Руководство администратора Linux по безопасности



         

Обзор - часть 3


Для управления файлами и каталогами есть утилиты cp, mv, rm (CoPy, MoVe и ReMove), для настройки прав доступа есть chown (задает владельца и группу файла (группа "прочие" значит "прочие", как в Novell или группа 'everyone' в NT), chmod (меняет права доступа к файлу). Основные права: read (чтение), write (заись) и execute (выолнение), дополнительно есть setuid (наследование идентификатора владельца), setguid (наследование группы владельца, бывает нужно для запуска некоторых программ, которые хотят, чтобы их запускал определенный пользователь, обычно root), sticky bit и другие. Используя присоединение пользователей к группам и команды chmod и chown можно имитировать ACL, но гораздо менее гибко, чем рава доступа в Sun/AIX/NT (по слухам, в ext3 появятся полноценные списки доступа). Пожалуйста, будьте особенно осторожны с setuid/setguid-программами, так как любые проблемы в такой программе сильно вырастут по сравнению с обычной!

Очень хороша команда ?find?. Она ищет файлы и может фильтровать их на основании прав доступа, владельца, размера, даты, имени и множества других критериев. Вот примеры поиска setuid/guid-программ:

чтобы найти все setuid-программы:

find / -perm +4000

чтобы найти все setgid-программы:

find / -perm +2000

Основой защиты файлов являются права доступа. В Linux файл принадлежит ('owned') пользователю и имеет 3 набора прав доступа для самого пользователя (User), его группы (Group) и все остальных (Other). Вы можете установить кому принадлежит файл (и к какой группе относится) командой:

chown user:group object

здесь object является файлом, каталогом или чем-то еще. Чтобы закрыть выполнение файла кем-либо, надо написать:

chmod x="" object

здесь x принимает значения a|g|u|o (All/User/Group/Other), и устанавливает права доступа в "" (никакого доступа вообще), а object может быть каталогом или файлом. Помните, что root ВСЕГДА может менять права доступа к файлу, и читать/записывать/выполнять его, Linux не обеспечивает защиту root. Также, кто бы ни обладает каталогом, в котором находится объект, он также может менять права доступа к объекту в данном каталоге (даже если сам объект ему и не принадлежит). Так как root владеет каталогом /, он может менять права доступа к любому объекту в файловой системе.




Содержание  Назад  Вперед