lsa, maxfiylikni saqlash uchun foydalanuvchi uy katalogidagi ruxsatlarga e'tibor berishingiz kerak. Odatiy bo'lib, foydalanuvchi uy kataloglari hamma uchun o'qish/bajarish ruxsatnomalari bilan yaratilgan. Bu shuni anglatadiki, barcha foydalanuvchilar boshqa uy kataloglari tarkibini ko'rishlari va ularga kirishlari mumkin. Bu sizning muhitingizga mos kelmasligi mumkin.

1. Mavjud foydalanuvchilarning uy kataloglariga kirish huquqlarini tekshirish uchun quyidagi sintaksisdan foydalaning:

Ls -ld /home/foydalanuvchi nomi

Quyidagi natija /home/username katalogi hamma uchun o'qish huquqiga ega ekanligini ko'rsatadi:

Drwxr-xr-x 2 foydalanuvchi nomi foydalanuvchi nomi 4096 2007-10-02 20:03 foydalanuvchi nomi

2. Quyidagi sintaksisdan foydalanib, hamma uchun o‘qish ruxsatlarini olib tashlashingiz mumkin:

Sudo chmod 0750 /home/username

Ba'zi odamlar rekursiya (-R) opsiyasidan beg'araz foydalanishadi, bu esa barcha bolalar kataloglari va fayllarini o'zgartiradi, garchi bu kerak bo'lmasa va boshqa istalmagan oqibatlarga olib kelishi mumkin. Asosiy katalogning o'zi uning mazmuniga ruxsatsiz kirishni taqiqlaydi.

Ushbu muammoga yanada samarali yondashuv standart global ruxsatlarni o'zgartirish bo'ladi qo'shimcha foydalanuvchi uy kataloglarini yaratishda. Shunchaki /etc/adduser.conf faylini tahrirlang, DIR_MODE o'zgaruvchisini mosroq narsaga o'zgartiring, shunda barcha yangi uy kataloglari to'g'ri ruxsatlarga ega bo'ladi.

DIR_MODE=0750

3. Yuqorida aytib o'tilgan usullardan foydalangan holda katalog ruxsatlarini tuzatgandan so'ng, natijalarni quyidagi buyruq yordamida tekshiring:

Ls -ld /home/foydalanuvchi nomi

Quyidagi natija o'qish ruxsatnomalari hamma uchun olib tashlanganligini ko'rsatadi:

Drwxr-x--- 2 foydalanuvchi nomi foydalanuvchi nomi 4096 2007-10-02 20:03 foydalanuvchi nomi

Parol siyosati

Kuchli parol siyosati sizning xavfsizlik yondashuvingizning eng muhim jihatlaridan biridir. Ko'pgina muvaffaqiyatli xavfsizlik buzilishlarida qo'pol kuch hujumlari va zaif parollarga qarshi lug'at taxminlari ishlatilgan. Agar biron bir shakldan foydalanmoqchi bo'lsangiz masofaviy kirish mahalliy parol tizimingizdan foydalanib, etarli darajada tayinlaganingizga ishonch hosil qiling minimal talablar parolingizga, maksimal parol muddatiga o'ting va autentifikatsiya tizimingizni tez-tez tekshiring.

Minimal parol uzunligi

Odatiy bo'lib, Ubuntu 6 ta belgidan iborat minimal parol uzunligini, shuningdek, ba'zi asosiy tarqalish tekshiruvlarini talab qiladi. Ushbu sozlamalar /etc/pam.d/common-password fayli tomonidan boshqariladi va quyida keltirilgan:

Parol pam_unix.shunda sha512 noaniq

Agar siz minimal uzunlikni 8 ta belgiga o'rnatmoqchi bo'lsangiz, mos keladigan o'zgaruvchini min=8 ga o'zgartiring. O'zgarishlar quyida keltirilgan:

Parol pam_unix.shuning uchun tushunarsiz sha512 min=8

Asosiy sifat tekshiruvlari va minimal parol uzunligi tekshiruvlari yangi foydalanuvchini sozlash uchun sudo-darajadagi buyruqlar yordamida administratorga taalluqli emas.

Parol muddati

Foydalanuvchi hisoblarini yaratishda foydalanuvchilarni ma'lum vaqtdan keyin parollarini o'zgartirishga majburlash uchun minimal va maksimal parolning amal qilish muddati siyosatini yaratishingiz kerak.

1. Foydalanuvchi hisobining joriy holatini osongina ko‘rish uchun quyidagi sintaksisdan foydalaning:

Sudo chage -l foydalanuvchi nomi

Quyidagi chiqish ko'rsatilgan qiziq faktlar foydalanuvchi hisobi haqida, ya'ni qo'llaniladigan siyosatlar mavjud emas:

Parolning oxirgi oʻzgarishi: 2008-yil 20-yanvar Parolning amal qilish muddati: hech qachon Parol nofaol: hech qachon Hisobning amal qilish muddati tugamaydi: hech qachon Parol oʻzgarishi orasidagi minimal kunlar soni: 0 Parolni oʻzgartirish orasidagi maksimal kunlar soni: 99999 Parol muddati tugashidan oldin ogohlantirish kunlari soni: 7

2. Ushbu qiymatlarni o'rnatish uchun quyidagi buyruqdan foydalaning va interaktiv ko'rsatmalarga amal qiling:

Sudo foydalanuvchi nomini o'zgartirish

Quyida aniq parolning amal qilish muddatini (-E) 01/31/2008 (AQSh sanasi - taxminan) qo'lda qanday o'zgartirishingiz mumkinligiga misol keltirilgan. minimal muddat parolning amal qilish muddati (-m) 5 kun, maksimal amal qilish muddati (-M) 90 kun, harakatsizlik davri (-I) parolning amal qilish muddati tugaganidan keyin 5 kun va ogohlantirish muddati (-W) parolning amal qilish muddati tugashidan 14 kun oldin.

Sudo chage -E 01/31/2011 -m 5 -M 90 -I 30 -W 14 foydalanuvchi nomi

3. O'zgarishlarni tekshirish uchun yuqorida aytib o'tilgan buyruqdan foydalaning:

Sudo chage -l foydalanuvchi nomi

Quyidagi buyruq chiqishi hisobga qo'llaniladigan yangi siyosatlarni ko'rsatadi:

Parolni oxirgi oʻzgartirish: 2008-yil 20-yanvar Parolning amal qilish muddati: 2008-yil 19-aprel Parol nofaol: 2008-yil 19-may Hisobning amal qilish muddati: 2008-yil 31-yanvar Parol oʻzgarishi orasidagi minimal kunlar soni: 5 Parolni oʻzgartirish orasidagi maksimal kunlar soni: 90 kunlar soni Parol muddati tugashidan oldin ogohlantirish: 14

Boshqa xavfsizlik masalalari

Ko'pgina ilovalar hatto tajribali foydalanuvchilar tomonidan ham osongina e'tibordan chetda qolishi mumkin bo'lgan muqobil autentifikatsiya mexanizmlaridan foydalanadi. tizim ma'murlari. Shu sababli, foydalanuvchilarning serveringizdagi xizmatlar va ilovalarga qanday kirishini tushunish va nazorat qilish muhimdir.

Bloklangan foydalanuvchilar tomonidan SSH kirish

Oddiy o'chirish/bloklash, agar u ilgari autentifikatsiya qilingan bo'lsa, foydalanuvchi serverga masofadan ulanishini istisno qilmaydi. umumiy kalit RSA. Bunday foydalanuvchilar serverdagi konsol qobig'iga hech qanday parol kiritmasdan kirish huquqiga ega bo'ladilar. Ushbu turdagi SSH avtorizatsiyasiga ruxsat beruvchi fayllar uchun foydalanuvchi uy kataloglarini tekshirishni unutmang, masalan, /home/username/.ssh/authorized_keys.

Foydalanuvchining uy katalogidagi .ssh/ katalogini olib tashlash yoki nomini o'zgartirish SSH autentifikatsiya qilishning keyingi imkoniyatlarini oldini oladi.

Bloklangan foydalanuvchilar tomonidan amalga oshirilgan har qanday SSH ulanishlarini tekshirib ko'ring, chunki hali ham kiruvchi yoki chiquvchi ulanishlar mavjud bo'lishi mumkin. Topgan hamma narsani o'ldiring.

