Tu tienes acceso físico a un equipo Linux se quiere poner en peligro, y se puede iniciar desde el CD. Hay varias maneras de conseguir acceso root a la computadora a través de un linux live cd. Una forma es para arrancar el LiveCD, chroot a la partición de Linux, a continuación, ejecutar una raíz passwd. Otra forma es añadir su nombre de usuario a la lista de sudoers en / etc / sudoers en la partición de Linux. El problema con estas técnicas es que theyll dejan huellas que son fácilmente perceptible por el administrador del sistema porque los archivos están siendo modificados. Un truco es crear un simple intérprete de comandos de puerta trasera. Entonces el youll sólo tiene que ejecutar el programa como usuario normal para obtener acceso root. Entonces, el programa se puede ubicar en cualquier lugar de la partición de Linux. setuid es una bandera de derecho de acceso que se puede establecer en un sistema binario. Si se establece, entonces el programa se ejecute como root cuando se inicia hasta que los privilegios se dejan caer en un cierto punto en el programa, volviendo a los permisos normales. Esto fue diseñada con el fin de permitir que un programa para utilizar el acceso root sólo cuando es necesario por el programa. Este migitates los efectos de que una explotación tendrá si el programa tiene ningún agujero de seguridad. Aquí se aprovecha el hecho de que un usuario normal puede tener acceso de root utilizando un conjunto binario con setuid para crear una puerta trasera Shell. Por lo tanto, los pasos son: 1. Arranque el CD en vivo. 2. Monte la partición de Linux con setuid activado (el habilitado por defecto) 3. Copia de la puerta trasera a un lugar accesible por usted en la partición (por ejemplo, la carpeta personal) Aquí está la fuente de la pequeña puerta trasera: Int. //bdoor. c main () setuid (0) // establecer el real efectivo, UID salvado a 0 (root) setgid (0) // ID grupo de 0 execl (raíz) (/ bin / sh, sh, 0) // ejecutar un retorno de la cáscara 0 // sniper11 Compilar con: root gcc - o bdoor. c Bdoor Entonces (necesidades binarios a ser propiedad de root): chown root root. root Bdoor finalmente (el bit setuid): chmod root 4755 Bdoor Es necesario compilar y hacer lo chmod y chown desde el LiveCD (como root). A continuación, copie Bdoor a la carpeta de inicio en el sistema de destino y se puede ocultar en cualquier subcarpeta. Ahora, reiniciar, iniciar la sesión como usuario normal, ejecutar el programa para obtener acceso root y disfrutar de permisos de archivos XDSpecial (setuid. Setgid y pegajoso Bit) Tres tipos especiales de permisos están disponibles para los archivos ejecutables y directorios públicos. Al colocar estos permisos, cualquier usuario que ejecuta ese archivo ejecutable asume el ID de usuario del propietario (o grupo) del archivo ejecutable. Usted debe tener mucho cuidado cuando se establecen permisos especiales, porque los permisos especiales constituyen un riesgo para la seguridad. Por ejemplo, un usuario puede obtener privilegios de superusuario mediante la ejecución de un programa que establece el ID de usuario (UID) de raíz. Además, todos los usuarios pueden establecer permisos especiales para archivos de su propiedad, lo que constituye otra de las preocupaciones de seguridad. Debe supervisar el sistema para cualquier uso no autorizado de los permisos setuid y setgid para obtener privilegios de superusuario. Para buscar y listar todos los archivos que utilizan estos permisos, consulte Cómo buscar los archivos con permisos setuid. Un listado sospechoso otorga la propiedad de un programa de este tipo a un usuario en vez de a la raíz o bin. El permiso setuid Cuando la identificación set-user (setuid) el permiso se encuentra en un archivo ejecutable, un proceso que se ejecuta este archivo se concede el acceso basado en el propietario del archivo (normalmente root), en lugar del usuario que ejecuta el archivo ejecutable. Este permiso especial permite a un usuario acceder a los archivos y directorios que normalmente sólo están disponibles para el propietario. Por ejemplo, el permiso setuid en el comando passwd hace posible que un usuario cambie la contraseña, asumiendo los permisos de la ID de raíz: Este permiso especial presenta un riesgo de seguridad, debido a que algunos usuarios determinados pueden encontrar una manera de mantener los permisos que se que les otorga el proceso setuid incluso después de que el proceso ha terminado de ejecutarse. El uso de permisos setuid con los UID reservados (0ndash100) de un programa podría no ajustar el UID efectivo correctamente. Utilizar un script de shell en lugar o evitar el uso de los UID reservadas con permisos setuid. El permiso setgid La identificación set-group (setgid) el permiso es similar a setuid. excepto que el ID de grupo efectivo processs (GID) se cambia para el propietario del grupo del archivo, y un usuario se le concede acceso basado en permisos concedidos a ese grupo. El comando / usr / bin / mail tiene permisos setgid: Cuando el permiso de setgid se aplica a un directorio, los archivos creados en este directorio pertenecen al