Dobra pora dnia.
Historycznie tak się złożyło, że do moich małych projektów trzymam maszynę wirtualną. Ponieważ jednak nie wykorzystuję jego zasobów w 100%, postanowiłem nie być chciwy i pozwolić kilku znajomym spędzać wolny czas. Nie ma wielu stron, nie biorę pieniędzy za hosting, więc uznałem, że instalacja czegoś takiego jak cpanel to za dużo. Poza tym należę do tych, którzy wolą ustawiać wszystko ręcznie. Wybrałem następującą strukturę:
/home/hostuser/vhosts/sitename.ru/(tmp,web,logs)
A potem pojawiło się pytanie: jak uniemożliwić użytkownikowi usuwanie / zmianę nazwy folderów w sitename.ru? Jeśli brakuje folderu sieć, wtedy zarówno Apache, jak i nginx wydadzą ostrzeżenie, ale nadal będą się uruchamiać. Ale jeśli usuniesz/przeniesiesz folder logi, to zarówno apache, jak i nginx nie uruchomią się z powodu błędu (dość dziwne zachowanie dla mnie). Teczka użytkownik hosta w całości własnością dany użytkownik i jego osobista grupa użytkownik hosta: użytkownik hosta), co oznacza, że w razie potrzeby będzie mógł usunąć dowolny wewnętrzny folder / plik, nawet jeśli należy on do superużytkownika. Jak więc wyłączyć usuwanie/przenoszenie, aby użytkownik (przypadkowo lub celowo) nie zepsuł całego hostingu?
Po krótkim googlowaniu rozwiązanie zostało znalezione. Oprócz standardowych uprawnień i acl, w systemach plików, takich jak ext2, ext3, ext4, dla pliku można ustawić dodatkowe atrybuty. Przeczytaj więcej o wszystkich atrybutach na Wiki lub man chattr . Interesuje nas atrybut niezmienny. Ten atrybut pliku lub folderu może być ustawiony tylko przez superużytkownika. Jeśli przypisz atrybut niezmienny w takim razie do pliku dany plik nie będzie można go zmienić ani usunąć (i nawet superużytkownik nie będzie mógł tego zrobić, dopóki nie usunie tego atrybutu). Jeśli przypisz atrybut niezmienny następnie do folderu ten folder nie będzie można go usunąć, nie będzie też możliwa zmiana struktury w nim zawartej. Okazuje się więc, że jeśli potrzebujemy zabezpieczyć folder nazwa_witryny.ru i wewnątrz struktury, musimy wykonać proste polecenie:
Chattr +i /home/hostuser/vhosts/sitename.ru
Aby usunąć atrybut, musisz użyć flagi -I.
Jeśli chcesz chronić tylko jeden folder (np. logi), możesz wykonać następujące czynności:
Dotknij /home/hostuser/vhosts/sitename.ru/logs/.keep chattr +i /home/hostuser/vhosts/sitename.ru/logs/.keep
Właściwie w ten sposób można umieścić „ochronę przed głupcem” (nawet z uprawnieniami administratora).
Dziękuję za uwagę.
Zwracając uwagę!
Ważne jest, aby zrozumieć, że ten artykuł nie o bezpieczeństwie informacji. Zamek włączony skrzynka pocztowa- Ten Bezpieczeństwo informacji
. Szkło na przycisku alarmu pożarowego jest niezawodny.
Jeśli utworzysz plik .keep i nadasz mu atrybut -I, sam folder może zostać przeniesiony, a plik może zostać przeniesiony. Nie można usunąć samego pliku ani struktury folderów przed tym plikiem.
Jeśli potrzebujesz wyższego poziomu bezpieczeństwa, użyj atrybutu niezmienny razem z mount --bind. Korzystając z tego pakietu, możesz skonfigurować ochronę przed celowymi zmianami w strukturze.
Zakaz usuwania pozwala na przechowywanie danych bezterminowo ze względu na obowiązki prawne lub inne.
Jeżeli użytkownik usunie dane objęte takim zakazem, znikną z jego folderów, ale zostaną zapisane w przechowalni. Podczas obowiązywania zakazu dane te można wyszukiwać i eksportować.
Po utworzeniu zakazu usuwania plików będą one widoczne dla użytkownika, nawet jeśli reguła przechowywania wymaga ich usunięcia.
Zakres zakazu zależy od tego, jak jest skonfigurowany
Pliki na dyskach współdzielonych nie są zapisywane w następujących przypadkach.
Możesz zmienić poszczególne opcje blokowania, ale nie typ danych.
Dobra pora dnia.
