Eelmise sajandi 70ndatel välja töötatud opsüsteemide õiguste jaotamise mehhanism osutus nii edukaks, et seda kasutatakse UNIX-süsteemides endiselt, see tähendab enam kui nelikümmend aastat.
Load 777 – mis see on?
Juurdepääsu jaotamise meetodi põhiprintsiip sisaldab kohustuslike atribuutide, näiteks süsteemi kasutajate nimede ja nende rühmade olemasolu. On peaaegu ilmne, et Linuxis saab igal kasutajal olla ainult üks nimi, mis peab olema selles süsteemis unikaalne. Hüüdnime abil logib kasutaja süsteemi sisse, st läbib autoriseerimise. Lisaks sisaldab operatsioonisüsteem piiratud arvu kasutajarühmi. Igaüks neist võib kuuluda ühte või mitmesse rühma. Superuser - root - saab redigeerida atribuute, luua ja kustutada rühmi. Erinevate rühmade liikmetel on süsteemis tegutsemiseks erinevad õigused. Näiteks administraatoril on rohkem õigusi kui külalisel.
Inode (mis on igal failil) sisaldab omaniku sisselogimist ja selle kasutajarühma nime, kellel on failile õigused.
Faili loomisel saab selle omanikust kasutaja, kelle nimel protsess töötab. Samuti määratakse vastloodud faili rühm, kasutades käimasoleva protsessi grupiidentifikaatorit. Edasise töö käigus saab kõiki neid väärtusi muuta konsoolikäskude abil, mida arutatakse hiljem.
Kuidas õigusi muuta
Käsk chmod võib muuta faili kasutaja juurdepääsurežiimi. Ainult selle omanikul või superkasutajal on lubatud neid õigusi mis tahes viisil muuta. Unixi süsteemides määratakse kood tavaliselt kaheksandkujulise numbrina või spetsiaalsete märgukirjade (tähtede) abil. Igal meetodil on oma eelised ja puudused. Seega saab süsteemiadministraator juurdepääsuõiguste digitaalse indikatsiooni abil kiiresti konfigureerida soovitud juurdepääsutüübi ja mnemokoodide abil saab seda teha täpsemalt - näiteks lisada või eemaldage kirjutamisõigus või keelake lugemisõigus.
Käsu chmod konsooli esimene argument on kasutajaõiguste spetsifikatsioon ja see on märguanne ehk kaheksandarv. Teine ja järgmine argument on nende failide nimed, mille juurdepääsuõigusi proovime muuta. Kolme numbri kujul õiguste määramisel määrab esimene number omaniku õigused, 2. grupi ja kolmas kõigi teiste kasutajate õigused.
Juurdepääsuõiguste mnemoonika
Juurdepääsul õiguste süsteemi failidele on järgmised variatsioonid:
- r - juurdepääs faili lugemiseks;
- w - õigus andmeid muuta (kuid mitte kustutada);
- x - võimalus käivitada fail täitmiseks.
Kataloogidele kehtib järgmine õiguste süsteem:
- r - kasutaja saab lugeda kõiki kataloogis olevaid faile;
- w - nende õigustega saate kaustas faile luua ja kustutada, isegi kui mõned neist kataloogis kuuluvad teisele kasutajale;
- x - näitab õigust kataloogi siseneda. Kui teil on w õigused alamkaustale, kuid teil pole õigusi kõrgema taseme kaustale, ei pääse te oma kausta juurde.
Kokku on võimalikud 8 erinevat kombinatsiooni, mis on näidatud alloleval joonisel.
Kasutades allolevat tabelit, saate aru, kuidas rakendada keerulisi lubade määramisi ja kuidas määrata 777 õigusi chmod-mnemoonilise spetsifikatsiooni abil.
Kuidas määrata SSH kaudu õigusi 777-le
Siin on mõned näited käsu chmod kasutamisest:
- chmod 711 faili_nimi.txt.
Selle faili levitamise stsenaariumi kasutamisel on omanikul failile täielikud õigused ja kõik teised kasutajarühmad saavad seda ainult käivitada.