SSH kirishini faqat talab qiladigan foydalanuvchi hisoblariga cheklang. Misol uchun, siz "sshlogin" deb nomlangan guruh yaratishingiz va guruh nomini /etc/ssh/sshd_config faylida joylashgan AllowGroups o'zgaruvchisi uchun qiymat sifatida qo'shishingiz mumkin.

AllowGroups sshlogin

Keyin "sshlogin" guruhiga SSH kirishiga ruxsat berilgan foydalanuvchilaringizni qo'shing va SSH xizmatini qayta ishga tushiring.

Sudo adduser foydalanuvchi nomi sshlogin sudo xizmati ssh qayta ishga tushirildi

Tashqi ma'lumotlar bazasi yordamida autentifikatsiya

Ko'pchilik korporativ tarmoqlar barcha tizim resurslari uchun markazlashtirilgan autentifikatsiya va kirishni nazorat qilishni talab qiladi. Agar siz serveringizni foydalanuvchilarni tashqi ma'lumotlar bazasiga nisbatan autentifikatsiya qilish uchun sozlagan bo'lsangiz, o'chirib qo'yganingizga ishonch hosil qiling Hisoblar tashqi va mahalliy, shuning uchun orqaga qaytishga ishonchingiz komil bo'ladi mahalliy autentifikatsiya imkonsiz.

Linux ko'p foydalanuvchili tizim bo'lganligi sababli, fayllar va kataloglarga kirishni boshqarishni tashkil etish masalasi operatsion tizim hal qilishi kerak bo'lgan muhim muammolardan biridir. Kirishni boshqarish mexanizmlari uchun mo'ljallangan UNIX tizimlari 70-yillarda (ehtimol, ular ilgari kimdir tomonidan taklif qilingan) juda oddiy, ammo ular shunchalik samarali bo'lib chiqdiki, ular 30 yildan ortiq vaqt davomida mavjud bo'lib, bugungi kunga qadar o'z vazifalarini muvaffaqiyatli bajarmoqdalar.

Kirishni boshqarish mexanizmlari foydalanuvchi nomlari va foydalanuvchilar guruhi nomlariga asoslanadi. Siz allaqachon bilasizki, Linuxda har bir foydalanuvchi mavjud noyob ism, uning ostida u tizimga kiradi (kirish). Bundan tashqari, tizimda bir qancha foydalanuvchilar guruhlari yaratiladi va har bir foydalanuvchi bir yoki bir nechta guruhlarga kiritilishi mumkin. Superuser guruhlarni yaratadi va o'chiradi, shuningdek, u ma'lum bir guruh a'zolari tarkibini o'zgartirishi mumkin. Turli guruhlarning a'zolari fayllarga kirish huquqiga ega bo'lishi mumkin; masalan, administratorlar guruhi dasturchilar guruhiga qaraganda ko'proq huquqlarga ega bo'lishi mumkin.

Har bir faylning inode fayl egasi deb ataladigan nom va ushbu faylga huquqlarga ega bo'lgan guruhni o'z ichiga oladi. Dastlab, fayl yaratilganda, uning egasi faylni yaratgan foydalanuvchi deb e'lon qilinadi. Aniqrog'i, faylni yaratish jarayoni uning nomidan boshlangan foydalanuvchi. Guruh fayl yaratilganda ham tayinlanadi - faylni yaratish jarayonining guruh identifikatoriga ko'ra. Faylning egasi va guruhi keyingi ish paytida buyruqlar yordamida o'zgartirilishi mumkin chown Va chgrp(ular haqida biroz keyinroq aytiladi).

Endi buyruqni yana ishga tushiramiz ls -l. Ammo qo'shimcha parametr sifatida unga ma'lum bir fayl nomini beraylik, masalan, buyruqning o'zini ko'rsatadigan fayl ls. (Aytgancha, ushbu buyruq variantiga e'tibor bering ls -l— bir vaqtning o'zida katalogdagi barcha fayllar haqida emas, balki ma'lum bir fayl haqida ma'lumot olish).

$ ls -l /bin/ls

Ko'rishingiz mumkinki, bu holda fayl egasi ildiz foydalanuvchisi va ildiz guruhidir. Ammo endi ushbu buyruqning chiqishida bizni ko'proq birinchi maydon qiziqtiradi, bu fayl turini va faylga kirish huquqini belgilaydi. Yuqoridagi misoldagi bu maydon belgilar qatori bilan ifodalangan -rwxr-xr-x. Ushbu belgilarni 4 guruhga bo'lish mumkin.

Bitta belgidan iborat birinchi guruh fayl turini aniqlaydi. Oldingi bo'limda muhokama qilingan fayl turlariga muvofiq ushbu belgi quyidagi qiymatlarni olishi mumkin:

- = - oddiy fayl;

d =- katalog;

b =— qurilma faylini bloklash;

c =— belgilar qurilmasi fayli;

s =— domen soketi;

p =— nomli quvur (quvur);

l =— ramziy havola (havola).

Keyinchalik, fayl egasi, ushbu fayl bilan bog'langan foydalanuvchilar guruhi va tizimning barcha boshqa foydalanuvchilari uchun faylga kirish huquqlarini belgilaydigan uchta belgidan iborat uchta guruhni bajaring. Bizning misolimizda egasi uchun ruxsatlar rwx sifatida belgilangan, ya'ni egasi ( ildiz) faylni o'qish (r), ushbu faylga yozish (w) va faylni bajarish uchun ishga tushirish (x) huquqiga ega. Ushbu belgilarning istalganini chiziqcha bilan almashtirish foydalanuvchi tegishli huquqdan mahrum bo'lishini anglatadi. Xuddi shu misolda biz boshqa barcha foydalanuvchilar (shu jumladan guruhga kiritilganlar) ekanligini ko'ramiz ildiz) ushbu faylga yozish huquqidan mahrum, ya'ni ular faylni tahrir qila olmaydi yoki hech qanday tarzda o'zgartira olmaydi.

Umuman olganda, UNIX tizimlaridagi kirish huquqlari va fayl turi haqidagi ma’lumotlar inodelarda ikki baytdan, ya’ni 16 bitdan iborat alohida tuzilmada saqlanadi (bu tabiiydir, chunki kompyuter r, w, x belgilarda emas, bitlarda ishlaydi). Ushbu 16 bitdan to'rttasi kodlangan fayl turi yozuvi uchun ajratilgan. Keyingi uchta bit bajariladigan fayllarning maxsus xususiyatlarini o'rnatadi, biz biroz keyinroq gaplashamiz. Va nihoyat, qolgan 9 bit fayl ruxsatlarini aniqlaydi. Bu 9 bit uch bitli 3 guruhga bo'lingan. Birinchi uchta bit foydalanuvchi huquqlarini, keyingi uchta bit guruh huquqlarini va oxirgi 3 bit boshqa barcha foydalanuvchilarning huquqlarini belgilaydi (ya'ni fayl egasi va fayl guruhidan tashqari barcha foydalanuvchilar).

Bunday holda, agar tegishli bit 1 qiymatiga ega bo'lsa, u holda huquq beriladi, agar u 0 ga teng bo'lsa, huquq berilmaydi. Huquq belgilarining ramziy ko'rinishida 1 mos keladigan belgi (r, w yoki x) bilan almashtiriladi va 0 tire bilan ifodalanadi.

Faylni o'qish (r) ruxsati foydalanuvchi fayl tarkibini turli xil ko'rish buyruqlari, masalan, buyruq yordamida ko'rishi mumkinligini anglatadi. Ko'proq yoki har qanday foydalanish matn muharriri. Ammo agar siz matn muharririda fayl mazmunini tahrir qilsangiz, faylga yozish (w) ruxsati bo'lmaguningizcha faylga kiritilgan o'zgarishlarni diskda saqlay olmaysiz. Amalga oshirish (x) ruxsati siz faylni xotiraga yuklashingiz va uni bajariladigan dastur sifatida ishga tushirishga harakat qilishingiz mumkinligini anglatadi. Albatta, agar aslida fayl dastur (yoki qobiq skripti) bo'lmasa, u holda bu faylni bajarish uchun ishga tushirish mumkin bo'lmaydi, lekin boshqa tomondan, fayl haqiqatan ham dastur bo'lsa ham, lekin uning uchun ijro huquqi o'rnatilmagan bo'lsa, u ham boshlanmaydi.

