Speciale rechten op een linux bestandensysteem

Maken dat een bestand niet te wijzigen is, niet te hernoemen is of  niet weg te gooien is in linux !


bestand .encfs6.xml


hoe : sudo chattr +i /data/Encrypt/.encfs6.xml
je kunt het bestand niet wijzigen, je kunt het bestand niet hernoemen, je kunt het bestand niet deleten zelfs als je root zijt

  • zet attribuut
  • status bekijken
    • lsattr .encfs6.xml
      • ----i--------e-- .encfs6.xml
        • de i betekent immutable
  • om immutable attribuut weg te doen
    • chattr -i .encfs6.xml



acl Access control list


setfacl


  • zet een acl
  • zet een acl af
    • setfacl -x u:ulefr01 /home/ulefr01
  • zet een acl aan voor twee gebruikers
  • to list
    • getfacl /home/ulefr01
      • getfacl: Voorafgaande '/' in absolute padnamen worden verwijderd
      • # file: home/ulefr01
      • # owner: ulefr01
      • # group: ulefr01
      • user::rwx
      • user:ulefr01:rwx
      • user:myriam:r-x
      • group::---
      • mask::rwx
      • other::---
  • wanneer staat acl aan in een directory ?
    • ls -dl /home/uler01
      • drwxrwx---+ 109 ulefr01 ulefr01 4096 mrt 26 19:44 /home/ulefr01/
        • + teken toont aan dat acl aan staat !
    • ls -dl /home/myriam
      • drwxr-x---   25 myriam myriam 4096 nov  4 21:48 /home/myriam/
        • hier geen + teken dwz dat acl niet aan staat !

make rwx rights for external disks en usb-sticks






sticky bit

normaal :
 d r w x r w x r w x +
                                 !___ acf is gezet
                              !_____ uitvoeren


   ! ______________________: betekent directory (niet voor bestanden)

        in plaats van een 'x' staat er een 't' of 'T' in de rechten notatie  :
  •  tmp
    • ls /tmp -dl
      • drwxrwxrwt 12 root root 16384 nov 5 21:24 /tmp

setuid, soms SUID genoemd, Set User ID



werkt niet voor de gewone user; je moet root rechten hebben !!!!

setuid



voorbeeld 1 = het passwd commando = /usr/bin/passwd

Dit commando is eigendom van root en dient om systeemconfiguratie bestanden aan te passen zoals de /etc/passwd en /etc/shadow files.
Om deze bestanden aan te passen moet je root zijn !
Mer de setuid krijg je de toelating van de eigenaar om gebruikers toe te laten een programma uit te voeren met root rechten
ls /usr/bin/passwd -la
-rwsr-xr-x 1 root root 54256 mei 17 2017 /usr/bin/passwd*
Je krijgt de toelating om de bestanden /etc/passwd en /etc/shaow aan te passen
ls /etc/passwd -la
-rw-r--r-- 1 root root 2438 nov 20 14:04 /etc/passwd
ls /etc/shadow -la
-rw-r----- 1 root shadow 1526 nov 21 11:42 /etc/shadow

voorbeeld 2 = het ping commando = /bin/ping

ping command, when we have to execute this command internally it should open socket files and open ports in order to send IP packets and
receive IP packets to remote server. Normal users don’t have permissions to open socket files and open ports. So SUID bit is set on this
file/command so that whoever executes this will get owner (Root user’s) permissions to them when executing this command.
So when this command start executing it will inherit root user permissions to this normal user and opens require socket files and ports.
ls /bin/ping -la
-rwsr-xr-x 1 root root 44168 mei 7 2014 /bin/ping*

voorbeeld 3 = het sudo commando = /usr/bin/sudo

het sudo commando heeft je root rechten om iets uit te voeren

andere voorbeelden zijn /bin/mount , /bin/umount, /bin/su , /bin/fusermount




Hoe zet je een setuid aan ?

SUID kan op 2 manieren aangezet worden
  • symbolische manier
    • sudo chmod u+s naam_script
  • numerische manier (octal way)
    • sudo chmod 4750 naam_script ( 7 = rwx (user) , 5 = r-x (group) 0=--- (other) ) of een ander nummer dan 750

Hoe zet je een setuid af ?

SUID kan op 2 manieren afgezet worden
  • symbolische manier
    • sudo chmod u-s aam_script
  • numerische manier (octal way)
    • sudo chmod 0750 naam_script ( 7 = rwx (user) , 5 = r-x (group) 0=--- (other) ) of een ander nummer dan 750



setgid, soms SGID genoemd, Set Group Id

Gecreeerde bestanden in een map krijgen dezelfde groep rechten of wanneer een map gebruikt wordt diezelfde groep gezet
als lid van de groep krijg je de toelating om een bestand uit te voeren met root rechten ....

voorbeeld 1 = /usr/bin/mlocate

ls /usr/bin/mlocate -ls
-rwxr-s--- 1 root mlocate 39520 nov 18 2014 /usr/bin/mlocate*


voorbeeld 2 = /usr/bin/crontab

ls /usr/bin/crontab
-rwxr-s--- 1 root crontab 36080 apr 5 2016 /usr/bin/crontab*
je krijgt toelatilg om het bestand /etc/crontab aan te passen
-rw-r--r-- 1 root root 722 apr 5 2016 /etc/crontab

Hoe zet je een setgid aan ?

SGID kan op 2 manieren gebeuren aangezet worden
  • symbolische manier
    • sudo chmod g+s naam_script
  • numerische manier (octal way)
    • sudo chmod 2750 naam_script ( 7 = rwx (user) , 5 = r-x (group) 0=--- (other) ) of een ander nummer dan 750

Hoe zet je een setgid af ?

SGID kan op 2 manieren gebeuren afgezet worden
  • symbolische manier
    • sudo chmod g-s naam_script
  • numerische manier (octal way)
    • sudo chmod 0750 naam_script ( 7 = rwx (user) , 5 = r-x (group) 0=--- (other) ) of een ander nummer dan 750




Sticky Bit

wordt gebruikt om een delete van een map te vermijden maar toe te laten hun eigen bestanden in die map te deleten
bestanden wdie niet van uw zijn kan niet gedelete worden
Enkel de eigenaar van de map kan de map deleten

voorbeeld = map /tmp

drwxrwxrwt 16 root root 380 nov 22 20:55 /tmp/

Hoe zet je een sticky bit aan ?

sticky bit kan op 2 manieren gebeuren aangezet worden
  • symbolische manier
    • sudo chmod o+t naam_script
  • numerische manier (octal way)
    • sudo chmod 1750 naam_script ( 7 = rwx (user) , 5 = r-x (group) 0=--- (other) ) of een ander nummer dan 750

Hoe zet je een sticky bit af ?

sticky bit kan op 2 manieren gebeuren afgezet worden



  • symbolische manier
    • sudo chmod o-t naam_script
  • numerische manier (octal way)
    • sudo chmod 0750 naam_script ( 7 = rwx (user) , 5 = r-x (group) 0=--- (other) ) of een ander nummer dan 750


Geen opmerkingen:

Een reactie posten

Abonneren op: Posts (Atom)