grupo al que pertenece el directorio, no el grupo al que pertenece el proceso de creación. Cualquier usuario que tenga permisos de escritura y ejecución en el directorio puede crear un archivo allí. Sin embargo, el archivo pertenece al grupo que posee el directorio, no la propiedad del grupo de usuarios. Debe supervisar el sistema para cualquier uso no autorizado de los permisos setuid y setgid para obtener privilegios de superusuario. Para buscar y listar todos los archivos que utilizan estos permisos, consulte Cómo buscar los archivos con permisos setuid. Un sospechoso subvenciones listado grupo propietario de un programa de este tipo a un usuario en vez de a la raíz o bin. El bit sticky sticky bit es un bit de permiso que protege los archivos dentro de un directorio. Si el directorio tiene activado el bit pegajoso, un archivo puede ser eliminado sólo por el propietario del archivo, el propietario del directorio o de raíz. Este permiso especial evita que un usuario borrar los archivos de otros usuarios desde directorios públicos, tales como / tmp. Asegúrese de ajustar el bit sticky manualmente cuando se configura un directorio público en un TMPFS presentar system. UNIX / Linux: explica setuid Archivo sombrero Permiso W significa que un archivo sea 8220setuid8221 ¿Cómo hacer un seguimiento de todos los elementos habilitados setuid setuid archivo significa programar una ID de usuario tras la ejecución. Si el bit setuid activado un archivo, el usuario ejecutar ese archivo ejecutable obtiene los permisos del individuo o del grupo al que pertenece el archivo. Es necesario utilizar el comando ls - l o encontrar comando para ver los programas setuid. Todos los programas setuid muestra S o s en el bit de permiso (propietario-ejecutar) del comando ls. Escriba el comando siguiente: ¿Cómo envío Todos los archivos setuid Habilitado El siguiente comando descubre e imprime los archivos setuid en el sistema local: find / - xdev (-perm -4000) type f - print0 xargs -0 ls - l El bit s puede ser eliminado con el siguiente comando: chmod - s / ruta / a / presentar programas setuid riesgo un atacante puede explotar binarios setuid utilizando un script de shell o proporcionando datos falsos. Normalmente los usuarios no deben tener instalados los programas setuid, especialmente setuid a los usuarios que no sean ellos mismos. Por ejemplo, no debería encontrar binarios setuid activado para root en / home / Vivek / crack. Estos suelen ser los caballos de Troya tipo de programas. Ejemplo En este ejemplo, Vivek usuario ejecute el comando llamado 8220 / usr / bin / vi /shared/financialdata. txt8221, y el permiso en el comando vi y el archivo /shared/financialdata. txt son los siguientes: Vivek tiene permiso para ejecutar / usr / bin / vi, pero no el permiso para leer /shared/financialdata. txt. Así que cuando vi intenta leer el archivo de un mensaje de error 8220permission denied8221 se mostrará a Vivek. Sin embargo, si se establece el bit SUID en el vi: Ahora, cuando Vivek se ejecuta este programa SUID, se concede el acceso a /shared/financialdata. txt. ¿Cómo funciona el sistema UNIX doesn8217t pensar Vivek es la lectura de archivos a través VI, se piensa 8220root8221 es el usuario y, por tanto, se concede el acceso. ¿Cómo puedo Auditoría y log de llamadas setuid Sistema Bajo Linux para cada auditd binario setuid se puede utilizar para la auditoría del sistema bajo Linux. Puede registrar y auditar llamada al sistema setuid. Editar /etc/audit/audit. rules: vi /etc/audit/audit. rules ejecute el siguiente comando para obtener binario setuid activado desde / bin y añadirlos como arriba: find / - type f bin - perm -04.000 Guardar y cerrar el archivo. Reinicie auditd: comando service auditd reinicio Uso aureport para ver los informes de auditoría: aureport --key --summary ausearch --key acceso --raw aureport --file --summary ausearch --key acceso --raw aureport - x --summary ausearch acceso --key --file / bin / mount --raw aureport --user --summary - i Ver archivos de auditoría de Linux para ver quién realiza cambios en un archivo. Referencias: comercio de opciones binarias 8211 Cómo operar con opciones binarias Este tipo de opciones binarias se va a ver que la esperanza de hacer un ingreso fijo durante un período determinado de tiempo, ya que cada opciones binarias se puede colocar un comercio sobre tendrá tanto un tiempo de caducidad y también fija un precio de ejercicio. Así por ejemplo, si usted piensa que el precio del oro va a disminuir en valor durante un cierto período de tiempo determinado, entonces debe colocar una opción de bajo, y si el oro cae entonces en valor como predicado por que en el período de tiempo elegido entonces se le ha colocado una operación ganadora y se le pagó como la tasa de acuerdo con el corredor en base a la cantidad que invirtió en ese comercio. Si por el contrario el valor del oro sube en valor durante el período determinado de tiempo asignado a su comercio a continuación, se le ha colocado una pérdida de comercio y se perderán los fondos invertidos. Las razones de opciones binarias se denominan opciones binarias