จะป้องกันผู้ใช้ใหม่จากการทำอะไรที่อันตราย

ฉันเพิ่งติดตั้งเซิร์ฟเวอร์ Ubuntu บนเซิร์ฟเวอร์ของฉันเพื่อลองใช้ linux ในฐานะผู้ใช้ใหม่ ฉันติดตามการสอนเกี่ยวกับวิธีการตั้งค่าเว็บเซิร์ฟเวอร์ซึ่งกล่าวว่าฉันต้องการchmod 777เว็บเซิร์ฟเวอร์ dir เพื่อให้สามารถเขียนลงใน

อย่างไรก็ตามฉันได้สร้างบัญชีใหม่สำหรับเพื่อนชายคนหนึ่งเพื่อให้เขาเห็นไฟล์บางไฟล์บนเซิร์ฟเวอร์ที่ฉันวางไว้ในบ้านของเขา:

adduser francis

หลังจากสร้างบัญชีฉันได้ตรวจสอบการเข้าถึงของเขาด้วย

groups francis

มันบอกว่า "francis: francis" ดังนั้นจึงไม่ใช่ปัญหาที่ฉันคิดอูบุนตูไม่ได้รวมเขาไว้ในกลุ่มใด ๆ โดยค่าเริ่มต้นซึ่งสมเหตุสมผลแล้วมันสร้างเขาขึ้นมาโดยไม่ต้องมีการรักษาความปลอดภัยที่เข้มงวด หนึ่งสัปดาห์ต่อมาด้วยความสยองขวัญที่สมบูรณ์และสมบูรณ์ที่สุดฉันพบว่าแม้ว่าเขาจะไม่สามารถทำสิ่งต่าง ๆ เช่น SUDO หรือยุ่งเหยิงในไดเรกทอรีของระบบเขาสามารถเข้าถึงเกือบทุกอย่างอื่นบนเซิร์ฟเวอร์ ตัวอย่างเช่นเขามีการเข้าถึงแบบเต็มอ่าน / เขียนไฟล์เว็บเซิร์ฟเวอร์ของฉันที่ / var / www (และรหัสผ่านที่เก็บไว้ในไฟล์ php configs ฯลฯ ) แม้ว่าไดเรกทอรีนั้นจะไม่อยู่ในไดเรกทอรีบ้านของเขาและฉันไม่เคยเพิ่มเขาลงในกลุ่มใด ๆ เข้าถึงไดเรกทอรีนั้นและฉันไม่อนุญาตให้เขาเข้าถึงสิ่งใด ๆ เป็นพิเศษหลังจากทำการเพิ่มผู้ใช้

อย่างไรก็ตามเกิดอะไรขึ้นที่นี่ ฉันจะฆ่าเขาเข้าถึงสิ่งที่สำคัญได้อย่างไร เขาไม่สามารถเข้าถึงสิ่งต่าง ๆ เช่น / media หรือ / var / www ฉันคิดว่าผู้ใช้ใหม่โดยค่าเริ่มต้นป้องกันไม่ให้ทำสิ่งที่เป็นอันตรายหรือสอดแนมที่พวกเขาไม่ควรจะเป็น

โดยรวมแล้วฉันต้องอนุญาตให้เขาเข้าถึงไดเรกทอรีที่ฉันระบุด้วยตนเอง + ไปยังไดเรกทอรีที่เขาต้องการทำงานอย่างถูกต้อง (บ้าน dir, vim, nano ฯลฯ .. )

ขอขอบคุณ

นี่คือการออกแบบ และที่แย่กว่านั้นคือ chmod 777 หมายถึง ... "ฉันต้องการให้เจ้าของทุกคนในกลุ่มของเขาและทุกคนที่มีสิทธิ์อ่านเขียนและดำเนินการ"

