Unix-perusteet. Tiedosto-oikeudet



Samankaltaiset tiedostot
Linux - käyttöoikeudet

Luento 3. Timo Savola. 7. huhtikuuta 2006

UNIX... UNIX tietoturva. Tiedot turvassa. ... tietoturva

Metropolia Ammattikorkeakoulu

Julkaiseminen verkossa

Kieliteknologian ATK-ympäristö Toinen luento

Hieman linkkejä: lyhyt ohje komentoriviohjelmointiin.

Unix-perusteet. Unix/Linux-käyttöjärjestelmä ja sen ominaisuudet

Harjoituksen aiheena on tietokantapalvelimen asentaminen ja testaaminen. Asennetaan MySQL-tietokanta. Hieman linkkejä:

Maestro Lappeenranta Mannerheiminkatu Lappeenranta. Maestro Helsinki Huopalahdentie Helsinki

linux linux: käyttäjän oikeudet + lisää ja - poistaa oikeuksia

Käyttöopas. ADAP-KOOL AK-ST 500 Oy Danfoss Ab / Kylmäosasto 1

Ubuntu - peruskäyttö. Seuraavassa läpikäydään Ubuntun peruskäyttöä:

Luento 5. Timo Savola. 28. huhtikuuta 2006

[Jnix näyttökoe. o ei ole sallittua käyttää mitään verkkolevyjakoa tai mitään siihen rinnastettavaa järjestelmdä.

Tietokantojen hallinta

Järjestelmän asetukset. Asetustiedostojen muokkaaminen. Pääkäyttäjä eli root. Järjestelmänhallinnan työkalut

1. päivä ip Windows 2003 Server ja vista (toteutus)

KYMENLAAKSON AMMATTIKORKEAKOULU Tietotekniikan koulutusohjelma / Tietoverkkotekniikka

Linux-virtuaalipalvelimen ylläpito

Tapahtumakalenteri & Jäsentietojärjestelmä Ylläpito

Kieliteknologian ATK-ympäristö Viides luento

Kieliteknologian ATK-ympäristö Viides luento

Sisältö Tervetuloa Linuxin käyttäjäksi Olet tässä

linux linux: käyttäjän oikeudet + lisää ja - poistaa oikeuksia

EeNet käyttäjähallinta ohjeet

SALITE.fi -Verkon pääkäyttäjän ohje

Käyttöohje Planeetta Internet Oy

Labqualityn uusi IT-järjestelmä Sinulle!

Pythonin Kertaus. Cse-a1130. Tietotekniikka Sovelluksissa. Versio 0.01b

Salasanojen turvallinen tallentaminen KeePass ohjelmalla

NAVITA BUDJETTIJÄRJESTELMÄN ENSIASENNUS PALVELIMELLE

Automaattitilausten hallinta

Security. Ch 16 [Stal 05] Perinteinen, symmetrinen salaus. Käyttöjärjestelmät, Luento 21. Sama avain molemmilla! Syksy 2007, Tiina Niklander 21-1

Opas Logitech Harmony 525 asennusohjelmistoon

Maastotietokannan torrent-jakelun shapefile-tiedostojen purkaminen zip-arkistoista Windows-komentojonoilla

Web -myyntilaskutus Käyttöönotto v Toukokuu (17) Versio Web -myyntilaskutus Tikon Oy. All rights reserved.

Luento 4. Timo Savola. 21. huhtikuuta 2006

WordPress Multisiten varmuuskopiointi

JOHDANTO... 5 PÄÄKONFIGURAATIOTIEDOSTO KIELET KÄYNNISTÄMINEN JOHDANTO... 6

JOVISION IP-KAMERA Käyttöohje

Tietoturvan Perusteet Yksittäisen tietokoneen turva

Hallintaliittymän käyttöohje

3 Käyttöjärjestelmän asennus ja ylläpito

Salasanojen hallinta. Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION

Digikoulu Pilviteknologiat - Tunti 1001: Tiedon varastointi Amazon Simple Storage Service (Amazon S3) palveluun

Rakennusten elinkaarimittareiden verkkotyökalun käyttöohje.