Koodi 775 kasutamisel edastame omanikule ja kogu tema grupile täieliku õiguste loetelu. Teised kasutajad ei saa failis muudatusi teha. Peab ütlema, et faili määramiseks ainult tema enda nime järgi peab see olema kataloogis, kus see fail asub. Vastasel juhul saate liikuda sellesse kataloogi käsuga cd kataloogi_nimi/alamkataloogi_nimi või kasutada järgmist struktuuri:
- chmod 775 /var/bin/faili_nimi.txt.
Kõikide kataloogis ja alamkaustades olevate failide õiguste rekursiivseks muutmiseks peate käsule chmod lisama lüliti -R. Saadud käsk näeb välja selline:
- chmod -R 711 faili_nimi.
Selle tulemusel pole faili või kataloogi juurdepääsuõiguste seadmine 777-le probleem - peate lihtsalt SSH kaudu oma veebiserverisse sisse logima ja käivitama käsu:
- chmod 777 failinimi.
Kuidas määrata serveri juhtpaneelil juurdepääsuõigused 777-le
Sarnase protseduuri saate rakendada ka FileZilla FTP-kliendi või WinSCP SFTP-kliendi visuaalse liidese kaudu. Selleks peate oma serveris ühes neist programmidest autoriseerima, valima visuaalses liideses faili või kausta, seejärel paremklõpsake ja märkige vajalike õiguste kõrval olevad ruudud.
Mõnikord ei pruugi teil kiire vajaduse korral Windowsi kliendile juurdepääs olla, mistõttu saate juurdepääsuõigusi muuta veebiserveri juhtpaneeli kaudu. Selleks valige oma juhtpaneeli failihalduri abil vajalikud failid ja klõpsake nuppu Muuda õigusi. Järgmisena peate ka kõik ruudud märkima ja nüüd pole teie jaoks enam keeruline küsimus, kuidas määrata kaustale 777 juurdepääsuõigusi.
12. august
Olin päris pikka aega oma õiguste osas segaduses – kui alles alustasin Linuxiga töötamist. Ilma täiendavate selgitusteta näib kirje kujul “rwx rwx r—” kogenematutele kasutajatele üsna ebatavaline ja arusaamatu. Tegelikkuses piisab selle hõlpsaks mõistmiseks lihtsatest võrdlustabelitest. Süsteemiadministraatorite ja Linuxi fännide jaoks on nende väärtuste tundmine kohustuslik!
Seega määratakse Linuxis mis tahes faili või kausta õigused alati kolmele kasutajarühmale:
1. Kasutaja ise.
2. Selle kasutaja grupp(õigused kehtivad kõigile sellesse rühma kuuluvatele kasutajatele).
3. Kõik teised kasutajad.
Õigusi võib olla kolme tüüpi:
r- võimaldab sisu vaadata w- võimaldab sisu muuta x- võimaldab käivitadaAllpool on tabel, mis näitab erinevaid Chmodi kombinatsioone erinevate objektitüüpide jaoks:
Seega saab iga kasutajarühma jaoks valida ühe juurdepääsutüübi.
| "Õigused" | 'fail' | 'kaust' |
| - | Midagi ei saa teha | Juurdepääs kataloogile ja selle alamkataloogidele on keelatud |
| r- | Saate sisu lugeda | Saate lugeda kataloogi sisu |
| rw- | Saab vaadata ja muuta sisu | Kataloogifaili saab lisada, kustutada, muuta |
| rwx | Faili lugemine, muutmine ja käivitamine | Saate lugeda, kustutada, muuta faile, muuta kataloogi aktuaalseks, st. "sisestage" sellesse kataloogi. |
| r-x | Saab lugeda või teostada | Saate minna kataloogi ja lugeda selle sisu; faile ei saa kustutada ega lisada. |
| -x | Käivitage, kui fail on binaarne | Kasutaja saab käivitada binaarfaili, mille olemasolu ta teab, kuid tal pole lubatud kataloogi siseneda ega lugeda |
Väärtuste tabel:
Näete, et siin kasutatakse juurdepääsuõiguste kirjeldamiseks ladina tähti ja sidekriipse kasutavaid kirjeid. Linuxis vastutab õiguste määramise eest käsk chmod ja see töötab ainult arvväärtustega. Numbri- ja märgiväärtusi võrreldakse üsna lihtsalt ja ühemõtteliselt järgmiselt:
w (kirje) asendatakse sõnaga 2
x (täitmine) asendatakse sõnaga 1
0 tähendab – ära tee midagi (mida tähestikulises tähistuses tähistatakse seda sidekriipsuga)
Läheme tagasi salvestusnäite juurde, mille ma veidi varem tõin: rwx rwx r-- . Kui asendame selles olevad tähed ja sidekriipsud äsjakirjeldatud reegli kohaselt numbritega ja liidame samal ajal iga kolmiku numbrid, saame selle kirje digitaalse vormi: 774.
