Dobra pora dnia.

Historycznie tak się złożyło, że do moich małych projektów trzymam maszynę wirtualną. Ponieważ jednak nie wykorzystuję jego zasobów w 100%, postanowiłem nie być chciwy i pozwolić kilku znajomym spędzać wolny czas. Nie ma wielu stron, nie biorę pieniędzy za hosting, więc uznałem, że instalacja czegoś takiego jak cpanel to za dużo. Poza tym należę do tych, którzy wolą ustawiać wszystko ręcznie. Wybrałem następującą strukturę:

/home/hostuser/vhosts/sitename.ru/(tmp,web,logs)
A potem pojawiło się pytanie: jak uniemożliwić użytkownikowi usuwanie / zmianę nazwy folderów w sitename.ru? Jeśli brakuje folderu sieć, wtedy zarówno Apache, jak i nginx wydadzą ostrzeżenie, ale nadal będą się uruchamiać. Ale jeśli usuniesz/przeniesiesz folder logi, to zarówno apache, jak i nginx nie uruchomią się z powodu błędu (dość dziwne zachowanie dla mnie). Teczka użytkownik hosta w całości własnością dany użytkownik i jego osobista grupa użytkownik hosta: użytkownik hosta), co oznacza, że ​​w razie potrzeby będzie mógł usunąć dowolny wewnętrzny folder / plik, nawet jeśli należy on do superużytkownika. Jak więc wyłączyć usuwanie/przenoszenie, aby użytkownik (przypadkowo lub celowo) nie zepsuł całego hostingu?

Po krótkim googlowaniu rozwiązanie zostało znalezione. Oprócz standardowych uprawnień i acl, w systemach plików, takich jak ext2, ext3, ext4, dla pliku można ustawić dodatkowe atrybuty. Przeczytaj więcej o wszystkich atrybutach na Wiki lub man chattr . Interesuje nas atrybut niezmienny. Ten atrybut pliku lub folderu może być ustawiony tylko przez superużytkownika. Jeśli przypisz atrybut niezmienny w takim razie do pliku dany plik nie będzie można go zmienić ani usunąć (i nawet superużytkownik nie będzie mógł tego zrobić, dopóki nie usunie tego atrybutu). Jeśli przypisz atrybut niezmienny następnie do folderu ten folder nie będzie można go usunąć, nie będzie też możliwa zmiana struktury w nim zawartej. Okazuje się więc, że jeśli potrzebujemy zabezpieczyć folder nazwa_witryny.ru i wewnątrz struktury, musimy wykonać proste polecenie:

Chattr +i /home/hostuser/vhosts/sitename.ru
Aby usunąć atrybut, musisz użyć flagi -I.

Jeśli chcesz chronić tylko jeden folder (np. logi), możesz wykonać następujące czynności:

Dotknij /home/hostuser/vhosts/sitename.ru/logs/.keep chattr +i /home/hostuser/vhosts/sitename.ru/logs/.keep
Właściwie w ten sposób można umieścić „ochronę przed głupcem” (nawet z uprawnieniami administratora).

Dziękuję za uwagę.

Zwracając uwagę!

Ważne jest, aby zrozumieć, że ten artykuł nie o bezpieczeństwie informacji. Zamek włączony skrzynka pocztowa- Ten Bezpieczeństwo informacji . Szkło na przycisku alarmu pożarowego jest niezawodny.
Jeśli utworzysz plik .keep i nadasz mu atrybut -I, sam folder może zostać przeniesiony, a plik może zostać przeniesiony. Nie można usunąć samego pliku ani struktury folderów przed tym plikiem.
Jeśli potrzebujesz wyższego poziomu bezpieczeństwa, użyj atrybutu niezmienny razem z mount --bind. Korzystając z tego pakietu, możesz skonfigurować ochronę przed celowymi zmianami w strukturze.

Zakaz usuwania pozwala na przechowywanie danych bezterminowo ze względu na obowiązki prawne lub inne.

Jeżeli użytkownik usunie dane objęte takim zakazem, znikną z jego folderów, ale zostaną zapisane w przechowalni. Podczas obowiązywania zakazu dane te można wyszukiwać i eksportować.

Ważne informacje o ograniczeniach związanych z Dyskiem i usuwaniem

Pliki podlegające ograniczeniom usuwania są widoczne dla użytkowników.