Shunday qilib, biz Linuxda qaysi fayllar bajarilishi mumkinligini bilib oldik! Ko'rib turganingizdek, fayl nomi kengaytmasi u bilan hech qanday aloqasi yo'q, hamma narsa "bajariladigan" atributni o'rnatish orqali aniqlanadi va har kimga ham bajarish huquqi berilmasligi mumkin!

Agar siz xuddi shu buyruqni bajarsangiz ls -l, lekin oxirgi argument sifatida unga fayl nomi emas, balki katalog nomi berilishi kerak, biz kirish huquqlari kataloglar uchun ham aniqlanganligini va ular bir xil rwx belgilari bilan ko'rsatilganligini ko'ramiz. Masalan, buyruqni ishga tushirish orqali ls -l /, bin katalogi qatorga mos kelishini ko'ramiz:

Tabiiyki, kataloglarga nisbatan "to'g'ri o'qish", "to'g'ri yozish" va "to'g'ri bajarish" tushunchalarining talqini biroz o'zgaradi. Agar katalog oddiygina ma'lum bir katalogdagi fayllar ro'yxatini o'z ichiga olgan fayl ekanligini eslasangiz, kataloglarga nisbatan o'qish ruxsatini tushunish oson. Shuning uchun, agar siz katalogda o'qishga ruxsat olgan bo'lsangiz, uning mazmunini ko'rishingiz mumkin (bu katalogdagi fayllar ro'yxati). Yozish huquqi ham aniq - bunday huquqqa ega bo'lgan holda, siz ushbu katalogdagi fayllarni yaratishingiz va o'chirishingiz mumkin bo'ladi, ya'ni katalogga fayl nomi va tegishli havolalarni o'z ichiga olgan yozuvni qo'shish yoki o'chirish kifoya. Amalga oshirish huquqi kamroq intuitivdir. Bunday holda, bu katalogga o'tish huquqini anglatadi. Agar siz egasi sifatida boshqa foydalanuvchilarga katalogingizdagi faylni ko‘rishga ruxsat berishni istasangiz, ularga katalogga kirishga ruxsat berishingiz kerak, ya’ni ularga “katalogni bajarishga ruxsat” berishingiz kerak. Bundan tashqari, foydalanuvchiga ushbu katalog ustidagi daraxtda joylashgan barcha kataloglarni bajarish huquqini berishingiz kerak. Shuning uchun, printsipial jihatdan, barcha kataloglar egasi va guruh uchun, shuningdek, barcha boshqa foydalanuvchilar uchun standart bajarish ruxsatiga ega. Va agar siz katalogga kirishni bloklamoqchi bo'lsangiz, barcha foydalanuvchilarni (shu jumladan guruhni) ushbu katalogga kirish huquqidan mahrum qiling. Faqat o'zingizni bu huquqdan mahrum qilmang, aks holda siz superuserga murojaat qilishingiz kerak bo'ladi! (Eslatma 11)

Oldingi paragrafni o'qib chiqqandan so'ng, o'qish to'g'risidagi katalog ijro huquqi bilan solishtirganda yangi hech narsa bermagandek tuyulishi mumkin. Biroq, bu huquqlarda hali ham farq bor. Agar siz faqat bajarish uchun ruxsatni o'rnatsangiz, siz katalogga kira olasiz, lekin u erda hech qanday faylni ko'rmaysiz (bu effekt, ayniqsa, agar siz biron bir fayl boshqaruvchisidan foydalanayotgan bo'lsangiz, masalan, Midnight Commander). Agar siz ushbu katalogning har qanday kichik katalogiga kirish huquqiga ega bo'lsangiz, unga o'tishingiz mumkin (buyruq bilan). CD), lekin ular aytganidek, "ko'r-ko'rona" xotiradan, chunki siz joriy katalogning fayllari va pastki kataloglarini ko'rmaysiz.

Faylga kirishda foydalanuvchi huquqlarini tekshirish algoritmini quyidagicha tavsiflash mumkin. Tizim avval foydalanuvchi nomi fayl egasi nomiga mos kelishini tekshiradi. Agar bu nomlar mos keladigan bo'lsa (ya'ni egasi o'z fayliga kirsa), u holda egasining tegishli kirish huquqiga ega ekanligi tekshiriladi: o'qish, yozish yoki bajarish (hayron bo'lmang, superfoydalanuvchi fayl egasini ba'zilardan mahrum qilishi mumkin. huquqlar). Agar bunday huquq mavjud bo'lsa, unda tegishli operatsiyaga ruxsat beriladi. Agar to'g'ri qonun egasida yo'q bo'lsa, guruh orqali yoki boshqa foydalanuvchilar uchun kirish atributlari guruhi orqali berilgan huquqlarni tekshirish endi tekshirilmaydi va foydalanuvchiga so'ralgan harakatni amalga oshirishning iloji yo'qligi haqida xabar beriladi (odatda shunga o'xshash narsa). "Ruxsat berilmadi").

Agar faylga kiruvchi foydalanuvchi nomi egasining ismiga mos kelmasa, tizim egasi ushbu fayl bilan bog'langan guruhga tegishli ekanligini tekshiradi (bundan keyin biz uni shunchaki fayl guruhi deb ataymiz). Agar tegishli bo'lsa, guruhga xos atributlar faylga kirish mumkinligini aniqlash uchun ishlatiladi va egasi va boshqa barcha foydalanuvchilar uchun atributlar e'tiborga olinmaydi. Agar foydalanuvchi fayl egasi bo'lmasa va fayl guruhining a'zosi bo'lmasa, uning huquqlari boshqa foydalanuvchilar uchun atributlar bilan belgilanadi. Shunday qilib, fayllarga kirish huquqlarini belgilaydigan atributlarning uchinchi guruhi fayl egasi va fayl guruhidagi foydalanuvchilardan tashqari barcha foydalanuvchilar uchun amal qiladi.

Fayl ruxsatlarini o'zgartirish uchun buyruqdan foydalaning chmod. U ikki usulda ishlatilishi mumkin. Birinchi variantda siz kimga qanday huquq berayotganingizni yoki kimni bu huquqdan mahrum qilayotganingizni aniq ko'rsatishingiz kerak:

$ chmod wXp fayl nomi

qaerda belgi o'rniga w almashtirilgan

yoki belgi u(ya'ni egasi bo'lgan foydalanuvchi);

yoki g(guruh);

yoki o(ushbu fayl tegishli bo'lgan guruhga a'zo bo'lmagan barcha foydalanuvchilar);

yoki a(tizimning barcha foydalanuvchilari, ya'ni egasi, guruh va boshqalar).

O'rniga X qo'ying:

yoki + (biz huquq beramiz);

yoki - (biz tegishli huquqdan mahrum qilamiz);

yoki = (mavjud huquqlar o'rniga belgilangan huquqlarni o'rnating),

O'rniga p- tegishli huquqni bildiruvchi belgi:

r(o'qish);

w(rekord);

x(ishlash).

Bu erda buyruqdan foydalanishning ba'zi misollari keltirilgan chmod:

$ chmod a+x fayl_nomi

tizimning barcha foydalanuvchilariga ushbu faylni bajarish huquqini beradi.

$ chmod go-rw fayl_nomi

fayl egasidan tashqari hamma uchun o'qish va yozish ruxsatini olib tashlaydi.

$ chmod ugo+rwx fayl_nomi

Hammaga o'qish, yozish va bajarishga ruxsat beradi.

