Dobry den
Historicky si nechávam virtuálny stroj pre svoje malé projekty. Keďže však jeho zdroje nevyužívam na 100%, rozhodol som sa, že nebudem chamtivý a nechám pár priateľov poflakovať sa. Nie je veľa stránok, neúčtujem si peniaze za hosting, takže som si myslel, že inštalácia niečoho ako cpanel je prehnaná. Navyše patrím k tým, ktorí si radšej všetko konfigurujú manuálne. Zvolil som nasledovnú štruktúru:
/home/hostuser/vhosts/sitename.ru/(tmp,web,logs)
A potom vyvstala otázka: ako zabrániť používateľovi v odstránení/premenovaní priečinkov v sitename.ru? Ak priečinok chýba web, potom Apache aj nginx vydajú varovanie, ale stále sa načítajú. Ale ak odstránite/presuniete priečinok protokoly, potom sa apache aj nginx nespustia kvôli chybe (podľa mňa dosť zvláštne správanie). Priečinok hostuser v úplnom vlastníctve tomuto používateľovi a jeho osobná skupina ( hostuser:hostuser), čo znamená, že v prípade potreby bude môcť vymazať akýkoľvek interný priečinok/súbor, aj keď patrí superužívateľovi. Ako teda zabrániť zmazaniu/presunutiu, aby si používateľ (náhodne alebo zámerne) nerozbil celý hosting?
Po nejakom googlovaní sa našlo riešenie. Okrem štandardných oprávnení a acl môžete v súborových systémoch ako ext2, ext3, ext4 nastaviť ďalšie atribúty pre súbor. Prečítajte si viac o všetkých atribútoch na Wiki alebo man chattr. Zaujíma nás atribút nemenný. Tento atribút pre súbor alebo priečinok môže nastaviť iba superužívateľ. Ak priradí atribút nemenný do súboru teda tento súbor nemožno zmeniť ani odstrániť (a ani superužívateľ to nebude môcť urobiť, kým tento atribút neodstráni). Ak priradí atribút nemenný potom do priečinka tento priečinok nebude možné ho vymazať a taktiež nebude možné zmeniť jeho štruktúru. Ukazuje sa teda, že ak potrebujeme chrániť priečinok sitename.ru a štruktúru v nej, musíme spustiť jednoduchý príkaz:
Chattr +i /home/hostuser/vhosts/sitename.ru
Ak chcete odstrániť atribút, musíte použiť príznak -i.
Ak potrebujete chrániť iba jeden priečinok (napr. protokoly), môžete urobiť nasledovné:
Dotknite sa /home/hostuser/vhosts/sitename.ru/logs/.keep chattr +i /home/hostuser/vhosts/sitename.ru/logs/.keep
V skutočnosti si takto môžete nainštalovať „ochranu bláznov“ (aj s právami superužívateľa).
ďakujem za pozornosť.
Venujte prosím pozornosť!
Je dôležité pochopiť, že tento článok nie o informačnej bezpečnosti. Hrad na poštová schránka- Toto informačnej bezpečnosti
. Sklo na tlačidle požiarneho poplachu je spoľahlivý.
Ak vytvoríte súbor .keep a priradíte mu atribút -i, možno presunúť samotný priečinok a presunúť súbor. Nemôžete odstrániť samotný súbor a štruktúru priečinkov pred týmto súborom.
Ak požadujete vyššiu úroveň zabezpečenia, použite atribút nemenný spolu s namontovať --priviazať. Pomocou tohto balíka môžete nakonfigurovať ochranu proti úmyselným zmenám v štruktúre.
Zákaz vymazania umožňuje uchovávanie údajov na dobu neurčitú z dôvodu zákonných alebo iných povinností.
Ak používateľ vymaže údaje, na ktoré sa vzťahuje takýto zákaz, zmiznú z jeho priečinkov, ale uloží sa do Trezoru. Kým platí zákaz, tieto údaje je možné nájsť a exportovať.
Po vytvorení zákazu odstraňovania súborov budú tieto súbory viditeľné pre používateľa, aj keď pravidlo uchovávania vyžaduje ich odstránenie.
Oblasť zákazu závisí od toho, ako je nakonfigurovaná
Súbory na spoločných diskoch sa neuložia v nasledujúcich prípadoch:
Môžete zmeniť jednotlivé nastavenia zákazu, ale nie typ údajov.