Po utworzeniu zakazu usuwania plików będą one widoczne dla użytkownika, nawet jeśli reguła przechowywania wymaga ich usunięcia.

Zakres zakazu zależy od tego, jak jest skonfigurowany

• Ograniczenie usuwania danych z Dysku dotyczy plików należących do użytkownika lub organizacji, które są objęte tym ograniczeniem, a także do plików, do których użytkownik lub organizacja ma bezpośredni dostęp. Dotyczy to również plików na dyskach współdzielonych, do których użytkownik ma bezpośredni dostęp, niezależnie od tego, czy użytkownik jest członkiem dysku.
• Jeśli zakaz dotyczy dysków współdzielonych, dotyczy również dysków współdzielonych, których użytkownicy są członkami.
• Nie możesz ustawić blokady na dysku współdzielonym. Zamiast tego skonfiguruj blokadę dla członków tego dysku i zaznacz pole Zastosuj do dysków współdzielonych.

Pod jakimi warunkami nie obowiązuje zakaz usuwania danych na dyskach współdzielonych?

Pliki na dyskach współdzielonych nie są zapisywane w następujących przypadkach.

• Członek dysku współdzielonego:
  • przenosi plik z dysku współdzielonego, a ten użytkownik nie jest objęty banem;
  • usuwa z udostępnionego dysku jedynego zbanowanego członka.
• Żaden z użytkowników dysku współdzielonego nie został dodany do ograniczenia usuwania danych.

Jak ustawić zakaz usuwania danych z Dysku

1. Utwórz lub otwórz folder, który będzie zawierał zakaz.
2. Kliknij Utwórz zakaz.
3. Określ unikalną nazwę bana.
4. Wybierać Dysk.
5. Określ kogo dotyczyć będzie zakaz:
   • Konta. Wpisz adresy E-mail wymaganych użytkowników.
   • Organizacja. Wybierz dział z listy rozwijanej.
   • Pole wyboru Dołącz pliki z połączonych dysków współdzielonych. Wtedy zakaz będzie dotyczył zawartości dysków współdzielonych, która jest dostępna dla odpowiednich użytkowników, a nie tylko ich własnych danych na Dysku.
6. Kliknij Ratować.

Jak zmienić ustawienia banowania

Możesz zmienić poszczególne opcje blokowania, ale nie typ danych.

Dobra pora dnia.

Historycznie tak się złożyło, że do moich małych projektów trzymam maszynę wirtualną. Ponieważ jednak nie wykorzystuję jego zasobów w 100%, postanowiłem nie być chciwy i pozwolić kilku znajomym spędzać wolny czas. Nie ma wielu stron, nie biorę pieniędzy za hosting, więc uznałem, że instalacja czegoś takiego jak cpanel to za dużo. Poza tym należę do tych, którzy wolą ustawiać wszystko ręcznie. Wybrałem następującą strukturę:

/home/hostuser/vhosts/sitename.ru/(tmp,web,logs)
A potem pojawiło się pytanie: jak uniemożliwić użytkownikowi usuwanie / zmianę nazwy folderów w sitename.ru? Jeśli brakuje folderu sieć, wtedy zarówno Apache, jak i nginx wydadzą ostrzeżenie, ale nadal będą się uruchamiać. Ale jeśli usuniesz/przeniesiesz folder logi, to zarówno apache, jak i nginx nie uruchomią się z powodu błędu (dość dziwne zachowanie dla mnie). Teczka użytkownik hosta w pełni własnością tego użytkownika i jego grupy osobistej ( użytkownik hosta: użytkownik hosta), co oznacza, że ​​w razie potrzeby będzie mógł usunąć dowolny wewnętrzny folder / plik, nawet jeśli należy on do superużytkownika. Jak więc wyłączyć usuwanie/przenoszenie, aby użytkownik (przypadkowo lub celowo) nie zepsuł całego hostingu?

