Maken dat een bestand niet te wijzigen is, niet te hernoemen is of niet weg te gooien is in linux !
bestand .encfs6.xml
hoe : sudo chattr +i /data/Encrypt/.encfs6.xml
je kunt het bestand niet wijzigen, je kunt het bestand niet hernoemen, je kunt het bestand niet deleten zelfs als je root zijt
- zet attribuut
- sudo chattr +i /data/Encrypt/.encfs6.xml
- status bekijken
- lsattr .encfs6.xml
- ----i--------e-- .encfs6.xml
- de i betekent immutable
- ----i--------e-- .encfs6.xml
- lsattr .encfs6.xml
- om immutable attribuut weg te doen
- chattr -i .encfs6.xml
acl Access control list
setfacl
- zet een acl
- setfacl -m u:ulefr01:rwx /home/ulefr01
- zet een acl af
- setfacl -x u:ulefr01 /home/ulefr01
- zet een acl aan voor twee gebruikers
- setfacl -m u:ulefr01:rwx /home/ulefr01
- set facl -m u:myriam:r-x /home/ulefr01
- hier heeft myriam geen write toegang !
- to list
- getfacl /home/ulefr01
- getfacl: Voorafgaande '/' in absolute padnamen worden verwijderd
- # file: home/ulefr01
- # owner: ulefr01
- # group: ulefr01
- user::rwx
- user:ulefr01:rwx
- user:myriam:r-x
- group::---
- mask::rwx
- other::---
- getfacl /home/ulefr01
- wanneer staat acl aan in een directory ?
- ls -dl /home/uler01
- drwxrwx---+ 109 ulefr01 ulefr01 4096 mrt 26 19:44 /home/ulefr01/
- + teken toont aan dat acl aan staat !
- ls -dl /home/myriam
- drwxr-x--- 25 myriam myriam 4096 nov 4 21:48 /home/myriam/
- hier geen + teken dwz dat acl niet aan staat !
make rwx rights for external disks en usb-sticks
- sudo chown ulefr01:ulefr01 /media/ulefr01 -R
- zet de acl
- sudo setfacl -m u:ulefr01:rwx /media/ulefr01
- ls /media/ulefr01 -dla
- drwxrwx---+ 5 ulefr01 ulefr01 4096 okt 1 18:40 /media/ulefr01/
- zie + sign !
- ls /media/ulefr01 -dla
- sudo setfacl -m u:ulefr01:rwx /media/ulefr01
- mount external disks
- sudo chown ulefr01:ulefr01 /media/ulefr01/stick32GB
- cd /media/ulefr01/stick32GB
- voor root files
- chgrp ulefr01 * -R
- check of je nieuwe bestanden kunt aanmaken zonder root te zijn
- touch test
- ls test -la
- rm test
- voor root files
sticky bit
normaal :d r w x r w x r w x +
!___ acf is gezet
!_____ uitvoeren
! ______________________: betekent directory (niet voor bestanden)
in plaats van een 'x' staat er een 't' of 'T' in de rechten notatie :
setuid, soms SUID genoemd, Set User ID
werkt niet voor de gewone user; je moet root rechten hebben !!!!
setuid
voorbeeld 1 = het passwd commando = /usr/bin/passwd
Dit commando is eigendom van root en dient om systeemconfiguratie bestanden aan te passen zoals de /etc/passwd en /etc/shadow files.Om deze bestanden aan te passen moet je root zijn !
Mer de setuid krijg je de toelating van de eigenaar om gebruikers toe te laten een programma uit te voeren met root rechten
ls /usr/bin/passwd -la
-rwsr-xr-x 1 root root 54256 mei 17 2017 /usr/bin/passwd*
Je krijgt de toelating om de bestanden /etc/passwd en /etc/shaow aan te passen
ls /etc/passwd -la
-rw-r--r-- 1 root root 2438 nov 20 14:04 /etc/passwd
ls /etc/shadow -la
-rw-r----- 1 root shadow 1526 nov 21 11:42 /etc/shadow
voorbeeld 2 = het ping commando = /bin/ping
ping command, when we have to execute this command internally it should open socket files and open ports in order to send IP packets andreceive IP packets to remote server. Normal users don’t have permissions to open socket files and open ports. So SUID bit is set on this
file/command so that whoever executes this will get owner (Root user’s) permissions to them when executing this command.