Agar bu huquq kimga berilganligini ko'rsatib qo'yadigan bo'lsak, u holda gap umuman barcha foydalanuvchilar haqida ketayotgani tushuniladi, ya'ni. $ chmod a+x fayl_nomi

oddiygina yozish mumkin

$ chmod + x fayl_nomi

Buyruqni belgilash uchun ikkinchi variant chmod(u tez-tez ishlatiladi) huquqlarning raqamli ifodasiga asoslangan. Buning uchun r belgisini 4 raqami bilan, w belgisini 2 raqami va x belgisini 1 raqami bilan kodlaymiz.Foydalanuvchilarga ma’lum huquqlar to‘plamini taqdim etish uchun tegishli raqamlarni qo‘shishimiz kerak. . Shunday qilib, fayl egasi, fayl guruhi va boshqa barcha foydalanuvchilar uchun kerakli raqamli qiymatlarni olganimizdan so'ng, biz ushbu uchta raqamni buyruqqa argument sifatida o'rnatdik. chmod(bu raqamlarni fayl nomini ko'rsatuvchi ikkinchi argument oldidan buyruq nomidan keyin qo'yamiz). Misol uchun, agar siz barcha huquqlarni egasiga berishingiz kerak bo'lsa (4+2+1=7), guruhga o'qish va yozish huquqlari (4+2=6) va boshqalarga hech qanday huquq bermaslik kerak bo'lsa, unda siz berishingiz kerak. quyidagi buyruq:

$ chmod 760 fayl_nomi

Agar siz sakkizlik raqamlarni ikkilik kodlash bilan tanish bo'lsangiz, unda siz ushbu ko'rinishdagi buyruq nomidan keyingi raqamlar fayl egasining huquqlarini belgilaydigan 9 bitning sakkizta ko'rinishidan boshqa narsa emasligini tushunasiz. fayllar guruhi va barcha foydalanuvchilar uchun.

Buyruq yordamida fayl ruxsatlarini o'zgartiring chmod Buni faqat fayl egasi yoki super foydalanuvchi qila oladi. Guruh huquqlarini o'zgartirish imkoniyatiga ega bo'lish uchun egasi qo'shimcha ravishda ushbu faylga huquq bermoqchi bo'lgan guruh a'zosi bo'lishi kerak.

Fayllarga kirish huquqlari haqidagi hikoyani yakunlash uchun biz bir xil buyruq yordamida o'rnatilishi mumkin bo'lgan yana uchta fayl atributlari haqida gapirishimiz kerak. chmod. Bu fayl turi kodidan keyin darhol fayl huquqlarini belgilaydigan ikki baytli tuzilmadagi fayl inodesida 5-7 o'rinlarni egallagan bajariladigan fayllar uchun bir xil atributlardir.

Ushbu atributlarning birinchisi "foydalanuvchi ID bitini o'zgartirish" deb ataladi. Ushbu bitning ma'nosi quyidagicha.

Odatda, foydalanuvchi dasturni ishga tushirganda, ushbu dastur dasturni ishga tushirgan foydalanuvchi ega bo'lgan fayllar va kataloglarga bir xil kirish huquqlarini oladi. Agar "foydalanuvchi identifikatorini o'zgartirish biti" o'rnatilgan bo'lsa, u holda dastur dastur fayli egasi ega bo'lgan fayllar va kataloglarga kirish huquqiga ega bo'ladi (shunday qilib, ko'rib chiqilayotgan atribut "egasini o'zgartirish biti" deb nomlanadi). Bu sizga aks holda bajarish qiyin bo'lgan ba'zi vazifalarni hal qilish imkonini beradi. Eng tipik misol - parolni o'zgartirish buyrug'i passwd. Barcha foydalanuvchi parollari superuserga tegishli /etc/passwd faylida saqlanadi. ildiz. Shuning uchun, oddiy foydalanuvchilar tomonidan ishga tushirilgan dasturlar, shu jumladan buyruq passwd, bu faylga yozish mumkin emas. Bu shuni anglatadiki, foydalanuvchi o'z parolini o'zgartira olmaydi. Ammo /usr/bin/passwd faylida "egasining identifikatorini o'zgartirish biti" mavjud, ya'ni foydalanuvchi ildiz. Shuning uchun, parolni o'zgartirish dasturi passwd huquqlar bilan ishlaydi ildiz va /etc/passwd fayliga yozish huquqini oladi (dasturning o'zi foydalanuvchi ushbu faylda faqat bitta qatorni o'zgartirishi mumkinligini ta'minlaydi).

"Egasining ID bitini o'zgartirish" buyrug'i yordamida superuser tomonidan o'rnatilishi mumkin

# chmod +s fayl_nomi

"Guruh identifikatorini o'zgartirish biti" xuddi shunday ishlaydi.

Bajariladigan faylning yana bir mumkin bo'lgan atributi bu "vazifani saqlash biti" yoki "yopishqoq bit". Ushbu bit tizimga dastur tugallangandan so'ng uni RAMga saqlashni aytadi. Ushbu bitni tez-tez bajarilishi kerak bo'lgan vazifalar uchun yoqish qulay, chunki bu holda u har safar ishga tushirilganda dasturni yuklash vaqtini tejaydi. Bu xususiyat eski kompyuter modellarida talab qilingan. Zamonaviy yuqori tezlikda ishlaydigan tizimlarda kamdan-kam qo'llaniladi.

Agar buyruqda atributlarni ko'rsatish uchun raqamli variant ishlatilsa chmod, keyin ushbu atributlarning raqamli qiymati foydalanuvchi huquqlarini ko'rsatuvchi raqamlardan oldin bo'lishi kerak:

# chmod 4775 fayl_nomi

Bunday holda, kerakli umumiy natijani olish uchun ushbu bitlarning og'irligi quyidagicha o'rnatiladi:

4 - "foydalanuvchi identifikatorini o'zgartirish biti",

2 - "guruh identifikatorini o'zgartirish biti",

1 - "vazifani saqlash biti (yopishqoq bit)".

Agar ushbu uchta bitdan birortasi 1 ga o'rnatilgan bo'lsa, buyruq chiqishi biroz o'zgaradi ls -l o'rnatilgan kirish huquqlari atributlarini ko'rsatish nuqtai nazaridan. Agar "foydalanuvchi ID bitini o'zgartirish" 1 ga o'rnatilgan bo'lsa, fayl egasining huquqlarini belgilovchi guruhdagi "x" belgisi "s" belgisi bilan almashtiriladi. Bundan tashqari, agar egasi faylni bajarish huquqiga ega bo'lsa, u holda "x" belgisi kichik "s" bilan almashtiriladi va agar egasi faylni bajarish huquqiga ega bo'lmasa (masalan, fayl bajarilmaydi). umuman), keyin "x" o'rniga "S" qo'yiladi. Shunga o'xshash almashtirishlar "guruh identifikatorini o'zgartirish biti" ni belgilashda amalga oshiriladi, lekin guruh huquqlarini ko'rsatuvchi atributlar guruhidagi "x" belgisi almashtiriladi. Agar "vazifa yopishqoq biti" 1 bo'lsa, u holda barcha boshqa foydalanuvchilar uchun huquqlarni belgilovchi atributlar guruhidagi "x" belgisi almashtiriladi va agar barcha foydalanuvchilar faylni ishga tushira olsa, "x" "t" belgisi bilan almashtiriladi. , va agar ular bunday huquqqa ega bo'lmasa, "T" belgisi bilan.

Shunday qilib, buyruq chiqishi bo'lsa-da ls -l Identifikatorni o'zgartirish bitlari va vazifani saqlash bitlari qiymatlarini ko'rsatish uchun alohida pozitsiyalar mavjud emas, tegishli ma'lumotlar ko'rsatiladi. Bu qanday ko'rinishga ega bo'lishiga kichik bir misol:

# ls -l prim1

Foydalanuvchilarni boshqarish xavfsiz tizimni saqlashning muhim qismidir. Samarasiz foydalanuvchi va imtiyozlarni boshqarish ko'pincha ko'plab tizimlarning buzilishiga olib keladi. Shuning uchun, oddiy va samarali foydalanuvchi hisobini boshqarish usullari orqali serveringizni qanday himoya qilishingiz mumkinligini tushunish muhimdir.

Ubuntu ishlab chiquvchilari barcha Ubuntu o'rnatishlarida sukut bo'yicha ma'muriy ildiz hisobini o'chirishga vijdonan qaror qilishdi. Bu ildiz hisobi o'chirilgan yoki unga kirish mumkin emas degani emas. Unga faqat hech qanday mumkin bo'lmagan shifrlangan qiymatga mos kelmaydigan parol berilgan, shuning uchun o'z-o'zidan tizimga kirmasligi mumkin.

Buning o'rniga, foydalanuvchilarga tizim ma'muriy vazifalarini bajarish uchun sudo nomidagi vositadan foydalanish tavsiya etiladi. Sudo avtorizatsiya qilingan foydalanuvchiga ildiz hisobiga tegishli parolni bilish o'rniga o'z parolidan foydalangan holda o'z imtiyozlarini vaqtincha oshirish imkonini beradi. Ushbu oddiy, ammo samarali metodologiya foydalanuvchining barcha harakatlari uchun javobgarlikni ta'minlaydi va administratorga foydalanuvchi ushbu imtiyozlar bilan qaysi amallarni bajarishi mumkinligini batafsil nazorat qiladi.