Need. selgub, et nende arvude summa näitab chmodi failide või kaustade suhtes. Näiteks:
7 (rwx) = 4 + 2 +1(täielikud õigused) 5 (r-x) = 4 + 0 + 1 (lugege ja käivitage) 6 (rw-) = 4 + 2 + 0 (Loe ja kirjuta) 4 (r--) =4 + 0 + 0(ainult lugemine)Tabelis on näidatud võimalikud numbrite kirjete kombinatsioonid seoses kasutajarühmadega:
| "Õigused" | "Omanik" | 'Grupp' | "Puhka" |
| 777 | lugeda Kirjuta üles esinema |
lugeda Kirjuta üles esinema |
Lugege Kirjuta üles esinema |
| 776 | lugeda Kirjuta üles esinema |
lugeda Kirjuta üles esinema |
Lugege Kirjuta üles |
| 775 | lugeda Kirjuta üles esinema |
lugeda Kirjuta üles esinema |
Lugege Käivita |
| 774 | lugeda Kirjuta üles esinema |
lugeda Kirjuta üles esinema |
Lugege |
| 766 | lugeda Kirjuta üles esinema |
lugeda Kirjuta üles |
Lugege Kirjuta üles |
| 655 | lugeda Kirjuta üles |
uuesti täitma | Lugege Käivita |
| 644 | lugeda Kirjuta üles |
lugeda | Lugege |
Käsk õiguste määramiseks ise näeb välja selline:
chmod "õiguste arvväärtus" "kaust või fail, millele me õigused omistame"
Näited
chmod 777 script.sh kõigi kasutajarühmade täielikud kirjutamis-, lugemis- ja käitamisõigused faili script.sh vastavuse jaoks: rwxrwxrwx chmod 644 /home/feanor184/script.sh kasutaja feanor184 juurkataloogis asuva faili script.sh omaniku lugemis- ja kirjutamisõigused; teiste rühmade jaoks on see fail kirjutuskaitstud. sobivus: rw-r-r- chmod -R 777 /skriptid täielikud õigused skriptide kaustale ja kõigile selle manustele kõikidele kasutajarühmadele. (lüliti -R on seatud manustatud failidele õigusi määrama)Unixi perekonna failisüsteemiga töötamine nõuab sageli teatud tüüpi andmete juurdepääsuõiguste muutmist ja seadistamist. Need meetmed aitavad vähendada süsteemi või muu serveri korrektseks tööks olulise teabe volitamata vaatamise ja kasutamise ohtu.
Selline kaitsefunktsioon (näiteks juurdepääsuõigused 777) on aga mõttekas ainult mitme kasutajaga operatsioonisüsteemide puhul, kuna vastasel juhul oleks selle installimine pigem ajaressursi raiskamine.
Mida see termin tähendab?
Igas operatsioonisüsteemis, mis on mõeldud kasutamiseks erinevatele kasutajarühmadele, on piirav element. Tema määrab süsteemiadministraator ja ta reguleerib kolme tüüpi kasutajate jaoks tema kontrolli all oleva kataloogiga töötamise järjekorda ja võimalusi:
- Faili omanik.
- Kasutajad, kes kuuluvad omanike rühma.
- Kõik teised isikud, kellel on juurdepääs serverile veebibrauseri kaudu.
Juurdepääsuõigused 777 – atribuut, mis võimaldab kõigil ülalmainitud tüüpi kasutajatel lugeda, käitada ja üle kirjutada/luua faile kataloogis, mis on olemas ainult Linuxi platvormi jaoks. See funktsioon pakub täielikke võimalusi teabega suhtlemiseks, kuid kahjuks pole see kaugeltki turvaline. See toiming sarnaneb faili paigutamisega Windowsi jagatud dokumentide jaotisesse.
Luba 777: numbri väärtus
Unixis kirjutatakse rühmaõigused ühele kolmekohalisele reale. Igaüks neist tähistab ühe kasutajatüübi õigusi.