es que sólo hay dos resultados posibles, con una operación ganadora o una pérdida de comercio, al igual que con el binario sólo hay 0s y 1s. Si usted está interesado en su lugar este tipo de comercio de opciones binarias, entonces se enfrentará a tomar una decisión de si el valor de lo que sea que la intención de basar su comercio en todo subirá o bajará. El uso de terminología para la colocación de un comercio cuando un comerciante se espera que el valor de su comercio elegido se elevará un comercio llamada. y lo contrario de que el comercio, que es una operación de la que el comerciante se espera que el valor disminuye en valor es conocido como un comercio de venta. El agente de bolsa a quién haces el comercio de opciones binarias en ofrecerá algo conocido como un precio de ejercicio, y lo que sea que haya basado su comercio en todo debe terminar por encima de ese valor si se ha colocado una operación llamada o por debajo de ese valor si usted tiene optado por poner un comercio de venta. Cada sola operación se decide a cabo también tendrá un tiempo de caducidad, y es en ese momento exacto en el momento en que usted sabrá si se ha colocado un comercio de ganar o perder, dependiendo del precio real alcanzado en los mercados abiertos por cualquier es que ha basado su ocupación o comercios alrededor. El principal atractivo de las operaciones de opciones binarias es que nunca se va a tener que comprar, por ejemplo, el producto vegetal o acciones que se le basando sus operaciones alrededor. Así, por ejemplo, un distribuidor de lingotes de oro tendrá primero que la fuente de un suministro de oro, pagar por que el oro hacerse cargo de ella y luego almacenarla, hasta que el valor de esperar que se eleva y el distribuidor continuación, tendrá que encontrar un comprador y luego vender el oro a hacer su beneficio. Al colocar el comercio de opciones binarias, por tanto, puede basar sus operaciones en torno al precio del oro, pero nunca tendrá que comprar ningún oro físico, que como se sabe puede ser muy caro, sobre todo cuando se toma en cuenta los costos de transporte y los costes de almacenamiento. Hay pros de los cursos y los contras de convertirse en un operador de opciones binarias con una de las desventajas son que corre el riesgo de perder toda su inversión colocada en cualquier sola operación. Sin embargo, los beneficios de la colocación de las opciones binarias oficios es que siempre estás en control de cuánto se invierte en cualquier comercio único, se coloca, y también puede saber de antemano cuánto se pone de pie para que en cada operación individual que haya elegido poner. No hay riesgo comercio de opciones binarias Si desea poner a prueba el comercio de opciones binarias en línea oa través de una plataforma de comercio móvil, entonces usted va a encontrar todos nuestros corredores destacados le permitirá abrir sus propias cuentas de explotación de demostración en sus respectivos sitios. Esto permitirá que se acostumbre a la forma en que funciona cada plataforma de negociación y opera y se le acreditarán con un enorme saldo de la cuenta de crédito por valor de demostración. Usted será capaz de utilizar los créditos de demostración para colocar las opciones binarias comercializa en todos que viven y los mercados abiertos corredores, pero sin ningún riesgo. Usted realmente va a ser sorprendido por lo fácil que será para operar con cualquier tipo de opciones binarias y mediante la apertura de una cuenta de demostración que será capaz de colocar algunos de los muchos oficios más exóticos que están disponibles. Tan pronto como se haya de pasar a totalmente mater de la forma en que sus plataformas de corredores de comercio elegidos operan usted será capaz de cambiar a usar una cuenta de operaciones con dinero real al instante, y una vez que haya hecho un depósito en esa cuenta a continuación, puede colocar operaciones por dinero real. De hecho mediante la firma de uno o más de nuestra exhibido y totalmente revisado Broker de Opciones Binarias se encuentra que una vez que haya hecho un depósito inicial que con el entonces calificar para un nuevo operador bono de registro. bonificación se mostrará don su respectiva página web y también encontrará detalles de los valores de bonificación a través de nuestra página web, así que echar un vistazo a algunas de las recomendaciones del corredor y obtener la sesión de hoy el valor de cada uno de los corredores bienvenida. Sobre el autor: Hola, mi nombre es Clive Nelson y bienvenidos a comerciantes Biblia. Mantenerse al día con el mundo binario y de divisas here. A pocos minutos de preparación y planificación por delante antes de poner sus sistemas en línea puede ayudar a proteger el sistema y los datos que se almacenan en él. En esta sección se describen algunos de los métodos en los que se pueden utilizar para asegurar los archivos en el sistema, algunas pautas generales para mejorar la seguridad general de los archivos en el sistema, y algunas ideas para la prevención de problemas que ocurren a partir en el primer lugar. También se analizan los comandos a utilizar para