Agar biron sababga ko'ra siz ildiz hisobini yoqmoqchi bo'lsangiz, unga parol bering:

Ildiz parollari bilan konfiguratsiyalar emas qo'llab-quvvatlanadi.

sudo passwd

Sudo sizdan parolingizni so'raydi va keyin quyida ko'rsatilgandek root uchun yangi parolni kiritishingizni so'raydi:

Foydalanuvchi nomi uchun parol: (kiring sizning o'zingizniki parol) Yangi UNIX parolini kiriting: (root uchun yangi parolni kiriting) Yangi UNIX parolini qayta kiriting: (root uchun yangi parolni takrorlang) passwd: parol muvaffaqiyatli yangilandi

Ildiz hisobi parolini o'chirish uchun quyidagi passwd sintaksisidan foydalaning:

sudo passwd -l ildiz

Biroq, ildiz hisobining o'zini o'chirish uchun quyidagi buyruqdan foydalaning:

usermod - muddati tugagan 1

Man sahifasini o'qib, Sudo haqida ko'proq o'qishingiz kerak:

odam sudo

Odatiy bo'lib, Ubuntu o'rnatuvchisi tomonidan yaratilgan dastlabki foydalanuvchi "sudo" guruhining a'zosi bo'lib, u /etc/sudoers fayliga vakolatli sudo foydalanuvchisi sifatida qo'shiladi. Agar siz boshqa hisob qaydnomalariga sudo orqali to'liq ildiz ruxsatini berishni istasangiz, ularni sudo guruhiga qo'shing.

Foydalanuvchilarni qo'shish va o'chirish

Mahalliy foydalanuvchilar va guruhlarni boshqarish jarayoni oddiy va boshqa GNU/Linux operatsion tizimlaridan juda kam farq qiladi. Ubuntu va boshqa Debian distributivlari hisobni boshqarish uchun "adduser" paketidan foydalanishni rag'batlantiradi.

Foydalanuvchi hisobini qo'shish uchun quyidagi sintaksisdan foydalaning va hisobga parol va to'liq ism, telefon raqami va boshqalar kabi identifikatsiya qilinadigan xususiyatlarni berish uchun ko'rsatmalarga rioya qiling.

sudo adduser foydalanuvchi nomi

Foydalanuvchi hisobini va uning asosiy guruhini o'chirish uchun quyidagi sintaksisdan foydalaning:

sudo deluser foydalanuvchi nomi

Hisob qaydnomasini o'chirish ularning tegishli bosh papkasini olib tashlamaydi. Jildni qo'lda o'chirish yoki uni o'zingiz xohlagan saqlash qoidalariga muvofiq saqlashni xohlaysizmi, sizga bog'liq.

Esda tuting, agar siz kerakli ehtiyot choralarini ko'rmagan bo'lsangiz, keyinroq avvalgi egasi bilan bir xil UID/GID bilan qo'shilgan har qanday foydalanuvchi endi ushbu jildga kirish huquqiga ega bo'ladi.

Siz ushbu UID/GID qiymatlarini ildiz hisob qaydnomasi kabi mosroq narsaga o'zgartirishni xohlashingiz va hatto kelajakdagi ziddiyatlarni oldini olish uchun papkani boshqa joyga ko'chirishingiz mumkin:

sudo chown -R ildizi: root /hoy/foydalanuvchi nomi/ sudo mkdir /home/archived_users/ sudo mv /home/username /home/archived_users/

Foydalanuvchi hisobini vaqtincha bloklash yoki blokdan chiqarish uchun mos ravishda quyidagi sintaksisdan foydalaning:

sudo passwd -l foydalanuvchi nomi sudo passwd -u foydalanuvchi nomi

Moslashtirilgan guruhni qoʻshish yoki oʻchirish uchun mos ravishda quyidagi sintaksisdan foydalaning:

sudo addgroup groupname Sudo delgroup groupname

Guruhga foydalanuvchi qo'shish uchun quyidagi sintaksisdan foydalaning:

sudo adduser foydalanuvchi nomi guruh nomi

Foydalanuvchi profili xavfsizligi

Yangi foydalanuvchi yaratilganda, adduser yordam dasturi /home/username nomli yangi uy katalogini yaratadi. Standart profil barcha profil asoslarini o'z ichiga olgan /etc/skel katalogida joylashgan tarkibdan keyin modellashtirilgan.

Agar sizning serveringizda bir nechta foydalanuvchi bo'lsa, maxfiylikni ta'minlash uchun foydalanuvchi uy katalogi ruxsatlariga e'tibor berishingiz kerak. Odatiy bo'lib, Ubuntu'dagi foydalanuvchi uy kataloglari dunyo o'qish/bajarish ruxsatnomalari bilan yaratilgan. Bu shuni anglatadiki, barcha foydalanuvchilar boshqa foydalanuvchilarning uy kataloglarini ko'rib chiqishlari va ularga kirishlari mumkin. Bu sizning muhitingizga mos kelmasligi mumkin.

Joriy foydalanuvchi uy katalogi ruxsatlarini tekshirish uchun quyidagi sintaksisdan foydalaning:

ls -ld /home/foydalanuvchi nomi

Quyidagi natija /home/username katalogi dunyo tomonidan o'qilishi mumkin bo'lgan ruxsatlarga ega ekanligini ko'rsatadi:

drwxr-xr-x 2 foydalanuvchi nomi foydalanuvchi nomi 4096 2007-10-02 20:03 foydalanuvchi nomi

Siz quyidagi sintaksis yordamida dunyo o'qilishi mumkin bo'lgan ruxsatlarni olib tashlashingiz mumkin:

sudo chmod 0750 /home/username

Ba'zi odamlar barcha pastki papkalar va fayllarni o'zgartiradigan rekursiv opsiyadan (-R) foydalanishga moyildirlar, ammo bu kerak emas va boshqa istalmagan natijalarga olib kelishi mumkin. Ota-katalogning o'zi ota-onadan past bo'lgan narsalarga ruxsatsiz kirishni oldini olish uchun etarli.

Bu masalaga yanada samarali yondashuv foydalanuvchi uy papkalarini yaratishda qo'shimcha foydalanuvchi global standart ruxsatlarini o'zgartirish bo'ladi. Shunchaki /etc/adduser.conf faylini tahrirlang va DIR_MODE o'zgaruvchisini mos keladigan narsaga o'zgartiring, shunda barcha yangi uy kataloglari to'g'ri ruxsatlarni oladi.

Yuqorida aytib o'tilgan usullardan foydalangan holda katalog ruxsatlarini tuzatgandan so'ng, natijalarni quyidagi sintaksisdan foydalanib tekshiring:

ls -ld /home/foydalanuvchi nomi

Quyidagi natijalar dunyoda o‘qilishi mumkin bo‘lgan ruxsatnomalar olib tashlanganligini ko‘rsatadi:

drwxr-x--- 2 foydalanuvchi nomi foydalanuvchi nomi 4096 2007-10-02 20:03 foydalanuvchi nomi

Parol siyosati

Kuchli parol siyosati sizning xavfsizlik pozitsiyangizning eng muhim jihatlaridan biridir. Ko'pgina muvaffaqiyatli xavfsizlik buzilishlari zaif parollarga qarshi oddiy qo'pol kuch va lug'at hujumlarini o'z ichiga oladi. Agar siz mahalliy parol tizimi bilan masofaviy kirishning har qanday shaklini taklif qilmoqchi bo'lsangiz, parolning minimal murakkabligi talablari, parolning maksimal ishlash muddati va autentifikatsiya tizimlarining tez-tez tekshirilishiga mos ravishda javob berganingizga ishonch hosil qiling.

Minimal parol uzunligi

Odatiy bo'lib, Ubuntu 6 ta belgidan iborat minimal parol uzunligini, shuningdek, ba'zi asosiy entropiya tekshiruvlarini talab qiladi. Ushbu qiymatlar quyida ko'rsatilgan /etc/pam.d/common-password faylida nazorat qilinadi.

parol pam_unix.shunda sha512 noaniq

Agar siz minimal uzunlikni 8 ta belgiga moslashtirmoqchi bo'lsangiz, tegishli o'zgaruvchini min=8 ga o'zgartiring. O'zgartirish quyida tasvirlangan.

parol pam_unix.shuning uchun tushunarsiz sha512 minlen=8

Asosiy parol entropiyasini tekshirish va minimal uzunlik qoidalari yangi foydalanuvchini sozlash uchun sudo darajasidagi buyruqlar yordamida administratorga taalluqli emas.