Käytin tehtävän tekemiseen Xubuntu käyttöjärjestelmää aikaisemmin tekemältäni LiveUSB-tikulta.

ADMIN. Käyttöopas 08Q4

Ohjelmistoprojektin vaiheet ja OMT++ -suunnittelumenetelmä

LAITTEISTOKOKOONPANON SELVITTÄMINEN JA AJURIEN ASENTAMINEN

TUTUSTUMINEN LINUX-KÄYTTÖJÄRJESTELMÄÄN

Unix-perusteet. Varmistaminen, tiedon pakkaaminen ja tiivistäminen

Ohjeet e kirjan ostajalle

CLOUDBACKUP TSM varmistusohjelmiston asennus

Kieliteknologian ATK-ympäristö Kuudes luento

WINDOWSIN ASENTAMINEN

Automaattitilausten hallinta. Automaattitilauksien uudistettu käsittely

Selvitysraportti. MySQL serverin asennus Windows ympäristöön

Tiedostojen vienti yliopiston www-palvelimelle ja www-sivujen luonti

Tiedostojen siirto ja FTP - 1

Tikon Ostolaskujenkäsittely versio SP1

Subversion-ohje. Linux Traffic Control-käyttöliittymä Ryhmä paketti2

TIETOKANTOJEN PERUSTEET OSIO 14 MARKKU SUNI

Tietokone. Tietokone ja ylläpito. Tietokone. Tietokone. Tietokone. Tietokone

PROJEKTISIVUJEN PAÄ IVITTAÄ MISEN OHJEET

MY STANDARD -OHJE. mystandard.hansaworld.com. Standard ERP Pilvipalvelu Sivu 1/6

Bitnami WordPress - Asenna WordPress koneellesi. Jari Sarja

OpenOffice toimisto-ohjelma

Käsikirjan paperiversiota ei enää ylläpidetä ohjeen päivämäärän jälkeen. Viimeisimmät versiot ohjeista löydät ohjelman Help-ruudulta.

CVS. Kätevä väline usein päivitettävien tiedostojen, kuten lähdekoodin, hallitsemiseen

Tietokoneet ja verkot. Kilpailupäivä 2, torstai Kilpailijan numero. allekirjoitus. nimen selvennys. Sivu 1

- Jalkapalloa jokaiselle -

Office Video, pikaopas

IT-palvelujen ka yttö sa a nnö t

ProNetti -sähköpostijärjestelmä

UBUNTU. UBUNTU - Peruskäyttö. Työpöytä. GNU Free Documentation License. Sisäänkirjautuminen. Yläpaneelissa on kolme valikkoa. Paneelit ja valikot

Komentotulkki (SHELL) C- "perhe" - csh, alkup. C shell. Komentokieli. kieltä. - tcsh - edellisen laajennettu versio

Luento 2. Timo Savola. 31. maaliskuuta 2006

KiMeWebin käyttöohjeet

Ohjelmoinnin perusteet Y Python

Visma Econet -ohjelmat ActiveX on epävakaa -virheilmoituksen korjausohjeet

LINUX-HARJOITUS, MYSQL

Facebook-sivun luominen

Meeting Plannerin käyttöohje

Sisällysluettelo. SokoPro. SokoPro. Esittely...3 Luo uusi päivä...3 Työmaan tiedot...4 Valokuvat, liitteet ja kuittaukset...5 Raportti...

Yksittäisasennus eli perusasennus

Opas administraattori-tason käyttäjille. MANAGERIX -ohjelman esittely... 2 Kirjautuminen... 2

LoCCaM. LoCCaM Cam laitteiston ohjaaminen. Dimag Ky dimag.fi

OHJEET WORDPRESS-BLOGIN LUOMISEEN JA TAVALLISIMPIIN BLOGITOIMINTOIHIN

eduroamin käyttöohje Windows

Verkkolaskutuspalvelun käyttöohje toimittajille Senaatti-kiinteistöt

Aulikki Hyrskykari H9 Taustamateriaali (WWW-julkaiseminen) Tietojenkäsittelyopin laitos, Tampereen yliopisto

HSC-ohje laskuharjoituksen 1 tehtävälle 2

Osallistavan suunnittelun kyselytyökalu

1 Tivax siirto uuteen koneeseen

opiskelijan ohje - kirjautuminen

Ensimmäisessä vaiheessa ladataan KGU tietokanta Hallitse tietokantoja toiminnon avulla.