modificar los permisos y la propiedad de los archivos y directorios en su sistema. Antes de discutir algunos de estos métodos para mejorar la seguridad del sistema de archivos, es importante tener una comprensión de la seguridad básica de archivos de Linux, la propiedad, y lo que cada uno de los campos de un archivo de lista significa realmente. Para mostrar la propiedad y los permisos de un archivo en el sistema, utilice la opción larga lista, así como la visualización de todas las opciones de los archivos de los (1) comando ls. Un bin / ls - la típica de comandos / podría mostrar lo siguiente, con la primera línea de ser un marcador de campo: Cada uno de estos campos proporcionan información útil para el administrador de seguridad. En primer lugar, una descripción de cada campo (como se muestra de izquierda a derecha), a continuación, una explicación más a fondo de las más importantes. Los números en el lado izquierdo representan los números de línea, que se hará referencia más adelante. Uno de campo: Los permisos para este archivo o directorio. Los primeros nueve posiciones de la derecha describen el usuario. grupo. y otros permisos, en grupos de tres. Dentro de cada grupo de tres, el primer carácter denota el acceso de lectura, el segundo denota acceso de escritura, y los últimos denota ejecutar, de izquierda a derecha. La décima posición describe el tipo de archivo, que puede ser un archivo, directorio, FIFO, enlace simbólico regular, u otro tipo de archivo especial. Campo Dos: Número de enlaces duros a este archivo o directorio. Estos enlaces pueden ser directorios, por ejemplo. En este caso, el directorio actual (línea 1) más probable es que tiene 24 directorios por debajo de ella, de los cuales sólo dos se muestran aquí (Seguridad y correo) Campo: Tres propietario del archivo o directorio. Este campo es tan importante como los permisos themselves. Field Cuatro: El grupo al que pertenece el archivo. Este campo, junto con el campo propietario (campo tres) son necesarios con el fin de establecer los permisos correctly. Field Cinco: Tamaño de FileField Seis: timeContinuing Modificación donde lo dejamos en la sección anterior, podemos ahora discutir algunos de los campos descrito arriba. En particular, el campo uno y tres y cuatro campos son los más exiciting. Linux separa el control de acceso de archivos y directorios según tres características: propietario. grupo. y otra . Siempre hay exactamente un propietario, cualquier número de miembros del grupo, y todos los demás. Los archivos dentro de cada una de estas categorías tienen permisos específicos con los que se accede a ellos. Los permisos de archivo, incluidos los archivos regulares, archivos especiales (tales como FIFO, tomas de corriente, etc), o enlaces simbólicos (que eliminar la referencia de los permisos para el archivo que apuntan a) puede tener cualquiera, o cualquier, de los siguientes: La lectura, escritura y permisos de ejecución debe ser bastante clara en cuanto a su significado. Sin embargo, el símbolo s puede necesitar explicación. Las dos secciones siguientes abordan este símbolo. Conjunto atributo de identificación del usuario Cuando el modo de acceso de la identificación de usuario se encuentra en los permisos de propietario, y el archivo es ejecutable, los procesos que se ejecutan de que se les conceda acceso a los recursos del sistema basado en el propietario del archivo. Sea extremadamente cuidadoso al establecer estos permisos. Cualquier usuario que ejecuta ese archivo asume los permisos del propietario del archivo ejecutable, en lugar del usuario que creó el proceso. Esta es la causa de muchas vulnerabilidades de desbordamiento del búfer, por lo general resulta en privilegios de superusuario. El permiso setuid se muestra como una s en los permisos de archivo. Por ejemplo, el permiso setuid en el directorio / usr / bin comando / passwd permite a los usuarios normales para leer y escribir un archivo de otro modo inaccesibles / etc / passwd: Usted se dará cuenta de que la s toma el lugar del bit de ejecución en el ejemplo anterior. Este modo de permiso especial realmente no tiene sentido a menos que el archivo también tiene permiso de ejecución así. En el ejemplo vemos el archivo / etc / shadow solo puede ser leído por el root, sin embargo, el archivo / usr / bin / passwd nos permite escribir nuestros cambios de contraseña allí. Cuando ya sea un usuario normal, un miembro del grupo de bin, o incluso cualquier otra persona ejecuta / usr / bin / passwd. realmente se ejecuta como root. debido a la s bit establecido en el campo de los permisos del propietario s. Tenga en cuenta que setuid tiene un significado diferente cuando se aplica a los directorios. Ver la explicación de los directorios que le sigue. Es aconsejable mantener binarios setuid y setgid en el sistema a un mínimo, con el fin de reducir la posibilidad de que sean explotados. Nunca se debe ejecutar un binario suid o sgid como un usuario normal, sin saber lo que hace. Y ciertamente no modificar arbitrariamente un binario de lo contrario no setuid tener permisos setuid, simplemente