Parolning amal qilish muddati

Foydalanuvchi hisoblarini yaratishda siz foydalanuvchilarni muddati tugagandan so'ng parollarini o'zgartirishga majburlaydigan minimal va maksimal parol yoshiga ega bo'lish siyosatini amalga oshirishingiz kerak.

Foydalanuvchi hisobining joriy holatini osongina ko'rish uchun quyidagi sintaksisdan foydalaning:

sudo chage -l foydalanuvchi nomi

Quyidagi natijada foydalanuvchi hisobiga oid qiziqarli faktlar, ya'ni hech qanday siyosat qo'llanilmaganligi ko'rsatilgan:

Parolni oxirgi oʻzgartirish: 2015-yil 20-yanvar Parolning amal qilish muddati: hech qachon Parol nofaol: hech qachon Hisobning amal qilish muddati tugamaydi: hech qachon Parol oʻzgarishi orasidagi minimal kunlar soni: 0 Parolni oʻzgartirish orasidagi maksimal kunlar soni: 99999 Parolning amal qilish muddati tugashidan oldin ogohlantirish kunlari soni: 7

Ushbu qiymatlardan birini o'rnatish uchun quyidagi sintaksisdan foydalaning va interaktiv ko'rsatmalarga amal qiling:

sudo foydalanuvchi nomini o'zgartirish

Quyida aniq amal qilish muddatini (-E) 01/31/2015, minimal parol yoshi (-m) 5 kun, maksimal parol yoshi (-M) 90 kun, harakatsizlikni qanday qilib qo‘lda o‘zgartirishingiz mumkinligiga misol keltirilgan. Parolning amal qilish muddati tugaganidan keyin 5 kunlik muddat (-I) va parolning amal qilish muddati tugashidan 14 kun oldin ogohlantirish vaqti (-W):/home/username/.ssh/authorized_keys .

Keyingi SSH autentifikatsiya imkoniyatlarini oldini olish uchun foydalanuvchining bosh papkasidagi .ssh/ katalogini olib tashlang yoki nomini o'zgartiring.

Nogironlar tomonidan o'rnatilgan SSH ulanishlarini tekshirishni unutmang, chunki ularda kirish yoki chiquvchi ulanishlar mavjud bo'lishi mumkin. Topilganlarni o'ldiring.

kim | grep foydalanuvchi nomi (pts/# terminalini olish uchun) sudo pkill -f pts/#

SSH kirishini faqat unga ega bo'lishi kerak bo'lgan foydalanuvchi hisoblariga cheklang. Misol uchun, siz "sshlogin" deb nomlangan guruh yaratishingiz va guruh nomini /etc/ssh/sshd_config faylida joylashgan AllowGroups o'zgaruvchisi bilan bog'langan qiymat sifatida qo'shishingiz mumkin.

AllowGroups sshlogin

Keyin ruxsat etilgan SSH foydalanuvchilaringizni "sshlogin" guruhiga qo'shing va SSH xizmatini qayta ishga tushiring.

sudo adduser foydalanuvchi nomi sshlogin sudo systemctl sshd.service ni qayta ishga tushiring

Tashqi foydalanuvchi ma'lumotlar bazasi autentifikatsiyasi

Aksariyat korporativ tarmoqlar markazlashtirilgan autentifikatsiyani va barcha tizim resurslariga kirishni boshqarishni talab qiladi. Agar siz serveringizni foydalanuvchilarni tashqi ma'lumotlar bazalariga nisbatan autentifikatsiya qilish uchun sozlagan bo'lsangiz, tashqi va mahalliy foydalanuvchi hisoblarini o'chirib qo'yganingizga ishonch hosil qiling. Shunday qilib, mahalliy qayta autentifikatsiya qilish mumkin emasligiga ishonch hosil qilasiz.

IN operatsion tizim Linux juda ko'p ajoyib xavfsizlik xususiyatlariga ega, ammo eng muhimlaridan biri faylga ruxsat berish tizimidir. Linux, Linux yadrosi mafkurasining izdoshi sifatida, Windows-dan farqli o'laroq, dastlab ko'p foydalanuvchili tizim sifatida ishlab chiqilgan, shuning uchun Linuxda fayllarga kirish huquqlari juda yaxshi o'ylangan.

Va bu juda muhim, chunki mahalliy kirish barcha dasturlar va barcha foydalanuvchilar uchun fayllarga viruslar tizimni osongina yo'q qilishga imkon beradi. Ammo yangi foydalanuvchilar Linux-dagi yangi fayl ruxsatlarini juda chalkashtirib yuborishi mumkin, bu biz Windows-da ko'rgan narsadan juda farq qiladi. Ushbu maqolada biz Linuxda fayl ruxsatlari qanday ishlashini, shuningdek ularni qanday o'zgartirish va sozlashni tushunishga harakat qilamiz.

Dastlab, har bir fayl uchta kirish parametriga ega edi. Mana ular:

• O'qish- fayl mazmunini olish imkonini beradi, lekin yozishga ruxsat bermaydi. Katalog uchun unda joylashgan fayllar va kataloglar ro'yxatini olish imkonini beradi;
• Yozib olish- faylga yangi ma'lumotlarni yozish yoki mavjudlarini o'zgartirish imkonini beradi, shuningdek, fayllar va kataloglarni yaratish va o'zgartirish imkonini beradi;
• Ishlash- agar dasturda bajarish bayrog'i bo'lmasa, uni bajara olmaysiz. Ushbu atribut barcha dasturlar va skriptlar uchun o'rnatiladi, uning yordami bilan tizim ushbu faylni dastur sifatida ishga tushirish kerakligini tushunishi mumkin.

Ammo bu huquqlarning barchasi bir vaqtning o'zida barcha foydalanuvchilarga tegishli bo'lsa, ma'nosiz bo'lar edi. Shunday qilib, har bir fayl uchta foydalanuvchi toifasiga ega bo'lib, ular uchun kirish huquqlarining turli kombinatsiyalarini o'rnatishingiz mumkin:

• Egasi- fayl egasi, uni yaratgan yoki hozirda uning egasi tomonidan o'rnatilgan foydalanuvchi uchun huquqlar to'plami. Odatda egasi barcha huquqlarga ega, o'qish, yozish va bajarish.
• Guruh- tizimda mavjud bo'lgan va fayl bilan bog'langan har qanday foydalanuvchi guruhi. Ammo bu faqat bitta guruh bo'lishi mumkin va odatda egasining guruhidir, lekin faylga boshqa guruh tayinlanishi mumkin.
• Dam olish- fayl guruhiga kiritilgan egasi va foydalanuvchilardan tashqari barcha foydalanuvchilar.

Aynan shu ruxsat to'plamlari yordamida Linuxda fayl ruxsatlari o'rnatiladi. Har bir foydalanuvchi faqat o'ziga tegishli bo'lgan yoki kirish huquqiga ega bo'lgan fayllarga to'liq kirish huquqiga ega bo'lishi mumkin. Faqat Root foydalanuvchisi ruxsat to'plamidan qat'i nazar, barcha fayllar bilan ishlashi mumkin.

Ammo vaqt o'tishi bilan bunday tizim etarli bo'lmay qoldi va fayllarni o'zgarmas qilish yoki ularni superuser sifatida bajarishga imkon beradigan yana bir nechta bayroqlar qo'shildi, biz ularni quyida ko'rib chiqamiz:

Linuxda maxsus fayl ruxsatnomalari

Ruxsat berish uchun oddiy foydalanuvchilar superfoydalanuvchi nomidan dasturlarni uning parolini bilmasdan bajarish uchun SUID va SGID bitlari ixtiro qilingan. Keling, ushbu kuchlarni batafsil ko'rib chiqaylik.