So when this command start executing it will inherit root user permissions to this normal user and opens require socket files and ports.
ls /bin/ping -la
-rwsr-xr-x 1 root root 44168 mei 7 2014 /bin/ping*
voorbeeld 3 = het sudo commando = /usr/bin/sudo
het sudo commando heeft je root rechten om iets uit te voerenandere voorbeelden zijn /bin/mount , /bin/umount, /bin/su , /bin/fusermount
Hoe zet je een setuid aan ?
SUID kan op 2 manieren aangezet worden- symbolische manier
- sudo chmod u+s naam_script
- numerische manier (octal way)
- sudo chmod 4750 naam_script ( 7 = rwx (user) , 5 = r-x (group) 0=--- (other) ) of een ander nummer dan 750
Hoe zet je een setuid af ?
SUID kan op 2 manieren afgezet worden- symbolische manier
- sudo chmod u-s aam_script
- numerische manier (octal way)
- sudo chmod 0750 naam_script ( 7 = rwx (user) , 5 = r-x (group) 0=--- (other) ) of een ander nummer dan 750
setgid, soms SGID genoemd, Set Group Id
Gecreeerde bestanden in een map krijgen dezelfde groep rechten of wanneer een map gebruikt wordt diezelfde groep gezetals lid van de groep krijg je de toelating om een bestand uit te voeren met root rechten ....
voorbeeld 1 = /usr/bin/mlocate
ls /usr/bin/mlocate -ls-rwxr-s--- 1 root mlocate 39520 nov 18 2014 /usr/bin/mlocate*
voorbeeld 2 = /usr/bin/crontab
ls /usr/bin/crontab-rwxr-s--- 1 root crontab 36080 apr 5 2016 /usr/bin/crontab*
je krijgt toelatilg om het bestand /etc/crontab aan te passen
-rw-r--r-- 1 root root 722 apr 5 2016 /etc/crontab
Hoe zet je een setgid aan ?
SGID kan op 2 manieren gebeuren aangezet worden- symbolische manier
- sudo chmod g+s naam_script
- numerische manier (octal way)
- sudo chmod 2750 naam_script ( 7 = rwx (user) , 5 = r-x (group) 0=--- (other) ) of een ander nummer dan 750
Hoe zet je een setgid af ?
SGID kan op 2 manieren gebeuren afgezet worden- symbolische manier
- sudo chmod g-s naam_script
- numerische manier (octal way)
- sudo chmod 0750 naam_script ( 7 = rwx (user) , 5 = r-x (group) 0=--- (other) ) of een ander nummer dan 750
Sticky Bit
wordt gebruikt om een delete van een map te vermijden maar toe te laten hun eigen bestanden in die map te deletenbestanden wdie niet van uw zijn kan niet gedelete worden
Enkel de eigenaar van de map kan de map deleten
voorbeeld = map /tmp
drwxrwxrwt 16 root root 380 nov 22 20:55 /tmp/Hoe zet je een sticky bit aan ?
sticky bit kan op 2 manieren gebeuren aangezet worden- symbolische manier
- sudo chmod o+t naam_script
- numerische manier (octal way)
- sudo chmod 1750 naam_script ( 7 = rwx (user) , 5 = r-x (group) 0=--- (other) ) of een ander nummer dan 750
Hoe zet je een sticky bit af ?
sticky bit kan op 2 manieren gebeuren afgezet worden- symbolische manier
- sudo chmod o-t naam_script
- numerische manier (octal way)
- sudo chmod 0750 naam_script ( 7 = rwx (user) , 5 = r-x (group) 0=--- (other) ) of een ander nummer dan 750
Geen opmerkingen:
Een reactie posten