por conveniencia. Establecer Grupo de Identificación de atributos Si se establece en los permisos de grupo, este bit controla el estado ID grupo de un archivo. Esto comporta de la misma manera que setuid, excepto el grupo se ve afectada en su lugar. El archivo también debe ser ejecutable para que esto tenga ningún efecto. Tras la ejecución de un archivo con este conjunto de bits, el ID de grupo efectivo para el proceso se cambia para el propietario del grupo del archivo y un usuario se le concede acceso en función de los permisos dados a ese grupo. La pared (1) programa, / usr / bin / pared. se utiliza para escribir todos los usuarios que han iniciado sesión en el sistema al mismo tiempo. Debe ser la identificación del grupo con el fin de tener suficiente permiso para escribir en terminales que no pertenecen al usuario ejecutar el programa: Vemos aquí que todo el mundo tiene la capacidad de ejecutar el binario. Es propiedad de la raíz. y un miembro del grupo TTY. Que tiene cada usuario en el sistema de un miembro de la TTY no es práctico, y tampoco lo es cambiar el grupo al que pertenece el programa de la pared. Es aconsejable mantener binarios setuid y setgid en el sistema a un mínimo, con el fin de reducir la posibilidad de que sean explotados. Nunca se debe ejecutar un binario suid o sgid como un usuario normal, sin saber lo que hace. Y ciertamente no modificar arbitrariamente un binario de lo contrario no setuid tener permisos setuid, simplemente por conveniencia. Tenga en cuenta que setgid tiene un significado diferente cuando se aplica a los directorios. Ver la explicación de los directorios que le sigue. Puede proteger los archivos en un directorio y sus subdirectorios, al negar el acceso a la totalidad del mismo directorio. Los permisos de un directorio suelen tener un significado ligeramente diferente que los permisos equivilent en un archivo. Los permisos adicionales están disponibles en directorios, incluyendo setuid, setgid, y el bit pegajoso. Las entradas de directorio puede tener cualquiera, o cualquier, de los siguientes: Es importante entender los significados de cada uno de estos símbolos, y cómo se pueden utilizar para proteger sus archivos. Muchos de estos símbolos pueden ser claras en cuanto a su significado, pero tal vez los otros modos merecen una explicación más en profundidad. El símbolo de lectura indica la capacidad de mostrar el contenido dentro del directorio, suponiendo que también tiene acceso para abrir el directorio. El símbolo de escritura indica la posibilidad de añadir, eliminar o modificar los archivos dentro del directorio, también suponiendo que tiene acceso para abrir el directorio. Es importante tener en cuenta que el acceso de escritura en un archivo dentro de un directorio no está obligado a eliminarlo Ahorra atributo de texto (sticky bit) El texto Guardar (también conocido como el sticky bit) es una opción realmente sólo está disponible para los directorios. Si el sticky bit se establece en un directorio, un usuario sólo puede eliminar los archivos que el usuario posea o para los que tiene permiso de escritura explícita concedida, incluso cuando se tiene acceso de escritura al directorio. Esto está diseñado para los directorios que son el mundo pueda escribir, pero en los que puede no ser deseable permitir a cualquier usuario borrar archivos a voluntad. El bit inmutable se ve como t en un listado largo. Por ejemplo, el directorio / tmp es típicamente el mundo pueda escribir, por lo que todo el mundo tiene un lugar en el que escribir los archivos temporales. El directorio / tmp es la siguiente con un largo listado: Esto demuestra que todo el mundo puede leer, escribir, y acceder al directorio. Sin embargo, el t nos muestra que sólo el usuario (y la raíz, por supuesto) que crea un archivo no se puede eliminar ese archivo. El (1) comando chmod controla los permisos poco pegajosa. Por ejemplo, se puede añadir el sticky bit en un directorio utilizando la siguiente: Aunque se puede usar el bit pegajoso en los archivos, en realidad no tienen un propósito en sistemas Linux, como lo hizo en los sistemas UNIX de tiempos pasados. Además, esta opción no debe utilizarse casualmente. En su lugar, crear un directorio en el directorio personal del usuario a la que él o ella puede escribir archivos temporales. La variable de entorno TMPDIR se puede ajustar, y los programas que utilizan el tempnam (3) llamada al sistema buscará esta variable y utilizarla, en lugar de / tmp Vea la sección de Writing Secure Code para una explicación adicional por la cual se esconden los problemas de seguridad con / tmp Atributo Establecer grupo de identificación Si se establece el bit setgid en un directorio, los archivos creados en ese directorio tendrán el mismo grupo propietario del directorio mismo, en lugar del grupo primario del usuario que creó el archivo. Este atributo es útil cuando varios usuarios necesitan acceder a archivos específicos, pero aún requieren aislamiento de otros archivos. Hacer que trabajen desde un directorio común con el atributo setgid establecido significa que todos los