Seega on see numbriline kombinatsioon 2 (kirjutamine), 4 (lugemine) ja 1 (käivitamine) aritmeetiline summa ning kirjeldab selle funktsiooni pakutavaid võimalusi.
Kuidas seada õigusi 777-le?
Teades, et ülalkirjeldatud atribuut võimaldab kasutajal numbrilise nimetuse dešifreerida, ei ole selle seadistamine keeruline. Selleks on vaja suvalist failihaldurit, mis toetab FTP-ühendust serveriga, millele pääseb ligi administraatorina.
Vastus küsimusele kausta kohta ei erine faili juhistest: serveris peaksite valima soovitud objekti ja paremklõpsates avama kontekstimenüü. Järgmisena valige "fail" ja "muuda atribuute".
Avanevas halduri aknas peate sisestama numbrikombinatsiooni või märkima iga kasutajarühma ruudud. Unixi serverisüsteemi jaoks on olemas ka lihtsam meetod, mis nõuab ainult käsu sisestamist vormingus: chmod 777 %filename% (faili või kausta nimi) hosti juhtpaneelil.
Ainult mitme mängijaga serverite jaoks
Peaasi on meeles pidada, et 777 õigust on ainult failidele, mis asuvad otse mitme kasutajaga serveris ja neid ei installita eraldi arvutisse.
Lisaks on võimalik seada need õigused kataloogidele, kus määratud parameetrite “käitumine” on sama, mis kausta puhul, ainsa erinevusega, et sees olevate objektide lugemise asemel saab kasutaja kuvada ainult kogu sisu loend. Kataloogide õiguste määramine toimub ülalkirjeldatud meetodite abil.
Ja muidugi peaksite meeles pidama, et Denveri paketi jaoks pole seda tüüpi juurdepääsu võimalik määrata, kuna see simuleerib võrgu veebiteenuse toimimist, kuid tegelikult pole see üks, mis töötab Windowsi platvormil. . See OS ei kuulu serveri OS-i kategooriasse, seetõttu tuleks Denverisse skriptide installimisel juurdepääsuõiguste muutmise nõudeid lihtsalt ignoreerida.
Täieliku kontrolli õiguste puudused
Serverisüsteem kasutab õigusi 777 üsna harva, reeglina järgib enamik hostereid tüübist 755. Neid eristavad mõnevõrra vähendatud funktsioonid kõigil kasutajatel, välja arvatud omanikul, jättes neilt võimaluse faile kirjutada ja luua.
Serveris asuvale sisule täielikku juurdepääsu võimaldavate õiguste seadmine põhjustab sageli ressursi turvalisuse rikkumist. Ründajad ei jäta kasutamata võimalust ära kasutada märgatavat infoturbe lünka, kuna valesti seadistatud juurdepääsuseaded annavad tegevusvabaduse igale kasutajale. Seega võivad serveri tööd kahjustada mitte ainult sellest huvitatud isikud, vaid ka kogenematute kasutajate mõtlematu tegevus.
Enne 777-le juurdepääsuõiguste määramist peaksite hoolikalt mõtlema, kas selline hooletus toob kaasa ressursi häkkimise.
Head tervist, kallid ajaveebi lugejad! Soovime kõik, et kõik või saidile kuuluv hostimisserveris asuv kaust oleks volitamata juurdepääsu eest võimalikult kaitstud.
See kaitse on tagatud tänu sellele, et 90% hosteritest kasutavad Unixi-laadseid operatsioonisüsteeme, milles on võimalik reguleerida juurdepääsuõigusi kõikidele failidele ja kataloogidele. Minu hostiteenuse pakkuja server, millel asuvad mitmed minu projektid, pole erand.
Muide, tundke kindlasti huvi, järgides antud linki. Aga jätkame. Unixis kehtestatud reeglid erinevad paljudele tuttavatest tööreeglitest Windowsi operatsioonisüsteemis, kus selle aspekti kaitse pole nii tugev, mis mõnikord põhjustab katastroofilisi tagajärgi süsteemi viirusnakkuse kujul.