Historycznie tak się złożyło, że do moich małych projektów trzymam maszynę wirtualną. Ponieważ jednak nie wykorzystuję jego zasobów w 100%, postanowiłem nie być chciwy i pozwolić kilku znajomym spędzać wolny czas. Nie ma wielu stron, nie biorę pieniędzy za hosting, więc uznałem, że instalacja czegoś takiego jak cpanel to za dużo. Poza tym należę do tych, którzy wolą ustawiać wszystko ręcznie. Wybrałem następującą strukturę:
/home/hostuser/vhosts/sitename.ru/(tmp,web,logs)
A potem pojawiło się pytanie: jak uniemożliwić użytkownikowi usuwanie / zmianę nazwy folderów w sitename.ru? Jeśli brakuje folderu sieć, wtedy zarówno Apache, jak i nginx wydadzą ostrzeżenie, ale nadal będą się uruchamiać. Ale jeśli usuniesz/przeniesiesz folder logi, to zarówno apache, jak i nginx nie uruchomią się z powodu błędu (dość dziwne zachowanie dla mnie). Teczka użytkownik hosta w pełni własnością tego użytkownika i jego grupy osobistej ( użytkownik hosta: użytkownik hosta), co oznacza, że w razie potrzeby będzie mógł usunąć dowolny wewnętrzny folder / plik, nawet jeśli należy on do superużytkownika. Jak więc wyłączyć usuwanie/przenoszenie, aby użytkownik (przypadkowo lub celowo) nie zepsuł całego hostingu?
Po krótkim googlowaniu rozwiązanie zostało znalezione. Oprócz standardowych uprawnień i acl, w systemach plików, takich jak ext2, ext3, ext4, dla pliku można ustawić dodatkowe atrybuty. Przeczytaj więcej o wszystkich atrybutach na Wiki lub man chattr . Interesuje nas atrybut niezmienny. Ten atrybut pliku lub folderu może być ustawiony tylko przez superużytkownika. Jeśli przypisz atrybut niezmienny do pliku, to tego pliku nie można zmienić ani usunąć (i nawet superużytkownik nie może tego zrobić, dopóki ten atrybut nie zostanie usunięty). Jeśli przypisz atrybut niezmienny w folderze, to nie będzie można usunąć tego folderu, nie będzie też możliwa zmiana jego struktury. Okazuje się więc, że jeśli potrzebujemy zabezpieczyć folder nazwa_witryny.ru i wewnątrz struktury, musimy wykonać proste polecenie:
Chattr +i /home/hostuser/vhosts/sitename.ru
Aby usunąć atrybut, musisz użyć flagi -I.
Jeśli chcesz chronić tylko jeden folder (np. logi), możesz wykonać następujące czynności:
Dotknij /home/hostuser/vhosts/sitename.ru/logs/.keep chattr +i /home/hostuser/vhosts/sitename.ru/logs/.keep
Właściwie w ten sposób można umieścić „ochronę przed głupcem” (nawet z uprawnieniami administratora).
Dziękuję za uwagę.
Zwracając uwagę!
Ważne jest, aby zrozumieć, że ten artykuł nie o bezpieczeństwie informacji. Blokada skrzynki pocztowej jest Bezpieczeństwo informacji. Szkło na przycisku alarmu pożarowego jest niezawodny.
Jeśli utworzysz plik .keep i nadasz mu atrybut -I, sam folder może zostać przeniesiony, a plik może zostać przeniesiony. Nie można usunąć samego pliku ani struktury folderów przed tym plikiem.
Jeśli potrzebujesz wyższego poziomu bezpieczeństwa, użyj atrybutu niezmienny razem z mount --bind. Korzystając z tego pakietu, możesz skonfigurować ochronę przed celowymi zmianami w strukturze.
Konieczność ustawienia zakazu usuwania aplikacji z iPhone'a i iPada może pojawić się w różnych sytuacjach. Najczęściej myślą o tym rodzice, czyje urządzenia mobilne używany przez dzieci, które od czasu do czasu starają się przypadkowo usunąć jedną z ważnych aplikacji. Na szczęście ustawienie takiego zakazu to tylko kwestia kilku kliknięć.
Krok 1. Przejdź do menu " Ustawienia» → « Główny» → « Ograniczenia».
Krok 2. Kliknij „ Włącz ograniczenia” i wprowadź hasło, które ustawiłeś wcześniej. Jeśli wcześniej nie korzystałeś z tej funkcji, wprowadź nowe hasło. W przypadku, gdy zapomniałeś hasła do ograniczeń, skontaktuj się z nami, aby je zresetować.
Krok 3. W sekcji „ umożliwić» przesuń przełącznik « Odinstalowywanie programów» do pozycji nieaktywnej.
Krok 4. Wróć do menu " Ustawienia„klikając strzałkę” Główny» aby zapisać ustawienia.
Gotowy! Teraz nie można usunąć z iPhone'a lub iPada zainstalowane aplikacje. Po przejściu do trybu usuwania aplikacji krzyżyki w pobliżu ikon nie pojawią się.
Gdy musisz odinstalować jedną z aplikacji, przejdź do menu „ Ustawienia» → « Główny» → « Ograniczenia"i włącz przełącznik" Odinstalowywanie programów"lub kliknij" Wyłącz ograniczenia».
Element bezpieczeństwa w system operacyjny jest zapewnienie, że pliki lub katalogi nie zostaną usunięte. Środki te obejmują ukrywanie, blokowanie edycji, przeglądania lub dodawanie uprawnień do przetwarzania obiektów plików.