ซึ่งน่ากลัวมาก

และสำหรับเว็บเซิร์ฟเวอร์ 777 นั้นไม่เหมาะ 755 (เจ้าของมีกลุ่มสิทธิ์ทั้งหมดและคนอื่น ๆ อ่าน + ดำเนินการ) เป็นค่าเริ่มต้นทั่วไปแต่จากสิ่งที่คุณบอกว่าคุณต้องการอย่างน้อยอ่านเขียนหรือดำเนินการอ่านเขียนสำหรับเจ้าของ (ผู้ใช้เว็บเซิร์ฟเวอร์) และอาจ กลุ่มและไม่มีการอนุญาตสำหรับผู้ใช้ มีคำถามที่สมบูรณ์มากขึ้นเกี่ยวกับระดับสิทธิ์ที่เหมาะสมบนเซิร์ฟเวอร์ผิดแต่ให้พิจารณาบางอย่างเช่น 640 หรือ 740

ที่กล่าวว่าคุณสามารถทำให้ผู้ใช้อยู่ในโลกใบเล็กของตัวเอง - ตั้งค่า chroot เพื่อให้ผู้ใช้อยู่ในพื้นที่ของตัวเองในระบบ มีมัคคุเทศก์ลอยอยู่รอบ ๆ เพื่อทำสิ่งนี้ - ตัวอย่างเช่นคำตอบที่ยอดเยี่ยมของ oli ที่นี่ซึ่งอาจเป็นตัวเลือกขึ้นอยู่กับความต้องการของคุณ

โดยพื้นฐานแล้วมันจะแยกย่อยดังนี้:

R = 4 (read)
W = 2 (write)
X = 1 (execute)

ดังนั้นการอ่านสิทธิ์จะเท่ากับ 4 อ่านและเขียนจะเท่ากับ 6 อ่านและดำเนินการจะเท่ากับ 5 และทั้งหมด (อ่านเขียนดำเนินการ) เท่ากับ 7 นี่คือวิธีที่คุณคำนวณค่าออคเต็ตการอนุญาตสำหรับเจ้าของกลุ่มเจ้าของ หรือทุกคน

เมื่อนำการอนุญาตเหล่านั้นไปใช้กับchmodไฟล์หรือที่ตั้งไดเรกทอรีตัวเลขที่คำนวณข้างต้นจะถูกนำไปใช้เช่นนี้โดยมีค่าออคเต็ตสำหรับเจ้าของกลุ่มและทุกคน:

     $ chmod _ _ _ <file or directory>
             | | |
owner--------  | |
owner's group--  |
everyone---------

ดังนั้นถ้าฉันต้องการให้ตัวเองและกลุ่มของฉันอ่านเขียนและดำเนินการอนุญาตไปยังโฟลเดอร์ที่ฉันเป็นเจ้าของ แต่ฉันไม่ต้องการให้ทุกคนสามารถอ่านได้ฉันจะใช้:

$ chmod 770 myDirectory

สำหรับข้อมูลเพิ่มเติมตรวจสอบหน้า man สำหรับ chmod :

$ man chmod

ตามที่คนอื่นพูดถึงคุณไม่ควรตั้งค่าการอนุญาตเป็น 777

นี่คือแผ่นอ้างอิงที่เป็นประโยชน์ที่ฉันใช้

+-----+---+--------------------------+
| rwx | 7 | Read, write and execute  |
| rw- | 6 | Read, write              |
| r-x | 5 | Read, and execute        |
| r-- | 4 | Read,                    |
| -wx | 3 | Write and execute        |
| -w- | 2 | Write                    |
| --x | 1 | Execute                  |
| --- | 0 | no permissions           |
+------------------------------------+
You can use the octal notation, where the three digits correspond to the user, then group, then other. 
Perhaps this might help 
+------------+------+-------+
| Permission | Octal| Field |
+------------+------+-------+
| rwx------  | 700  | User  |
| ---rwx---  | 070  | Group |
| ------rwx  | 007  | Other |
+------------+------+-------+

ในการแบ่งปันไฟล์กับบุคคลที่คุณให้การเข้าสู่ระบบคุณไม่จำเป็นต้องทำอะไรเป็นพิเศษ ในการติดตั้ง Debian เริ่มต้นผู้ใช้สามารถเข้าถึงโฮมไดเร็กตอรี่ของกันและกันได้