• SUID- agar bu bit o'rnatilgan bo'lsa, u holda dastur bajarilganda, u ishga tushirilgan foydalanuvchining identifikatori fayl egasining identifikatori bilan almashtiriladi. Aslida, bu oddiy foydalanuvchilarga dasturlarni superuser sifatida ishlatish imkonini beradi;
• SGID- bu bayroq shunga o'xshash tarzda ishlaydi, yagona farq shundaki, foydalanuvchi aslida tegishli bo'lgan guruhlar emas, balki fayl bilan bog'langan guruhning a'zosi hisoblanadi. Agar SGID bayrog'i katalogga o'rnatilgan bo'lsa, unda yaratilgan barcha fayllar foydalanuvchi emas, balki katalog guruhi bilan bog'lanadi. Ushbu xatti-harakatlar umumiy papkalarni tartibga solish uchun ishlatiladi;
• Yopishqoq bit- bu bit umumiy papkalarni yaratish uchun ham ishlatiladi. Agar u o'rnatilgan bo'lsa, foydalanuvchilar faqat fayllarni yaratishi, o'qishi va bajarishi mumkin, lekin boshqa foydalanuvchilarga tegishli fayllarni o'chira olmaydi.

Endi Linuxda fayl ruxsatlarini qanday ko'rish va o'zgartirishni ko'rib chiqamiz.

Linuxda fayl ruxsatlarini qanday ko'rish mumkin

Albatta, siz Linuxda fayl ruxsatlarini izlashingiz mumkin fayl menejeri. Ularning barchasi ushbu xususiyatni qo'llab-quvvatlaydi, ammo bu sizga to'liq bo'lmagan ma'lumot beradi. Maksimal uchun batafsil ma'lumot Barcha bayroqlar, shu jumladan maxsuslari uchun ls buyrug'ini -l parametri bilan ishlatishingiz kerak. Katalogdagi barcha fayllar ro'yxatga olinadi va u erda barcha atributlar va bitlar ko'rsatiladi.

Huquqlarini bilish uchun linux fayli ushbu fayl joylashgan papkada quyidagi buyruqni bajaring:

Chiziqlar Linuxda fayl ruxsatlari uchun javobgardir. Birinchisi, alohida maqolada muhokama qilinadigan fayl turi. Keyin, avvalo, egasi uchun, guruh uchun va hamma uchun huquqlar guruhlari mavjud. Litsenziya uchun faqat to'qqizta chiziq va tur uchun bitta chiziq mavjud.

Keling, huquqlar bayroqlarining shartli qiymatlari nimani anglatishini batafsil ko'rib chiqaylik:

• --- - umuman huquqlar yo'q;
• --x- faylni faqat dastur sifatida bajarishga ruxsat beriladi, lekin o'zgartirilmaydi yoki o'qilmaydi;
• -w-- faqat faylni yozish va o'zgartirishga ruxsat beriladi;
• -wx- o'zgartirish va bajarishga ruxsat beriladi, lekin katalog bo'lsa, uning mazmunini ko'ra olmaysiz;
• r--- faqat o'qish huquqi;
• r-x- faqat o'qish va bajarish, yozish ruxsati yo'q;
• rw-- o'qish va yozish huquqlari, lekin ijrosiz;
• rwx- barcha huquqlar;
• --s- SUID yoki SGID biti o'rnatiladi, birinchisi maydonda egasi uchun, ikkinchisi guruh uchun ko'rsatiladi;
• --t- yopishqoq bit o'rnatilgan, ya'ni foydalanuvchilar ushbu faylni o'chira olmaydi.

Bizning misolimizda test1 fayli odatiy dastur ruxsatlariga ega, egasi hamma narsani qila oladi, guruh faqat o'qishi va bajarishi mumkin, qolgan hamma esa faqat bajarishi mumkin. Test2 uchun SUID va SGID bayroqlari qo'shimcha ravishda o'rnatiladi. Va test3 papkasi uchun Sticky-bit o'rnatilgan. test4 fayli hamma uchun mavjud. Endi siz Linux fayliga bo'lgan huquqlarni qanday ko'rishni bilasiz.

Linuxda fayl ruxsatlarini qanday o'zgartirish mumkin

Linuxda fayl ruxsatlarini o'zgartirish uchun siz chmod yordam dasturidan foydalanishingiz mumkin. Bu sizga barcha bayroqlarni, shu jumladan maxsus bayroqlarni o'zgartirish imkonini beradi. Keling, uning sintaksisini ko'rib chiqaylik:

$ chmod variantlari kategoriyasi harakat bayroq fayli

Variantlar endi bizni qiziqtirmaydi, faqat bittasidan tashqari. -R opsiyasi yordamida siz dasturni barcha fayllar va kataloglarga o'zgarishlarni rekursiv ravishda qo'llashga majbur qilishingiz mumkin.

• u- fayl egasi;
• g- fayllar guruhi;
• o- boshqa foydalanuvchilar.

Harakat ikkita narsadan biri bo'lishi mumkin: "+" belgisini qo'shing yoki "-" belgisini olib tashlang. Kirish huquqlarining o'ziga kelsak, ular ls yordam dasturining chiqishiga o'xshaydi: r - o'qish, w - yozish, x - bajarish, s - suid/sgid, siz uni o'rnatgan toifaga qarab, t - yopishqoqlikni o'rnatadi. -bit. Masalan, barcha foydalanuvchilar test5 fayliga to'liq kirish huquqiga ega:

chmod ugo+rwx test5

Yoki guruh va boshqa foydalanuvchilarning barcha huquqlarini olib tashlaymiz:

chmod go-rwx test5

Keling, guruhga o'qish va bajarish huquqini beraylik:

chmod g+rx test5

Boshqa foydalanuvchilar uchun faqat o'qing:

test6 fayli uchun SUIDni o'rnating:

Va test7 uchun - SGID:

Keling, nima bo'lganini ko'rib chiqaylik:

Ko'rib turganingizdek, Linuxda fayl ruxsatlarini o'zgartirish juda oddiy. Bundan tashqari, fayl menejeri yordamida asosiy huquqlarni o'zgartirishingiz mumkin.

xulosalar

Hammasi shu, endi siz nafaqat Linuxda qanday fayl ruxsatnomalarini, balki ularni qanday ko'rishni va hatto ularni qanday o'zgartirishni ham bilasiz. Bu yangi boshlanuvchilar o'z tizimidan to'liqroq foydalanish uchun haqiqatan ham tushunishlari kerak bo'lgan juda muhim mavzu. Agar sizda biron bir savol bo'lsa, sharhlarda so'rang!

Xulosa qilib, men Linuxda kirish huquqlari haqida yaxshi videoni taklif qilmoqchiman:

Keling, turli elementlarga kirish huquqlarini farqlash haqida bir oz gapiraylik. Ushbu maqolada tasvirlangan mexanizm Linux va shunga mos ravishda Ubuntu-da asosiy hisoblanadi, shuning uchun diqqat bilan o'qing.

Foydalanuvchilar va guruhlar

Umuman Linux va xususan Ubuntu ko'p foydalanuvchili tizimlardir, ya'ni. bir kompyuterda bir nechta bo'lishi mumkin turli foydalanuvchilar, har biri o'z sozlamalari, ma'lumotlari va turli tizim funktsiyalariga kirish huquqiga ega.

Linuxda foydalanuvchilarga qo'shimcha ravishda huquqlarni farqlash uchun guruhlar mavjud. Har bir guruh, xuddi individual foydalanuvchi kabi, tizimning turli komponentlariga kirish huquqining ma'lum to'plamiga ega va ushbu guruhning har bir foydalanuvchi a'zosi avtomatik ravishda guruhning barcha huquqlarini oladi. Ya'ni, har qanday harakatlarni, bunday tavtologiyani amalga oshirish uchun teng huquqlilik printsipi asosida foydalanuvchilarni guruhlash uchun guruhlar kerak. Har bir foydalanuvchi cheklanmagan miqdordagi guruhlarga a'zo bo'lishi mumkin va har bir guruh xohlagancha ko'p foydalanuvchiga ega bo'lishi mumkin.

Masalan, Ubuntuda bitta juda foydali guruh mavjud: admin. Ushbu guruhning har qanday a'zosi cheksiz ma'muriy imtiyozlarga ega bo'ladi. Men Ubuntu-da administratorning roli haqida allaqachon gapirgan edim, shuning uchun agar siz uning kimligini unutgan bo'lsangiz, bilimingizni yangilashingiz mumkin. Qachon yaratilgan Ubuntu o'rnatish foydalanuvchi avtomatik ravishda administrator guruhiga a'zo bo'ladi.