Dobry den
Historicky si nechávam virtuálny stroj pre svoje malé projekty. Keďže však jeho zdroje nevyužívam na 100%, rozhodol som sa, že nebudem chamtivý a nechám pár priateľov poflakovať sa. Nie je veľa stránok, neúčtujem si peniaze za hosting, takže som si myslel, že inštalácia niečoho ako cpanel je prehnaná. Navyše patrím k tým, ktorí si radšej všetko konfigurujú manuálne. Zvolil som nasledovnú štruktúru:
/home/hostuser/vhosts/sitename.ru/(tmp,web,logs)
A potom vyvstala otázka: ako zabrániť používateľovi v odstránení/premenovaní priečinkov v sitename.ru? Ak priečinok chýba web, potom Apache aj nginx vydajú varovanie, ale stále sa načítajú. Ale ak odstránite/presuniete priečinok protokoly, potom sa apache aj nginx nespustia kvôli chybe (podľa mňa dosť zvláštne správanie). Priečinok hostuserúplne patrí tomuto používateľovi a jeho osobnej skupine ( hostuser:hostuser), čo znamená, že v prípade potreby bude môcť vymazať akýkoľvek interný priečinok/súbor, aj keď patrí superužívateľovi. Ako teda zabrániť zmazaniu/presunutiu, aby si používateľ (náhodne alebo zámerne) nerozbil celý hosting?
Po nejakom googlovaní sa našlo riešenie. Okrem štandardných oprávnení a acl môžete v súborových systémoch ako ext2, ext3, ext4 nastaviť ďalšie atribúty pre súbor. Prečítajte si viac o všetkých atribútoch na Wiki alebo man chattr. Zaujíma nás atribút nemenný. Tento atribút pre súbor alebo priečinok môže nastaviť iba superužívateľ. Ak priradí atribút nemenný do súboru, potom tento súbor nemožno zmeniť ani vymazať (a ani superužívateľ to nebude môcť urobiť, kým tento atribút neodstráni). Ak priradí atribút nemenný do priečinka, potom tento priečinok nebude možné odstrániť a nebude možné zmeniť ani štruktúru v ňom. Ukazuje sa teda, že ak potrebujeme chrániť priečinok sitename.ru a štruktúru v nej, musíme spustiť jednoduchý príkaz:
Chattr +i /home/hostuser/vhosts/sitename.ru
Ak chcete odstrániť atribút, musíte použiť príznak -i.
Ak potrebujete chrániť iba jeden priečinok (napr. protokoly), môžete urobiť nasledovné:
Dotknite sa /home/hostuser/vhosts/sitename.ru/logs/.keep chattr +i /home/hostuser/vhosts/sitename.ru/logs/.keep
V skutočnosti si takto môžete nainštalovať „ochranu bláznov“ (aj s právami superužívateľa).
ďakujem za pozornosť.
Venujte prosím pozornosť!
Je dôležité pochopiť, že tento článok nie o informačnej bezpečnosti. Zámok na schránke je informačnej bezpečnosti. Sklo na tlačidle požiarneho poplachu je spoľahlivý.
Ak vytvoríte súbor .keep a priradíte mu atribút -i, možno presunúť samotný priečinok a presunúť súbor. Nemôžete odstrániť samotný súbor a štruktúru priečinkov pred týmto súborom.
Ak požadujete vyššiu úroveň zabezpečenia, použite atribút nemenný spolu s namontovať --priviazať. Pomocou tohto balíka môžete nakonfigurovať ochranu proti úmyselným zmenám v štruktúre.
Potreba nastaviť zákaz odstraňovania aplikácií z iPhone a iPad môže vzniknúť v rôznych situáciách. Najčastejšie o tom uvažujú rodičia, ktorých mobilných zariadení používajú deti, ktoré sa tu a tam snažia omylom vymazať jednu z dôležitých aplikácií. Našťastie nastavenie takéhoto zákazu je otázkou niekoľkých kliknutí.
Krok 1. Prejdite do ponuky " Nastavenia» → « Základné» → « Obmedzenia».
Krok 2: Kliknite na „ Povoliť obmedzenia“ a zadajte heslo, ktoré ste nastavili predtým. Ak ste túto funkciu ešte nepoužívali, zadajte nové heslo. Ak ste zabudli svoje heslo pre obmedzenia, kontaktujte nás, aby sme ho obnovili.
Krok 3. V sekcii " Povoliť» posuňte spínač « Odinštalovanie programov» do neaktívnej polohy.
Krok 4. Vráťte sa do ponuky " Nastavenia", kliknutím na šípku " Základné» pre uloženie nastavení.
Pripravený! Teraz nie je možné odstrániť z vášho iPhone alebo iPad nainštalované aplikácie. Keď prepnete do režimu odstraňovania aplikácií, krížiky sa vedľa ikon nezobrazia.
Ak potrebujete odstrániť jednu z aplikácií, prejdite na „ Nastavenia» → « Základné» → « Obmedzenia"a zapnite vypínač" Odinštalovanie programov", alebo kliknite na " Vypnite obmedzenia».
Bezpečnostný komponent v operačný systém je zabezpečiť, že mazanie súborov alebo adresárov je zakázané. Tieto opatrenia zahŕňajú skrytie, zákaz úprav, prezerania alebo pridávanie povolení na spracovanie objektov súboru.