Po krótkim googlowaniu rozwiązanie zostało znalezione. Oprócz standardowych uprawnień i acl, w systemach plików, takich jak ext2, ext3, ext4, dla pliku można ustawić dodatkowe atrybuty. Przeczytaj więcej o wszystkich atrybutach na Wiki lub man chattr . Interesuje nas atrybut niezmienny. Ten atrybut pliku lub folderu może być ustawiony tylko przez superużytkownika. Jeśli przypisz atrybut niezmienny do pliku, to tego pliku nie można zmienić ani usunąć (i nawet superużytkownik nie może tego zrobić, dopóki ten atrybut nie zostanie usunięty). Jeśli przypisz atrybut niezmienny w folderze, to nie będzie można usunąć tego folderu, nie będzie też możliwa zmiana jego struktury. Okazuje się więc, że jeśli potrzebujemy zabezpieczyć folder nazwa_witryny.ru i wewnątrz struktury, musimy wykonać proste polecenie:

Chattr +i /home/hostuser/vhosts/sitename.ru
Aby usunąć atrybut, musisz użyć flagi -I.

Jeśli chcesz chronić tylko jeden folder (np. logi), możesz wykonać następujące czynności:

Dotknij /home/hostuser/vhosts/sitename.ru/logs/.keep chattr +i /home/hostuser/vhosts/sitename.ru/logs/.keep
Właściwie w ten sposób można umieścić „ochronę przed głupcem” (nawet z uprawnieniami administratora).

Dziękuję za uwagę.

Zwracając uwagę!

Ważne jest, aby zrozumieć, że ten artykuł nie o bezpieczeństwie informacji. Blokada skrzynki pocztowej jest Bezpieczeństwo informacji. Szkło na przycisku alarmu pożarowego jest niezawodny.
Jeśli utworzysz plik .keep i nadasz mu atrybut -I, sam folder może zostać przeniesiony, a plik może zostać przeniesiony. Nie można usunąć samego pliku ani struktury folderów przed tym plikiem.
Jeśli potrzebujesz wyższego poziomu bezpieczeństwa, użyj atrybutu niezmienny razem z mount --bind. Korzystając z tego pakietu, możesz skonfigurować ochronę przed celowymi zmianami w strukturze.

Konieczność ustawienia zakazu usuwania aplikacji z iPhone'a i iPada może pojawić się w różnych sytuacjach. Najczęściej myślą o tym rodzice, czyje urządzenia mobilne używany przez dzieci, które od czasu do czasu starają się przypadkowo usunąć jedną z ważnych aplikacji. Na szczęście ustawienie takiego zakazu to tylko kwestia kilku kliknięć.

Krok 1. Przejdź do menu " Ustawienia» → « Główny» → « Ograniczenia».

Krok 2. Kliknij „ Włącz ograniczenia” i wprowadź hasło, które ustawiłeś wcześniej. Jeśli wcześniej nie korzystałeś z tej funkcji, wprowadź nowe hasło. W przypadku, gdy zapomniałeś hasła do ograniczeń, skontaktuj się z nami, aby je zresetować.

Krok 3. W sekcji „ umożliwić» przesuń przełącznik « Odinstalowywanie programów» do pozycji nieaktywnej.

Krok 4. Wróć do menu " Ustawienia„klikając strzałkę” Główny» aby zapisać ustawienia.

Gotowy! Teraz nie można usunąć z iPhone'a lub iPada zainstalowane aplikacje. Po przejściu do trybu usuwania aplikacji krzyżyki w pobliżu ikon nie pojawią się.

Gdy musisz odinstalować jedną z aplikacji, przejdź do menu „ Ustawienia» → « Główny» → « Ograniczenia"i włącz przełącznik" Odinstalowywanie programów"lub kliknij" Wyłącz ograniczenia».

Element bezpieczeństwa w system operacyjny jest zapewnienie, że pliki lub katalogi nie zostaną usunięte. Środki te obejmują ukrywanie, blokowanie edycji, przeglądania lub dodawanie uprawnień do przetwarzania obiektów plików.

Stworzył dużą liczbę produkty oprogramowania, zaprojektowane do organizowania ochrony plików, folderów, ale częściej rozwiązują problem usuwania plików w złożony sposób, ukrywając je lub odmawiając dostępu.

Wszystkie katalogi, pliki, procesy w systemie Windows są tworzone przez określonego użytkownika. Twórcy systemu Windows starali się opracować taki system ochrony, aby każdy użytkownik miał bardzo specyficzny przypadek praw. Ta sprawa zawiera opcje o charakterze zabraniającym lub zezwalającym na manipulowanie procesami, obiektami plików.