Stworzył dużą liczbę produkty oprogramowania, zaprojektowane do organizowania ochrony plików, folderów, ale częściej rozwiązują problem usuwania plików w złożony sposób, ukrywając je lub odmawiając dostępu.
Wszystkie katalogi, pliki, procesy w systemie Windows są tworzone przez określonego użytkownika. Twórcy systemu Windows starali się opracować taki system ochrony, aby każdy użytkownik miał bardzo specyficzny przypadek praw. Ta sprawa zawiera opcje o charakterze zabraniającym lub zezwalającym na manipulowanie procesami, obiektami plików.
Istnieje możliwość wprowadzenia zakazu na poziomie konto. Tworząc np. katalog lub plik na koncie administratora z jednoczesnym otwarciem dostępu na poziomie kont gości, pozostawiając im prawa zapisu, odczytu, przenoszenia. Częściej jednak trzeba zrobić bana na poziomie aktualnego (własnego) konta.
Musimy zwrócić się do systemu bezpieczeństwa Windows. Ta metoda zakłada, że system plików dysku lokalizacji obiektu to początkowo NTFS. To ona zapewnia mechanizm dystrybucji opcji zakazu i zezwolenia dla wszystkich użytkowników. Systemy FAT nie mogą oferować takich rozróżnień.
Co więcej, nałożone ograniczenia nie dotyczą samego obiektu, ale jego lokalizacji. Jeśli jego lokalizacja zostanie zmieniona, dostęp zostanie wznowiony. Należy również rozumieć, że opcje zakazu mają wyższy priorytet niż opcje zezwolenia, więc jeśli wybrane zostaną te same ustawienia uprawnień i zakazów, prawa zakazu są wykonywane w pierwszej kolejności.
Ograniczenie takie będzie jednak szersze, gdyż będzie musiało ograniczać pełny dostęp.
Przede wszystkim otwórzmy menu kontekstowe wybrany plik i znajdź w nim element właściwości.
W oknie, które zostanie otwarte, przejdź do zakładki „Bezpieczeństwo”.
W polu grupy i użytkownicy wybierz żądanego użytkownika.
Kliknij przycisk „Zmień” iw oknie, które się pojawi, na liście uprawnień grupy zaznacz pola wyboru zakazu ustawień.
Zapiszmy teraz wprowadzone zmiany.
Kontynuujmy operację
Teraz widzimy, że zaznaczyliśmy zaporowe opcje
Wprowadzimy więc ograniczenia pełnego dostępu, które obejmują również zakaz usuwania obiektu.
Podjęto próbę otwarcia pliku obrazu z niedozwolonej lokalizacji. Teraz spróbujmy go usunąć.
Zgadzamy się z ostrzeżeniem
Pojawia się jednak następujące okno. Kliknij „Kontynuuj”.
System nadal nie pozwala na usunięcie obiektu.
Ten sam mechanizm ograniczeń można zastosować do dużej liczby obiektów znajdujących się w jednym katalogu. W takim przypadku ban może zostać nałożony na wszystkich użytkowników systemu. Tego rodzaju ograniczenie (dla wszystkich) można zastosować dla pojedynczego pliku. W takim przypadku musimy dodać nową grupę użytkowników („Wszyscy”). Następnie musisz zaznaczyć pola wyboru zaporowych opcji.
Wróć do zakładki bezpieczeństwa
Kliknij przycisk „Zaawansowane”, aby otworzyć okno ustawień zaawansowanych.
Następnie wybierz „Zmień uprawnienia”:
W tym oknie wybierz „Dodaj”.
W oknie wyboru grup i użytkowników napiszemy nową kategorię „Wszyscy” i sprawdzimy nazwy.
Po tej procedurze system wskaże lokalizację, dla której w ten moment obowiązują ograniczenia. Następnie wystarczy kliknąć „OK” i zaakceptować wyskakujące ostrzeżenia.
Wyrażamy zgodę na kontynuację operacji
Jak widać mamy nowa grupa ze specjalnymi uprawnieniami.
Tutaj te szczególne uprawnienia są również widoczne.
Spróbujmy usunąć coś z tego katalogu.
Zgadzamy się na przejście do kosza.
Widzimy jednak znajome okno, które wymaga podniesienia uprawnień.
System myśli trochę...
Jednak następnie zgłasza, że nie ma możliwości usunięcia pliku z tej lokalizacji.
Streszczenie
Stworzono wiele narzędzi programowych w celu ograniczenia dostępu użytkownika do obiektów systemu plików. Jednak system Windows ma własne wbudowane narzędzia. Plik systemie NTFS pozwala na ustawienie restrykcyjnych ustawień dla lokalizacji konkretnego użytkownika lub dla wszystkich lokalizacji jednocześnie. Jednak takie ograniczenia mogą uniemożliwić pełny dostęp lub tylko usunięcie jednego lub większej liczby katalogów i plików.