CHMOD kasutajatele ja juurdepääsuõigused failidele ja kaustadele (kataloogidele)
Unixi hallatavates süsteemides on olukord teistsugune ja neil on võimalus elu tõsiselt keeruliseks teha pahalastel, kes püüavad pika aja jooksul teie vaevarikka töö tulemusi ära kasutada. Nimelt õigesti seadistada CHMOD juurdepääsuõigused. Meie ülesanne on anda failidele ja kaustadele juurdepääsuks minimaalsed võimalikud õigused, mis siiski ei sega saidi korrektset tööd.
Nõus, on patt mitte ära kasutada võimalust tõsiselt tugevdada. Muidugi võtab sel juhul mõne faili redigeerimine veidi rohkem aega, aga siin tuleb valida: kas optimeerida süsteemi turvalisust või... Allpool püüan süstematiseerida CHMOD-i (juurdepääsuõigused) puudutavat infot, sest seal on mitmeid nüansse, mida veebihaldur teab. Niisiis, alustame.
Juurdepääsuõigused on erinevate kasutajarühmade puhul erinevad. Ühenduse loomise katsel määrab server, millisesse gruppi konkreetne kasutaja määrata. Kõik kasutajad on jagatud kolme kategooriasse:
- "kasutaja" - faili omanik
- "grupp" - üks selle grupi liikmetest, kuhu omanik kuulub
- "maailm" - "ülejäänud maailm", see tähendab kõik teised kasutajad
Kui loote serveriga ühenduse ja logite sisse oma kasutajanime ja parooliga, tuvastatakse teid kui "kasutaja"(u) kui keegi teine FTP kaudu ühenduse loob, tuvastatakse see kui "Grupp"(g), kui kasutaja kasutab brauserit, siis kuulub ta sellesse kategooriasse "maailm"(o).
Nüüd CMOD-i juurdepääsuõigustest failidele ja kataloogidele. Sisuliselt on need veidi erinevad, kuigi tähistused on samad. Faili load:
- r (lugemine) - failiandmete lugemise õigus
- w (wright) - õigus muuta sisu (saate ainult sisu muuta - kirjutada, kuid ei saa kustutada)
- x (eXutive) - faili käivitamise õigus
Juurdepääsuõigused kaustadele (kataloogidele):
- r - kausta lugemise õigus (saate hankida kataloogi sisu, see tähendab selles sisalduvate failide loendi)
- w - õigus muuta sisu (luba luua ja kustutada objekte kataloogis; kui teil on õigus faile kirjutada, saate isegi kustutada objekte, mis teile ei kuulu)
- x - juurdepääsuõigus konkreetsele kataloogile (selle eripära on see, et isegi kui teil on kõik vajalikud õigused failile, mis asub kataloogides "sügaval", kuid teil pole juurdepääsuõigusi vähemalt ühele alamkataloogile sellele objektile, siis ei pääse te sellele juurde)
Sidekriips “-” näitab õiguste puudumist. Kõik need õigused määrab administraator, kes saab selle võimaluse parooli sisestades. Kui suudame teatud ressursifailidele CHMOD-i juurdepääsuõigustele seada maksimaalsed võimalikud piirangud, siis saame praktiliselt välistada ohu, et viirusprogrammid teevad oma "räpaseid tegusid".
Selguse huvides vaatleme näidet, kui faili u omanikul on kõik võimalikud õigused: lugeda, kirjutada ja käivitada. Kategooriasse g (grupp) määratud kasutajatel on ainult lugemis- ja kirjutamisõigus, kõigil teistel (w) on ainult lugemisõigus. Seejärel näeb CHMOD-kirje välja selline: “rwx rw-r--”.