Menyuda joylashgan maxsus vosita yordamida foydalanuvchilar va guruhlarni boshqarishingiz mumkin Tizim → Boshqaruv → Foydalanuvchilar va guruhlar.

Umuman olganda, foydalanuvchi va guruh mexanizmini qo'llashning asosiy sohasi aniq tizimning turli funktsiyalariga kirishni chegaralash emas, balki qattiq diskdagi fayllarga kirishni chegaralashdir. Bu men bundan keyin gapirishga harakat qilaman.

Linuxda ruxsatlar

Linuxdagi har bir fayl va katalog egasi foydalanuvchisi va egalari guruhiga ega. Ya'ni, har qanday fayl va katalog qandaydir tizim foydalanuvchisiga va qaysidir guruhga tegishli. Bundan tashqari, har qanday fayl va katalog uchta ruxsat guruhiga ega: biri egalik qiluvchi foydalanuvchi uchun, biri egalik qiluvchi guruh aʼzolari uchun va tizimdagi barcha boshqa foydalanuvchilar uchun. Har bir guruh faylni o'qish, yozish va bajarish huquqlaridan iborat. Kataloglar uchun bajarish va o'qish har doim birga keladi va bir xil narsani anglatadi.

Ya'ni, ma'lum bir fayl egalarini va unga kirish huquqlarining turli guruhlarini o'zgartirib, siz ushbu faylga kirishni moslashuvchan tarzda boshqarishingiz mumkin. Masalan, o'zingizni fayl egasi qilib, unga ega foydalanuvchidan tashqari hammaga kirishni to'liq rad etish orqali siz tarkibni yashirishingiz va boshqa barcha foydalanuvchilarning faylni o'zgartirishiga yo'l qo'ymasligingiz mumkin. Xuddi shu narsa kataloglar bilan sodir bo'ladi. Siz, masalan, katalogga fayllar yozishni taqiqlashingiz yoki hatto uning mazmunini begona ko'zlardan yashirishingiz mumkin.

Ayni paytda biz tizimga kirish huquqlarini bunday tashkil etishning juda muhim natijasi bilan qiziqamiz. Berilgan Ubuntu foydalanuvchisi faqat uy katalogiga va uning barcha tarkibiga egalik qiladi. Tizimda ushbu katalog /home/username manzilida joylashgan. /home dan tashqarida joylashgan barcha boshqa tizim fayllari, shu jumladan, barcha ilovalar, tizim sozlamalari va boshqalar, birinchi navbatda root ga tegishli. Esingizda bo'lsin, men root bu cheksiz imtiyozlarga ega foydalanuvchi ekanligini aytdim, uni to'g'ridan-to'g'ri Ubuntu'da ishlatish mumkin emas. Shunday qilib, barcha tizim fayllari va kataloglari biron bir sababga ko'ra ildizga tegishli; ularning barchasi faqat foydalanuvchi egasi uchun o'zgartirish huquqiga ega, shuning uchun rootdan boshqa hech kim tizimning ishlashiga aralasha olmaydi va tizim fayllaridagi biror narsani o'zgartira olmaydi.

Bu, albatta, xavfsizlik uchun juda yaxshi, lekin ba'zi tizim fayllarini o'zgartirish kerak bo'lsa-chi? Ikkita yo'l bor: birinchidan, ko'pchilik foydalanuvchi uchun zarur tizim sozlamalari grafik konfiguratorlardan administrator huquqlari bilan o'zgartirilishi mumkin, bu eng maqbul usul. Xo'sh, ikkinchidan, siz ildizga bo'lgan huquqlaringizni vaqtincha oshirishingiz va xohlagan narsani qilishingiz mumkin.

Bu sudo yordam dasturi va uning hosilalari yordamida amalga oshiriladi. sudo - bu konsol yordam dasturi. Bu sizga ma'lum bir buyruqni bajarishda "root" bo'lishga imkon beradi va shu bilan cheksiz huquqlarga ega bo'ladi. Masalan, buyruq

Sudo qobiliyatini yangilash

siz uchun mavjud bo'lgan ilovalar haqidagi ma'lumotlarni yangilaydi (bu nima uchun kerakligini dasturni boshqarish haqidagi maqolada tushuntiraman). Jamoaning o'zi

Qobiliyatni yangilash

faqat root tomonidan boshqarilsa ishlaydi. Biroq, uni sudo yordamida ishga tushirish orqali siz ildiz bo'lmasdan, ildizga o'xshaysiz. Tabiiyki, sudo-dan foydalanish uchun administrator huquqlariga ega bo'lishingiz kerak. Shu bilan birga, sudo orqali buyruqni ishga tushirganingizda, tizim sizdan parolingizni so'raydi, lekin xavfsizlik maqsadida, uni kiritganingizda, sizga hech narsa ko'rsatilmaydi, yulduzlar, chiziqchalar, qushlar va hech narsa ko'rsatilmaydi. Xavotir olmang, shunday bo'lishi kerak, oxirigacha yozing va Enter tugmasini bosing. Agar siz administrator bo'lsangiz va parolni to'g'ri kiritgan bo'lsangiz, sudo dan keyin ko'rsatilgan buyruq root sifatida bajariladi.

Siz terminal orqali hamma narsani qilishingiz mumkin, shuning uchun root bo'lish qobiliyati bilan barcha kerakli sozlamalarni o'rnatishingiz mumkin. Biroq, ba'zida undan foydalanish qulay grafik ilovalar, ildiz huquqlariga ega bo'lgan holda. Misol uchun, fayllarni tizim kataloglariga nusxalash kerak bo'lsa. Grafik ilovalarni ildiz sifatida ishga tushirish uchun GNOME ishga tushirish dialogini oching Alt tugmalari+ F2 va kiriting

Gksudo ilova_nomi

Misol uchun, Nautlus fayl menejerini ishga tushirish uchun siz kiritishingiz kerak

Gksudo nautilus

Shu tarzda ishga tushirilgan Nautilus orqali siz kompyuteringizdagi istalgan faylni xohlagancha o'zgartirishingiz mumkin.

Nautilus bilan foydalanganda juda ehtiyot bo'ling ildiz huquqlari! Siz istalgan narsani butunlay o'chirib tashlashingiz mumkin tizim fayli, bu butun tizimning ishlamay qolishiga osongina olib kelishi mumkin.

Konfiguratsiya fayllarini tahrirlash

Yuqorida tavsiflangan "o'zini ko'rsatish" ildiz texnologiyasidan foydalanishning eng muhim misoli tizim konfiguratsiya fayllarini tahrirlashdir. Men allaqachon barcha tizim sozlamalari va Linuxdagi barcha ilovalar matnli fayllar sifatida saqlanganligini aytdim. Shunday qilib, siz faqat sizga tegishli bo'lgan fayllarni, ya'ni faqat foydalanuvchingizga tegishli sozlamalarni tahrirlashingiz mumkin. Va tizim parametrlarini tahrirlash uchun sizga administrator huquqlari kerak bo'ladi.

Siz ko'plab fayllarni ochishingiz mumkin, lekin ulardagi hech narsani o'zgartira olmaysiz, shunchaki saqlash operatsiyasiga kira olmaysiz:

Albatta, siz buyruq bilan dasturni ishga tushirish dialogi orqali ildiz huquqlari bilan konfiguratsiya fayllarini ochishingiz mumkin

Gksudo gedit /path/to/file

Gedit standart Ubuntu matn muharriri.

Biroq, ishga tushirish dialogida avtomatik to'ldirish ishlamaydi, shuning uchun faylga yo'lni qo'lda kiritishingiz kerak bo'ladi, bu har doim ham qulay emas. Shunday qilib, matn muharririni superuser sifatida ishga tushirish uchun terminaldan foydalanishingiz mumkin, masalan:

Esda tutingki, sudo sof konsol yordam dasturidir, shuning uchun siz uni ilovalarni ishga tushirish dialogida ishlata olmaysiz, garchi u orqali terminaldan grafik ilovalarni ishga tushirishingiz mumkin. Aksincha, gksudo grafik yordam dasturidir, shuning uchun uni terminalda ishlatmaslik kerak, garchi bu taqiqlanmagan.

Natijada, o'zgarishlarni saqlash imkoniyati bilan muharrir ochiladi.