archivos creados habrá obtener los permisos de ese directorio común. Por ejemplo, Joe y María podrían estar en diferentes grupos primarios, pero es necesario para colaborar en un proyecto común. En este caso, la creación de un directorio común puede ser usado para que ambos tienen acceso de escritura. Se puede controlar el atributo setgid en un directorio con el siguiente comando: Podemos ver aquí que los s en lugar del bit de ejecución en los permisos de grupo indica que todos los archivos escritos en el commondir ahora pertenecerá al grupo dev El chmod (1) de comandos controla el cambio de permisos de archivos y directorios. Sólo el propietario (o superusuario, por supuesto) se pueden cambiar los permisos de un archivo o directorio. El chmod (1) de comando tiene dos modos de funcionamiento. El primero, denominado modo absoluto. obras de explictly especificando los permisos usando un valor octal, como 644 o 755. El segundo modo de funcionamiento, llamado modo simbólico. funciona mediante el uso de combinaciones de letras y símbolos para añadir o quitar permisos. Utilizando el método de valores octales de permisos cambiantes puede ser más difícil de usar al principio, pero usted encontrará que es más rápido y más fácil, una vez que haya hecho la inversión de tiempo inicial, y ha aprendido cómo hacerlo correctamente. Cambiar los permisos de archivos utilizando valores octales (modo absoluto) El valor octal para especificar los permisos funciona mediante la especificación de un argumento numérico de los permisos para el que desea cambiar. Estos números se utilizan en grupos de tres para establecer los permisos para el propietario. grupo. y otros (todos los demás). La siguiente tabla muestra el significado de cada valor octal: Utilizando la tabla anterior, puede utilizar chmod (1) para modificar los permisos de archivos y directorios. Ayuda a disect cada una de las secciones, y explicar de una en una. Teniendo en cuenta el siguiente ejemplo: Vemos en este ejemplo que Dave es el dueño, y el archivo pertenece al administrador de sistemas del grupo. A partir de la información en el primer campo, vemos que este es un archivo normal, como lo demuestra el - como el carácter más a la izquierda en el extremo izquierdo de campo. El propietario de este script en perl, Dave. tiene permiso para leer, escribir y ejecutar este archivo. El grupo, administrador de sistemas tiene permiso para leer y escribir en él (incluyendo eliminarlo). Todos los demás sólo puede leer este archivo. Gracias a esta información, podemos mirar más de cerca los permisos de archivo que contiene: El equivilent octal del número binario se genera utilizando potencias de dos. Cada posición que está habilitada, como se muestra por un 1 en lugar de un 0. representa una potencia de dos. En concreto, de derecha a izquierda, tenemos 20, o 1, entonces de 21 años, o 2, entonces de 22 años, o 4. La adición de los valores habilitados correspondientes a los bits que están habilitados da el número octal que usamos con chmod (1). Uno podría decidir la eliminación de la capacidad de otros para leer este archivo. Esto se puede hacer usando chmod (1) de la siguiente manera: Vemos aquí que run. pl ahora se ha modificado para negar el acceso de lectura (así como todos los otros tipos de acceso) a los usuarios que no sean los de administrador de sistemas del grupo. y el propietario (Dave en este caso) Cambiar los permisos de directorio utilizando valores octales (modo absoluto) utilizando el mismo formato que se utiliza para describir los permisos de archivo se muestra arriba, vamos a seguir, y explicar cómo el cambio de permisos de directorio utilizando el trabajo valores octales. El valor octal para especificar los permisos funciona mediante la especificación de un argumento numérico de los permisos para el que desea cambiar. Estos números se utilizan en grupos de tres para establecer los permisos para el propietario. grupo. y otros (todos los demás). La diferencia principal entre los permisos de archivos y permisos en los directorios es el control de acceso. Permisos de los directorios suelen indicar la accesibilidad. Pista: No es posible ejecutar un directorio - gt La siguiente tabla muestra el significado de cada valor octal, así como lo que el control de acceso se da para los permisos correspondientes: Utilizando la tabla anterior, puede utilizar chmod (1) para modificar los permisos de archivos y directorios . Ayuda a disect cada una de las secciones, y explicar de una en una. Teniendo en cuenta el siguiente ejemplo: Vemos en este ejemplo que Dave es el dueño, y el directorio al que pertenece administrador de sistemas del grupo. De la información en el primer campo, vemos que es un directorio, como se muestra por la d como el carácter más a la izquierda en el extremo izquierdo de campo. El propietario de este directorio, Dave. tiene permiso para leer, escribir, y tener acceso a este directorio. El grupo, administrador de sistemas tiene permiso para acceder al directorio, así como la lista de su contenido. Los archivos dentro de este directorio con el permiso de lectura