Istnieje możliwość wprowadzenia zakazu na poziomie konto. Tworząc np. katalog lub plik na koncie administratora z jednoczesnym otwarciem dostępu na poziomie kont gości, pozostawiając im prawa zapisu, odczytu, przenoszenia. Częściej jednak trzeba zrobić bana na poziomie aktualnego (własnego) konta.

Musimy zwrócić się do systemu bezpieczeństwa Windows. Ta metoda zakłada, że ​​system plików dysku lokalizacji obiektu to początkowo NTFS. To ona zapewnia mechanizm dystrybucji opcji zakazu i zezwolenia dla wszystkich użytkowników. Systemy FAT nie mogą oferować takich rozróżnień.

Co więcej, nałożone ograniczenia nie dotyczą samego obiektu, ale jego lokalizacji. Jeśli jego lokalizacja zostanie zmieniona, dostęp zostanie wznowiony. Należy również rozumieć, że opcje zakazu mają wyższy priorytet niż opcje zezwolenia, więc jeśli wybrane zostaną te same ustawienia uprawnień i zakazów, prawa zakazu są wykonywane w pierwszej kolejności.

Na początek zabronimy usuwania dla określonego użytkownika

Ograniczenie takie będzie jednak szersze, gdyż będzie musiało ograniczać pełny dostęp.

Przede wszystkim otwórzmy menu kontekstowe wybrany plik i znajdź w nim element właściwości.

W oknie, które zostanie otwarte, przejdź do zakładki „Bezpieczeństwo”.

W polu grupy i użytkownicy wybierz żądanego użytkownika.

Kliknij przycisk „Zmień” iw oknie, które się pojawi, na liście uprawnień grupy zaznacz pola wyboru zakazu ustawień.

Zapiszmy teraz wprowadzone zmiany.

Kontynuujmy operację

Teraz widzimy, że zaznaczyliśmy zaporowe opcje

Wprowadzimy więc ograniczenia pełnego dostępu, które obejmują również zakaz usuwania obiektu.

Podjęto próbę otwarcia pliku obrazu z niedozwolonej lokalizacji. Teraz spróbujmy go usunąć.

Zgadzamy się z ostrzeżeniem

Pojawia się jednak następujące okno. Kliknij „Kontynuuj”.

System nadal nie pozwala na usunięcie obiektu.

Zabraniamy usuwania dużej liczby obiektów

Ten sam mechanizm ograniczeń można zastosować do dużej liczby obiektów znajdujących się w jednym katalogu. W takim przypadku ban może zostać nałożony na wszystkich użytkowników systemu. Tego rodzaju ograniczenie (dla wszystkich) można zastosować dla pojedynczego pliku. W takim przypadku musimy dodać nową grupę użytkowników („Wszyscy”). Następnie musisz zaznaczyć pola wyboru zaporowych opcji.

Wróć do zakładki bezpieczeństwa

Kliknij przycisk „Zaawansowane”, aby otworzyć okno ustawień zaawansowanych.

Następnie wybierz „Zmień uprawnienia”:

W tym oknie wybierz „Dodaj”.

W oknie wyboru grup i użytkowników napiszemy nową kategorię „Wszyscy” i sprawdzimy nazwy.

Po tej procedurze system wskaże lokalizację, dla której w ten moment obowiązują ograniczenia. Następnie wystarczy kliknąć „OK” i zaakceptować wyskakujące ostrzeżenia.

Wyrażamy zgodę na kontynuację operacji

Jak widać mamy nowa grupa ze specjalnymi uprawnieniami.

Tutaj te szczególne uprawnienia są również widoczne.

Spróbujmy usunąć coś z tego katalogu.

Zgadzamy się na przejście do kosza.

Widzimy jednak znajome okno, które wymaga podniesienia uprawnień.

System myśli trochę...

Jednak następnie zgłasza, że ​​nie ma możliwości usunięcia pliku z tej lokalizacji.

Streszczenie

Stworzono wiele narzędzi programowych w celu ograniczenia dostępu użytkownika do obiektów systemu plików. Jednak system Windows ma własne wbudowane narzędzia. Plik systemie NTFS pozwala na ustawienie restrykcyjnych ustawień dla lokalizacji konkretnego użytkownika lub dla wszystkich lokalizacji jednocześnie. Jednak takie ograniczenia mogą uniemożliwić pełny dostęp lub tylko usunięcie jednego lub większej liczby katalogów i plików.