Transkriptio:

Unix-perusteet Tiedosto-oikeudet

Tietoturvaan liittyviä seikkoja kulunvalvonta kellä oikeus päästä laitteiden luokse käyttöoikeudet käyttäjätunnus & salasana tiedostojärjestelmän oikeudet unixissa omistajan, ryhmän ja muiden oikeudet viruksentorjunta etäyhteydet palomuurit varmuuskopiot palautussuunnitelma (toipumissuunnitelma) varmuuskopioista ym. ei ole mitään hyötyä, jos ei tiedetä, mitä tehdään jos sattuu jotain auditoinnit järjestelmän turvallisuuden testaaminen

Unixin perusturvaominaisuudet

Hakemistoinformaatio tiedoston tyyppi tiedoston oikeudet tiedoston omistaja ja ryhmä

rwxr-xr-- 1. 2. 3. Oikeuksien ryhmittely 1: Omistajan (user) oikeudet 2: Ryhmän (group) oikeudet 3: kaikkien muiden (others) oikeudet jokaisella tiedostolla on omistaja ja ryhmä

Oikeudet r read oikeuden omistaja saa lukea tiedostoa hakemisto: saa ls-komennolla katsoa sisällön, pitkä listaus vaatii lisäksi x:n w write oikeuden omistaja saa kirjoittaa tiedostoon hakemisto: saa kopioida tiedostoja hakemistoon, vaatii myös x:n x execute oikeuden omistaja saa suorittaa ohjelman hakemisto: saa tehdä operaatioita hakemistossa, etsiä tiedostoja, katsoa pitkän listan jne. - - oikeus puuttuu Hakemisto on erikoistapaus: jos haluaa antaa hakemistoon oikeuksia, pitää oikeasti antaa myös x-oikeudet.

chmod vaihtaa oikeuksia kaksi muotoa, symbolinen ja oktaalinen vain omistaja ja root voi tehdä symbolisesti: chmod kelle + - = mitä kelle = käyttäjät, eli u = user, g = group, o = others, a = kaikki ryhmät, joka on oletusarvo + antaa lisää oikeuksia, - ottaa pois, = asettaa täsmälleen nämä mitä = oikeudet, eli r read, w write ja x execute

chmod, esimerkejä esimerkkejä symbolisesta oikeuksien vaihdosta chmod u+x foo omistajalle suoritusoikeus tiedostoon foo chmod =rw bar (taikka: chmod a=rw bar) kaikki käyttäjäryhmät saavat oikeudet rw tiedostoon bar chmod u+x,og-rw foobar omistajalle x lisää, muilta ryhmiltä rw pois HUOM! ei välilyöntejä ensimmäiseen osaan (u+x,og-rw)

chmod numeerisesti (oktaalisesti) kuvitellaan oikeudet numeroina: 1 = oikeus annetaan, 0 = ei anneta rwxr-xr-- 111101100 = 754 ==> chmod 754 foo antaa yllä olevat oikeudet tiedostolle foo voidaan esittää myös näin: chmod 0754 foo näin varataan erikoisoikeuksille yksi numero

Unixin oikeustasojen ongelmia Ongelma 1: käyttäjä haluaa antaa vain tietylle käyttäjälle oikeudet muokata tiettyä tiedostoa "perinteinen" ratkaisu: luodaan ryhmä ja siihen käyttäjä, vaatii root:n oikeudet nykyratkaisu: ACL (Access Control List) määritetään käyttäjä, jolle oikeuksia annetaan ei tarvitse vaivata pääkäyttäjää Ongelma 2: kuinka estää eräidenkäyttäjien pääsy koko järjestelmään? esim. silloin, kun vaikkapa www-palvelimen reiän takia demonikäyttäjä pääsee ohjelmasta "ulos" ratkaisu: SELinux (Security Enhanced Linux) määrittelee, mitä ko. käyttäjätunnus saa tehdä ja missä. Näin esim. koko maailman lukuoikeus tiedostossa /etc/passwd ei koskekaan tätä käyttäjää