apropiada también sería capaz de ser leído. Otros usuarios no están autorizados a acceder a este directorio en absoluto. Gracias a esta información, podemos mirar más de cerca los permisos que tiene el directorio: El equivilent octal del número binario se genera utilizando potencias de dos. Cada posición que está habilitada, como se muestra por un 1 en lugar de un 0. representa una potencia de dos. En concreto, de derecha a izquierda, tenemos 20, o 1, entonces de 21 años, o 2, entonces de 22 años, o 4. La adición de los valores habilitados correspondientes a los bits que están habilitados da el número octal que usamos con chmod (1). Uno podría decidir dar otros usuarios la capacidad de otros para acceder a este fichero, y mostrar el contenido en su interior. Esto se puede hacer usando chmod (1) de la siguiente manera: Vemos aquí que los juegos ahora se ha modificado para permitir el acceso a usuarios distintos de los de administrador de sistemas del grupo. y el propietario (Dave en este caso) Cambiar los permisos usando símbolos (modo simbólico) El modo simbólico es tal vez el más fácil de los dos métodos a utilizar para cambiar los permisos de archivo. Probablemente es el que debe trabajar con primero si usted está aprendiendo esto. En esta sección se analiza el medio básico en el que uno puede cambiar los permisos de un archivo o directorio, usando chmod (1) El modo simbólico de chmod (1) trabaja sobre el concepto de clases de acceso. Estas clases consisten en ser (u). que es el propietario del archivo, (g) rupo. de los cuales el usuario es miembro, y (o) del ther. que es esos usuarios no es un miembro del grupo, o el propietario del archivo. El modo final es (a) ll. que se compone de los tres de los modos anteriores. El uso de estos modos, en conjunto con los permisos que desee, puede modificar el acceso a un archivo o directorio en particular. Los permisos son uno o más de EAD (r). (escribir . y e (x) ecute. La combinación de la clase de acceso y los nuevos permisos que desee, con un operador, le da la capacidad de cambiar los permisos de un archivo o directorio. Los operadores disponibles son. lo que significa que añadir a los permisos existentes, -. lo que significa que restar de los permisos existentes, y. lo que significa establecer la nueva permisos iguales a las previstas. Por ejemplo, arw significa añadir lectura y escritura permiso para los tres grupos de usuarios. Usando gor significa para ajustar el grupo y otros campos para el acceso sólo han leído, independientemente de lo que tenían anteriormente. Un ejemplo más completo es el siguiente: Para eliminar el acceso de escritura para todo el mundo a partir de un archivo, utilice el signo menos: Puede controlar el setuid y setgid en archivos y directorios, así como el poco pegajosa, usando el modo simbólico con chmod (1 ). Tal ejemplo podría ser la siguiente: Este es un ejemplo interesante, que utiliza muchas de las características de chmod (1). Las líneas 1 a 4 muestran la larga lista del archivo y se hicieron dos directorios antes de cualquier cambio. Vemos aquí que groupdir y miprog son miembros del grupo de administrador de sistemas. Otro punto de interés es que nadie más que el propietario de estos archivos (raíz en todos estos casos) es capaz de escribir en el fichero o directorios. La línea 5 se muestra cómo agregar tanto el permiso de escritura en grupo, y el acceso al directorio setgid groupdir. Esto permitirá a los miembros del grupo de administrador de sistemas para escribir archivos allí, y retener el grupo de administrador de sistemas. La línea 6 se muestra cómo agregar el bit setuid al binario miprog. Esto significa que cualquier usuario en el grupo administrador de sistemas que ejecuta este binario se concede el acceso basado en el propietario del archivo, en este caso la raíz. en lugar de que el usuario que lo ejecuta. La línea 7 se muestra cómo agregar el bit pegajoso al directorio de cola, así como añadir permisos de escritura para todos los usuarios. Este es un directorio publicy de ruedas, y puede ser escrito por todos. Sin embargo, solamente aquellas personas que poseen los archivos pueden borrarlos. Las líneas 8 a 11 muestran se han hecho los directorios y archivos después de las modificaciones. Esta sección discute los métodos en los que un administrador puede cambiar el propietario y el grupo al que pertenece un archivo. Utilice el (1) comando para cambiar el propietario de un archivos (sólo se puede hacer por la raíz), y chgrp chown para cambiar el grupo al que pertenece un archivo o directorio. Al igual que con cualquier tarea relacionada con la seguridad, se debe tener precaución cuando se cambia la propiedad de un archivo o directorio. La mayoría de las veces se puede añadir un usuario a un grupo sin tener que cambiar la propiedad. También debe volver a evaluar los permisos del archivo o directorio después de haber realizado el cambio. Para utilizar el chown (1). suministrar el nuevo nombre de usuario y los archivos que desea cambiar: También puede cambiar la propiedad de archivos de forma recursiva mediante la opción - R