Juurdepääsuõigused failidele ja kaustadele digitaalsel kujul: CHMOD (777, 755, 444)
Kuid sagedamini peavad veebihaldurid oma praktilises tegevuses määrama teatud juurdepääsuõigused digitaalsel kujul:
- r (loe) - 4
- w (rekord) – 2
- x (jõudlus) – 1
- - (õigusi pole) - 0
Nüüd vaatame uuesti ülaltoodud näidet, et määrata juurdepääsuõigused "rwx rw- r- -". Iga kasutaja õiguste kuvamiseks kasutatakse tema õiguste liitmist (r read + w write + x execute). Seega muutub osa failiomaniku u (kasutaja) kirjest - “rwx” 7-ks (4+2+1). Grupi liikmele g (grupp) - "rw-" 6-s (4+2+0) ja teistele kasutajatele o (maailm) - "r- -" 4-s (4+0+0). Kokkuvõtteks on siin kokkuvõtlik tabel CHMOD-i juurdepääsuõiguste väärtustega, mis on väljendatud nii tähtede kui ka numbritega:
Nüüd esitan veel ühe tabeli, mis kajastab kõigi kasutajarühmade CHMOD õiguste kogusummat numbrilises vormingus:
Need on peamised kombinatsioonid, mida veebimeistri töös kõige sagedamini kasutatakse. Ülejäänud on moodustatud analoogia põhjal. Kui olete saidi või ajaveebi administraator, kuid töötate projektiga ilma FTP-protokolli kaudu ühendust loomata, kuulute ka rühma „Teised kasutajad”. Sel juhul peate selles režiimis saidiga töötades võtma arvesse CHMOD-väärtuse viimast numbrit.
Tavaliselt on serveris, kus teie WordPressi ajaveebi failid asuvad, kaustadel 755 juurdepääsuõigused ja nende osaks olevate failide väärtuseks 644. See kehtib siis, kui ressurss on ehitatud HTML-failide abil, kuid tänapäevastes tingimustes kasutatakse neid laialdaselt veebisaidi CMS (sisuhaldussüsteemid) ehitamiseks, mis sisaldab WordPressi. Ja siin võib olla objekte, millele "maailma" kasutajarühm peab kirjutama. Sisu, sealhulgas pilte, allalaadimiseks võib olla kaustu.
Seetõttu tuleb CHMOD-õiguste määramist teatud failidele eristada. Kui logite saidihaldusse FTP kaudu sisse, saate teha mis tahes toiminguid, kuid paljudel juhtudel töötame oma projektiga läbi ja sel juhul võivad tekkida probleemid, kui õigused on liiga kõrged ja vastupidi, kui juurdepääsuõigused või mõnda muud faili (kausta) alahinnatakse, siis turvaoht suureneb. Seetõttu saame ülaltoodu põhjal määrata mõned soovitused CHMOD-i praktiliseks kasutamiseks WordPressi ajaveebi jaoks:
777 - kaustade jaoks, kuhu faile pidevalt kirjutatakse ja kustutatakse (vahemällu salvestatud kausta jaoks)
755 - seoses kaustadega, kuhu faile pidevalt kirjutatakse, kuid mida ei kustutata
666 - failide jaoks, kuhu peate aeg-ajalt lisama kirje (nt .htaccess-fail)
644 – kirjutuskaitstud failidele (.php, .html jne)
CHMOD-õiguste konfigureerimine FileZilla FTP-halduri abil
Kui ressursiga töötades on vaja teha mõningaid muudatusi, aga kuna redigeerimine on keelatud, siis seda teha ei saa, tuleb FTP kaudu luua ühendus hostimisserveriga ja muuta pääsuõigused 777 peale. Pärast failis muudatuste tegemist , on soovitatav uuesti seadistada eelmine CHMOD.
Nüüd uurime lähemalt, kuidas seda toimingut teha kasutades . Selleks avage programm ja ühendage FTP kaudu hostimisserveriga. Vasakul pool "Kaugserver" Esiteks märgime failid, mille atribuute muudetakse:
Ja hiire parema nupu vajutamisest põhjustatud kontekstimenüüst valige "Faili õigused". Pärast seda ilmub dialoogiboks "Muuda faili atribuute":
Siin määrame valitud (või valitud) failidele vajalikud CHMOD väärtused. Kuid see on ainult siis, kui valisite faili või failide rühma. Kui soovite määrata või muuta kataloogi (kausta) CHMOD väärtusi, kuvatakse kui valite "Muuda faili atribuute", kuvatakse analoogaken, mis erineb mõnevõrra ülaltoodud aknast, nimelt:
Näete, siia on ilmunud lisaseaded. Kui märgite rea kõrval oleva kasti "Ümbersuunamine alamkataloogidesse", tähendab see, et määratud juurdepääsuõigused rakendatakse selles kataloogis pesastatud kataloogidele (kaustadele) või failidele. Kui allolev ruut on märgitud, muutub asuv seadete rühm aktiivseks ning samuti tuleb valida, kuidas sätteid rakendada: kõigile failidele ja kataloogidele, ainult manustatud failidele või ainult kataloogidele.