ตัวอย่างเช่น

$ ls -ld ~
drwxr-xr-x 65 zwets zwets 4096 Sep 29 12:06 /home/zwets

สิทธิ์ในไดเรกทอรีบ้านของฉันคืออ่าน (r)และการเข้าถึง (x)สำหรับผู้ใช้ในระบบของฉัน เฉพาะฉันเท่านั้นที่สามารถเข้าถึงการเขียน (w)ได้

นอกจากนี้ค่าเริ่มต้นumaskบน Ubuntu ก็คือไฟล์และไดเรกทอรีที่ผู้ใช้สร้างเป็นค่าเริ่มต้นที่โลกสามารถอ่านได้โดยค่าเริ่มต้นคุณสามารถตั้งค่าumaskการ077ถ้าคุณไม่ต้องการที่

สิ่งนี้หมายความว่าในการตั้งค่าเริ่มต้นหากผู้ใช้youต้องการแบ่งปันเอกสาร~/README.txtกับฉันแล้วไม่youจำเป็นต้องทำอะไร ฉันสามารถดูได้ง่ายๆ:

$ who am i
zwets    pts/26       2016-09-29 08:05 (:pts/19:S.6)
$ ls -l ~you/README.txt
-rw-r--r-- 1 you you 24 Sep  8 11:23 /home/you/README.txt
$ cat ~you/README.txt
You's shared thoughts.

ฉันไม่สามารถแก้ไขหรือลบไฟล์ได้ แต่ฉันสามารถคัดลอกไปยังตำแหน่งที่ฉันได้รับอนุญาตให้เขียน จากนั้นฉันก็เป็นเจ้าของสำเนา:

$ echo "Adding my thoughts." >> ~you/README.txt
bash: /home/you/README.txt: Permission denied
$ rm ~you/README.txt
rm: remove write-protected regular file '/home/you/README.txt'? yeah!
rm: cannot remove '/home/you/README.txt': Permission denied
$ cp ~you/README.txt ~zwets
$ ls -l ~/README.txt
-rw-r--r-- 1 zwets zwets 24 Sep  29 14:09 /home/zwets/README.txt

มีเหตุผลที่ดีว่าทำไมระบบส่วนใหญ่จึงสามารถอ่านได้ทั่วโลกตามที่ฉันได้อธิบายไว้ในคำตอบอื่นใน AskUbuntuAskUbuntu อย่างไรก็ตามในระบบที่ใช้ร่วมกันมันอาจสมเหตุสมผลที่จะทำให้โฮมไดเร็กทอรีไม่สามารถเข้าถึงได้สำหรับผู้ที่ไม่ใช่เจ้าของ:

$ chmod o-rwx ~
$ ls -l ~
drwxr-x--- 65 zwets zwets 4096 Sep 29 12:06 /home/zwets

... เนื่องจากผู้ใช้หลายคนไม่ทราบว่าเป็นค่าเริ่มต้น - QED ;-) มันจะฉลาดกว่าหากทำให้ผู้ใช้ทราบว่าการอนุญาตไฟล์ไม่ได้ป้องกันความลับ

ใน Ubuntu ผู้ใช้ทุกคนมีสิทธิ์ superuser ที่เพิ่มในกลุ่ม 'sudo' โปรดตรวจสอบเพื่อให้แน่ใจว่าไม่มีผู้ใช้อื่นเพิ่มในกลุ่มนี้

เพื่อรักษาความปลอดภัยไฟล์และไดเรกทอรีของคุณจากผู้ใช้รายอื่นคุณสามารถตั้งค่าการอนุญาตตามคำแนะนำจาก Mr. Journeyman Geek ในคำตอบข้างต้น

คุณยังสามารถใช้การอนุญาตพิเศษเพื่อรักษาความปลอดภัยไฟล์และไดเรกทอรีของคุณจากผู้อื่น