chown. Cuando se utiliza la opción - R, el comando chown desciende a través del directorio y los subdirectorios de este uno, el cambio de la propiedad. Si se encuentra un enlace simbólico, la propiedad del grupo se cambia en el archivo al que apunta el enlace. Esta sección es muy similar a la sección anterior. Se analizan los métodos en los que un administrador puede cambiar los grupos a los que pertenece un archivo. Utilice el (1) comando chgrp para cambiar la propiedad de grupo. Para que un usuario normal para cambiar un grupo de archivos de uno a otro, el usuario debe ser un miembro de ambos grupos. Para utilizar el chgrp (1). suministrar el nuevo nombre del grupo y los archivos que desea cambiar: También puede cambiar la propiedad de grupo de archivos de forma recursiva utilizando la opción chgrp - R. Cuando se utiliza la opción - R, el comando chgrp desciende a través del directorio y los subdirectorios de este uno, el cambio de la propiedad. También puede utilizar el (1) comando chown para cambiar tanto el propietario y el grupo al mismo tiempo. Use dos puntos entre el nuevo propietario y el grupo deseado. Por ejemplo: Observe que los permisos no cambian simplemente porque haya cambiado la titularidad. Tenga cuidado para asegurarse de que no está sin darse cuenta, dando permiso a alguien que no debería tenerlo. Si se encuentra un enlace simbólico, la propiedad del grupo se cambia en el archivo al que apunta el enlace. El comando umask puede usarse para determinar el modo de creación de archivos por defecto en su sistema. Es el complemento octal del modo de archivo deseado. Si los archivos se crean sin tener en cuenta sus configuraciones de permisos, el usuario inadvertidamente podría dar permiso de lectura o escritura a alguien que no debería tener este permiso. La máscara de usuario para la creación de nuevos archivos ejecutables se calcula de la siguiente manera: Por lo tanto, en este ejemplo hemos elegido como nuestro umask 022. Esto nos muestra que los nuevos ejecutables que se crean son el modo 755. lo que significa que el propietario puede leer, escribir y ejecutar el binario, mientras que los miembros del grupo al que pertenece el binaria dada, y todos los demás, sólo pueden leer y ejecutarlo . La máscara de usuario para la creación de nuevos archivos de texto se calcula como sigue: Este ejemplo nos muestra que, dada la máscara de usuario por defecto de 666 y restando nuestro valor umask muestra de 022. nuevos archivos de texto se crean con el modo 644. que establece que el propietario puede leer y escribir el archivo, mientras que los miembros del grupo al que pertenece el archivo, y todos los demás sólo puede leer el nuevo archivo. Normalmente, las configuraciones de umask incluyen 022, 027, y 077, que es la más restrictiva. Normalmente el umask se pone en / etc / profile. por lo que se aplica a todos los usuarios en el sistema. La máscara de creación de archivos debe establecerse teniendo en cuenta la finalidad de la cuenta. Permisos que son demasiado restrictivas pueden hacer que los usuarios comienzan a compartir cuentas o contraseñas, o de lo contrario compromiso de seguridad. Por ejemplo, es posible que tenga una línea similar a la siguiente: Asegúrese de que las raíces de máscara U en al menos 022, lo que deshabilitará el permiso de escritura y ejecución para otros usuarios, a menos que se cambie explicitamente usando chmod (1). Si está utilizando Red Hat Linux, y se adhiere a su usuario y esquema de creación de ID de grupo (Grupos de usuario privado), sólo es necesario el uso de una máscara de permisos 002 para los usuarios normales. Esto es debido al hecho de que la configuración predeterminada es un usuario por grupo. Además de establecer la máscara de usuario por defecto los usuarios, usted debe estar seguro de que son conscientes del valor umask que se establece en los scripts de inicio también. Los archivos que se crean durante el proceso de arranque se pueden crear con la máscara de usuario por defecto de 666 si no se especifica explictly. Además, todos los servidores que se inician en el arranque, como inetd (8). puede heredar la máscara de usuario en tiempo de arranque, que a su vez se transmite a los servicios y servidores, que controla. El valor de umask que el servidor FTP, generado por inetd (8) utiliza, por ejemplo, se puede pasar por alto fácilmente, lo que permite la posibilidad de que los permisos demasiado indulgentes en los ficheros. En este ejemplo específico, el servidor FTP tiene opciones de línea de comandos para controlar los valores de umask. Sin embargo, muchos no lo hacen,. Por esta razón, es posible considerar la creación de un archivo que se ejecute en el arranque del sistema, antes que a otros, que simplemente se coloca la máscara de usuario explictly a un valor conocido. Debe supervisar regularmente sus sistemas para cualquier uso no autorizado de los permisos setuid o setgid para obtener privilegios de superusuario. archivos setuid y setgid en el sistema son un riesgo potencial para la seguridad, y deben ser vigilados estrechamente.
No comments:
Post a Comment