Vytvorené veľké množstvo softvérové produkty, určené na organizáciu ochrany súborov a priečinkov, ale častejšie riešia problém s odstránením súborov komplexným spôsobom, čím sa skryjú alebo im zakáže prístup.
Všetky adresáre, súbory, procesy vo Windowse vytvára konkrétny používateľ. Tvorcovia Windowsu sa snažili vyvinúť taký ochranný systém, aby mal každý používateľ veľmi špecifický prípad práv. Tento prípad obsahuje možnosti, ktoré zakazujú alebo povoľujú manipuláciu s procesmi a objektmi súborov.
Je možné realizovať zákaz na úrovni účtu. Napríklad vytvorením adresára alebo súboru v účte správcu a súčasným otvorením prístupu na úrovni účtu hosťa, čo im ponechá práva na zápis, čítanie a presun. Častejšie však musíte urobiť ban na úrovni bežného (vlastného) účtu.
Musíme sa obrátiť na bezpečnostný systém Windows. Táto metóda predpokladá, že súborový systém disku na umiestnenie objektu je pôvodne NTFS. Poskytuje mechanizmus na distribúciu možností zákazu a povolenia pre všetkých používateľov. Systémy FAT nemôžu ponúknuť takéto rozdiely.
Uložené obmedzenia sa navyše netýkajú samotného objektu, ale jeho umiestnenia. Ak sa jeho umiestnenie zmení, prístup sa obnoví. Musíte tiež pochopiť, že možnosti zákazu majú najvyššiu prioritu v porovnaní s možnosťami povolenia, takže ak sú vybraté rovnaké nastavenia povolení a zákazu, najskôr sa vykonajú zákazové práva.
Takéto obmedzenie však bude širšie, pretože bude potrebné obmedziť plný prístup.
V prvom rade otvorme kontextové menu vybraný súbor a nájdite v ňom položku vlastností.
V okne, ktoré sa otvorí, prejdite na kartu „Zabezpečenie“.
V poli skupiny a používatelia vyberte požadovaného používateľa.
Kliknite na tlačidlo „Zmeniť“ a v zobrazenom okne v zozname skupinových povolení začiarknite políčka pre zákaz nastavení.
Teraz uložíme vykonané zmeny.
Pokračujme v operácii
Teraz vidíme, že máme začiarkavacie políčka pre zakázané možnosti
Nastavíme teda obmedzenia plného prístupu, ktoré zahŕňajú aj zákaz vymazania objektu.
Uskutočnil sa pokus o otvorenie súboru obrázka zo zakázaného miesta. Teraz sa ho pokúsime odstrániť.
Súhlasíme s upozornením
Zobrazí sa však nasledujúce okno. Kliknite na „Pokračovať“.
Systém stále neumožňuje vymazať objekt.
Rovnaký obmedzovací mechanizmus možno použiť na veľký počet objektov umiestnených v jednom adresári. V tomto prípade môže byť všetkým používateľom systému uložený zákaz. Tento druh obmedzenia (pre každého) možno vykonať pre jeden súbor. V tomto prípade budeme musieť pridať novú skupinu používateľov („Všetci“). Potom budete musieť začiarknuť políčka obmedzujúcich možností.
Vráťte sa na kartu zabezpečenia
Kliknutím na tlačidlo „Rozšírené“ otvoríte okno rozšírených nastavení.
Potom vyberte „Zmeniť povolenia“:
V tomto okne musíte vybrať „Pridať“.
V okne na výber skupín a používateľov napíšte novú kategóriu „Všetci“ a skontrolujte názvy.
Po tomto postupe systém zobrazí umiestnenie, pre ktoré momentálne obmedzenia sú splnené. Ďalej stačí kliknúť na „OK“ a súhlasiť s kontextovými upozorneniami.
Súhlasíme s pokračovaním prevádzky
Ako vidíte, máme nová skupina s osobitnými právami.
Tieto špeciálne práva sú viditeľné aj tu.
Skúsme niečo z tohto adresára odstrániť.
Súhlasíme s presunom do koša.
Vidíme však známe okno vyžadujúce zvýšenie práv.
Systém trochu rozmýšľa...
Potom však hlási, že neexistuje možnosť odstrániť súbor z tohto umiestnenia.
Stručné zhrnutie
Mnohí vytvorili softvérové nástroje na obmedzenie prístupu používateľov k objektom systému súborov. Windows má však svoje vlastné vstavané nástroje. Súbor systém NTFS umožňuje nastaviť obmedzujúce nastavenia pre umiestnenie konkrétneho používateľa alebo pre všetky lokality naraz. Okrem toho takéto obmedzenia môžu zakázať úplný prístup alebo len vymazanie jedného alebo viacerých adresárov a súborov.