erikoisoikeudet SUID katsotaan oikeudet tiedoston omistajan mukaan ls -l /usr/bin/passwd -r-s--x--x 1 root root 13536 Jul 12 2000 /usr/bin/passwd nyt käyttäjän on mahdollista vaihtaa salasanansa, vaikkei hänellä ole kirjoitusoikeuksia /etc/passwd- ja /etc/shadow-tiedostoihin SGID oikeudet katsotaan tiedoston ryhmän mukaan Sticky bit hakemisto: käyttäjällä on oikeus poistaa omia tiedostojaan drwxrwxrwt 7 root root 1024 Nov 6 04:02 tmp tiedosto: jää muistiin, vaikka suoristus päättyy. Linuxissa mukana vain yhteensopivuussyistä

oletusoikeudet jostakin tiedostolle on oikeudet annettava, jos mitään ei erikseen mainita näitä varten on olemassa oletusoikeudet umask komento, joka kertoo oletusoikeudet umask 077 vaihtaa oletusoikeudet. Oikeudet annetaan siis numeerisesti

kuinka oletusoikeudet vaihdetaan? ajattelumalli 1: suodatin, jossa merkitään 1:llä sellaiset oikeudet, joita ei anneta ajattelumalli 2: perusoikeudet hakemistolla 777, tiedostolla 666 (suoritusoikeutta ei oletuksena anneta), vähennetään näistä halutut. Lopputuloksena umask:n tarvitsemat oikeudet. tapaus 1: tiedosto halutaan oikeudet rw-r-----, eli 640 umask saadaan siis: 666 640 = 026. Komento on siis umask 026 huomaa: hakemisto saa tällä oikeudet rwxr-x--x. Jos viimeinen x on liikaa, niin ota se huomioon ja komento on tällöin umask 027 usein on siis turvallisempaa ajatella asiaa hakemistojen kautta

Tiedostojen omistaja ja ryhmä Jokaisen tiedoston omistaa joku normaalisti tiedoston/hakemiston luojasta tulee sen omistaja kopioitaessa tiedosto oman hakemiston alle, hakemiston omistajasta tulee kopion omistaja tiedoston omistaja kuuluu johonkin ryhmään yo. tapauksissa tiedoston ryhmäksi tulee omistajan ryhmä ryhmiä on erilaisia ensisijainen ryhmä määritelty /etc/passwd:ssä tiedoston ryhmä määräytyy ensisijaisesti tämän mukaan toissijainen ryhmä /etc/group käyttäjä voi kuulua max. 8-16 toissijaiseen ryhmään (riippuu Unix-versiosta, moneenko, Linuxissa 16)

chown + chgrp Ensimmäinen vaihtaa omistajaa, jälkimmäinen ryhmää chown uusi_omistaja tiedosto(t) chgrp uusi_ryhma tiedosto(t) Linux: vain root saa vaihtaa omistaja ryhmän voi vaihtaa niiden ryhmien välillä, mihin kuuluu Solaris: omistaja ja root voivat vaihtaa omistajaa tosin tämänkin voi määrityksissä estää, jos haluaa tämä on tosi asiassa jonkintasoinen tietoturvareikä jos omistaja kuuluu useampaan ryhmään voi vaihtaa tiedoston ryhmää näiden välillä

käyttäjien tunnistamiseen komentoja who kertoo keitä on järjestelmässä kertoo käyttäjän todellisen identiteetin (RUID, Real User Identity) su [-] username vaihda käyttäjätunnusta pitää luonnollisesti tietää salasana - lataa myös uuden käyttäjän ympäristön ei käyttäjänimeä: yrittää vaihtaa super useriksi id kertoo efektiivisen käyttäjän id:n (EUID, Effective User Id) siis sen, joksi on itsensä vaihtanut finger username antaa joukon tietoja käyttäjästä, ilman usernamea järjestelmässä olijat ennen vanhaan tällä saattoi fingeroida käyttäjiä muistakin järjestelmistä, ei yleensä nykyisin (tietoturvareikä!)

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute