8
Inicio Proyectos Ayuda Búsqueda : Linux Vistazo Actividad Wiki Wiki Página principal Índice por título Índice por fecha Linux » Entorno y herramientas Linux » Gestión avanzada de permisos Gestión de Permisos Avanzada Permisos por defectoCuando se crea un archivo o directorio de un usuario en Linux se le asignan unos permisos por defecto. Existe un comando para visualizar y controlar esta asignación de permisos, El comando umask. Su sintaxis es: umask [-S] [máscara] El -S indica que la salida del comando será simbólica La máscara indica aquellos permisos que se restarán del total. Es decir, es una representación complementaria a la asignación umask sin parámetros muestra la máscara de permisos del usuario Ejemplos: umask Muestra la máscara de permisos por defecto del usuario en formato complementario octal umask -S Muestra la máscara de permisos por defecto en notación simbólica umask 022 Cambia la máscara de permisos por defecto para establecerla a 755 (777 - 022), esto es, rwx para propietario, rx para grupo, rx para otros Además de los bits de permisos clásicos (rwx) existen otros 3 "especiales" que se utilizan para otros fines. Veámoslos:

Modificacion de Las ACL

Embed Size (px)

DESCRIPTION

Guia para modificar Listas de Control de Acceso.

Citation preview

Inicio Proyectos AyudaPrincipio del formularioBsqueda:Final del formularioLinux Vistazo Actividad WikiWikiPgina principalndice por ttulondice por fechaLinuxEntorno y herramientas LinuxGestin avanzada de permisosGestin de Permisos AvanzadaPermisos por defectoCuando se crea un archivo o directorio de un usuario en Linux se le asignan unos permisos por defecto. Existe un comando para visualizar y controlar esta asignacin de permisos, El comandoumask. Su sintaxis es:umask [-S] [mscara]El -S indica que la salida del comando ser simblicaLa mscaraindica aquellos permisos que se restarn del total.Es decir, es una representacin complementaria a la asignacinumask sin parmetros muestra la mscara de permisos del usuarioEjemplos:umaskMuestra la mscara de permisos por defecto del usuario en formato complementario octalumask -SMuestra la mscara de permisos por defecto en notacin simblicaumask 022Cambia la mscara de permisos por defecto para establecerla a 755 (777 - 022), esto es, rwx para propietario, rx para grupo, rx para otrosAdems de los bits de permisos clsicos (rwx) existen otros 3 "especiales" que se utilizan para otros fines. Vemoslos:Sticky bitEs un permiso que solo afecta a directorio y protege de borrados los contenidos del mismo cuando ete es compartido. Es decir, cuando hay permisos de escritura (w) para todos los usuarios que lo comparten pero queremosevitar que alguno de los usuarios no propietarios del directorio puedan borrar su contenido. En los listados, con el comando ls, por ejemplo haciendo un ls -ld , se puede ver al final de la mscara de permisos como una "t". Un ejemplo clsico del uso de este bit es en el directorio /tmp, que suele estar compartido pero con sticky bit activado.Setuid bitste es un permiso especial que se aplica a archivos ejecutables. Cuando se ejecuta un programa, archivo ejecutable, se utiliza la identidad del usuario que lo invoca. Por ejemplo el usuario pepe tiene permiso para ejecutar el comando passwd, como podemos ver si hacemos un ls en el directorio /usr/bin dnde se ubica:-rwsr-xr-x 1 root root 42824 sep 13 00:29 passwdvemos que el permiso "x" est activado para todos. Sin embargo en el lugar en el que debiera aparecer la "x" del propietario aparece una "s", indicando que el bit setuid est activado. El significado de sto es que cuando se ejecute el archivo se har en nombre y con los permisos de su propietario, en este caso root. Por lo tanto, aunque pepe invoque a passwd ste se ejecutar con usuario root. Y porqu se hace esto as?. Pues porque hay ciertos programas que, independientemente de quin los invoce, necesitan permisos especficos. En el caso de passwd recordad que se utilizaba para cambiar la contrasea de los usuarios del Sistema. Esto requera escribir en el archivo de contraseas /etc/shadow y, como sabemos, a ese archivo solo tiene acceso root en modo escritura. Por este motivo necesitamos que el bit setuid est activado en passwd.NOTA: Por cuestiones de seguridad algunas distribuciones de Linux desactivan el comportamientosetuiden scripts de shell. Se conocen varios tipos de ataques de infiltracin de cdigo malicioso utilizando este mecanismo en scripts de shell. Por este motivo el comportamient setuid est deshabilitado en scripts. En el siguiente comentario, extrado de un foro (http://unix.stackexchange.com/questions/364/allow-setuid-on-shell-scripts) se menciona este comportamiento:Setuid shebang

There is a race condition inherent to the way shebang (#!) is typically implemented:

The kernel opens the executable, and finds that it starts with #!. The kernel closes the executable and opens the interpreter instead. The kernel inserts the path to the script to the argument list (as argv[1]), and executes the interpreter.

If setuid scripts are allowed with this implementation, an attacker can invoke an arbitrary script by creating a symboliclink to an existing setuid script, executing it, and arranging to change the link after the kernel has performed step 1and before the interpreter gets around to opening its first argument. For this reason, most unices ignore the setuid bitwhen they detect a shebang.Setguid bitste es un permiso anlogo al anterior con la diferencia de que, en este caso, el programa se ejecuta con los permisos del grupo del propietario del archivo. En caso de que setguid est activado veremos una s en lugar de una x en la mscara de permisos del segundo grupo de letras rwx (que afectan al grupo del propietario)Se pueden activar todos, uno, o ninguno de estos bits setuid y setguid.Establecimiento de los bits de Permisos EspecialesSe puede hacer de 2 formas: Mediante un cuarto dgito hexadecimal en la mscara de permisos con valores:1000: Para sticky2000: Para setuid4000: Para seguidNo tiene sentido especificar ms de un bit especial por los siguientes motivos: Sticky bit solo aplica a directorios Setuid bit y Seguid bit se aplican a archivos ejecutables, pero no tiene sentido definir ambos bits, pues sera especificar dos identidades de ejecucin diferentes. Por tanto o bien, se ejecuta como propietario, o como miembro del grupo propietarioEjemplo: chmod 1766 /home/usuario/compartidoAadira el bit sticky al directorio /home/usuario/compartido que a su vez tiene mscara de permisos 766 para u(sers)g(roup)o(thers) En la forma relativa de especificar permisos (mediante letras):t: Indica stickys: Indica setuid o setguid en funcin de dnde se ponga la sEjemplo: chmod u+s /home/usuario/miscriptSi hacemos unls -la /home/usuario/miscript, veramos en la mscara de permisos, con umask 022, lo siguiente:rwsr-xr-xEjemplo: chmod g+s /home/usuario/miscriptSi hacemos unls -la /home/usuario/miscript, veramos en la mscara de permisos, con umask 022, lo siguiente:rwxr-sr-xAadiran por tanto los bits setuid y seguid el archivo ejecutable /home/usuario/miscript. Notad que no tiene sentido especificar simultneamente mbos.Atributos. Comandos chattr y lsattrlsattrComando que permite listar los atributos de archivos y directorios establecidos mediante el comadnochattr. Ejemplo:lsattr dirMuestra los atributos del directorio dirchattrEste comando permite cambiar los atributos de archivos y directorios de un sistema de archivos ext2/ext3. Solo root puede invocar a este comandoLa sintaxis es:chattr [opciones] [modo] ficherosLas opciones son:-R Recursivamente. -V Muestra una salida detalladaLos modos, similares en su uso a chmod:+ se usa para aadir atributos - se usa para quitar atributos= se usa para especificar los atributosAlgunos de esos atributos son: Aevita que se modifique el campo atime al acceder a un fichero. aslo permite abrir el fichero para aadir datos. cel fichero se guarda automticamente comprimido por el kernel. Dcuando un directorio es modificado, los cambios son escritos sncronamente. dexcluye al fichero para ser respaldado por dump. iimpide modificar, eliminar, renombrar el fichero y tambin enlazarlo, es decir lo hace de solo lectura. sal borrar un fichero con este atributo,sus bloques son rellenados con ceros. Scuando un fichero es modificado,los cambios son escritos sncronamente. ucuando un fichero es eliminado,su contenido es guardado.Ejemplo:chattr -R +c /home/user/docDe modo recursivo establece el atributo c (guardar comprimido) del archivo correspondientechattr +i test.txtHace de solo lectura el archivo test.txtACL (Access Control List)Los sistemas de archivos Linux ms modernos, como ext2, ext3 y ext4, permiten la definicin deACL, listas de control de acceso, para regular los permisos de acceso a directorios y archivos. Con la definicin de ACL pueden ampliarse las posibilidades de definicin de permisos del sistema estndarrwx ugoy ampliarla a grupos y usuarios fuera de los roles habituales deu (user) g (group) y o (others).Para poder habilitar las ACL es preciso instalar el paquete correspondientesudo apt-get install aclEl sistema de archivos al que se van a aplicar las ACL tiene que ser montado con la opcin correspondiente en /etc/fstab, en autofs, o bien mediante un comando de montaje manual. A continuacin se ve una entrada en /etc/fstab a modo de ejemplo:UUID=07aebd28-24e3-cf19-e37d-1af9a23a45d4 /home ext4 defaults,acl 0 2Listar ACL de un directorioUsamos el comandogetfaclgetfacl /comun/ciclos/SMR1/MME1314Mostrara una salida como la siguiente:# file: .# owner: javier# group: profesuser::rwxgroup::r-xgroup:profes:rwxgroup:smr1:r-xmask::rwxother::r-xdefault:user::rwxdefault:group::r-xdefault:group:profes:rwxdefault:mask::rwxdefault:other::r-xEn esta lista puede verse elpropietariodel directorio, elgrupo propietarioy losotros, los permisos correspondientes a ambos, y tambin los correspondientes a otros grupos de usuarios que se han aadido a la ACL. En este caso, el grupo profes tiene permisos rwx y el grupo smr1 permisos r-x. El parmetro mask indican los permisos ms restrictivos aplicados, es decir, independientemente de lo establecido en la ACL, el valor de mask marcar el mximo permiso utilizable. Las entradas default se aplican nicamente a directorios y afectan a los archivos contenidos dentro del directorio.La segunda parte de la definicin de la ACL indica los permisos por defecto de la ACL.NOTA: Para comprobar que en un directorio estn activadas lasACLveremos en la salida de unls -lael signo *+* al final de la lnea de los permisosGestionar ACLsDel mismo modo que, para obtener los ACL de un directorio, utilizamosgetfacl, para establecer las ACL utilizaremos el comandosetfacl. Con el comandochfaclse modificarn las ACLs ya aplicadas. Veamos como aadir grupos a la ACLsudo setfacl -m g:green:rwx /var/www/sudo setfacl -m g:blue:rwx /var/wwwEstamos aadiendo los gruposgreen y blue a la ACL el directorio /var/www, a estos se le aplicarn los permisos definidos en la propia lnea de definicin de la ACL. La opcin -R aplicar la ACL recursivamente dentro del directorio.En el siguiente ejemplo vemos como eliminar un grupo de la ACL:setfacl -x g:green /var/wwwTambin es posible transferir ACLs de un directorio a otro, o a travs de un archivo de texto. Veamos algn ejemplo:echo "g:green:rwx" > aclsetfacl -M acl /home/midirEscribe la ACL en el archivo acl y luego lo vuelca mediante el comando setacl en el directorio correspondientegetfacl dir1 | setfacl -b -n -M - dir2Recupera ACLs del directorio dir1 y las establece para el directorio dir2getfacl -a dir1 | setfacl -d -M- dir2Copia las ACL de dir1 en la ACL por defecto de dir2ActividadesResolved los siguientes supuestos: Crear un directorio /temporal en el sistema en el que todos los usuarios tengan permisos de escritura pero que unos no puedan borrar los archivos de otrosReferenciasACL en Linuxhttps://help.ubuntu.com/community/FilePermissionsACLs


Presentacion acl

Presentacion acl

Documents
Modificacion Reg.sunarp

Modificacion Reg.sunarp

Documents
ACL Steganography

ACL Steganography

Documents
Modificacion representante

Modificacion representante

Documents
Presentazione Acl

Presentazione Acl

Lifestyle
ACL 5è

ACL 5è

Documents
Laporan ACL

Laporan ACL

Documents
ACL Presentacion

ACL Presentacion

Documents
ACL Software

ACL Software

Documents
ACL Protocol

ACL Protocol

Documents
Modificacion Del Proyecto Las Bambas

Modificacion Del Proyecto Las Bambas

Documents
Como Funcionan Las ACL en Cisco_ I_ Conceptos

Como Funcionan Las ACL en Cisco_ I_ Conceptos

Documents
TALLER DE BATERÍAS DE TRACCIÓN - acl-logistica.comacl-logistica.com/wp-content/uploads/2013/08/ACL-Baterías... · ACL LOGISTICA info@acl-logistica.com TALLER DE BATERÍAS DE TRACCIÓN

TALLER DE BATERÍAS DE TRACCIÓN - acl-logistica.comacl-logistica.com/wp-content/uploads/2013/08/ACL-Baterías... · ACL LOGISTICA [email protected] TALLER DE BATERÍAS DE TRACCIÓN

Documents
modificacion cronograma

modificacion cronograma

Documents
MODIFICACION RISARALDA

MODIFICACION RISARALDA

Documents
CEDERA ACL

CEDERA ACL

Documents
MODIFICACION PUNTUAL DE LAS NORMAS SUBSIDIARIAS MUNICIPALES DE … · 2013-12-17 · MODIFICACION PUNTUAL DE LAS NORMAS SUBSIDIARIAS MUNICIPALES DE MUNGIA PARA LA ... LISTA DE PLANOS

MODIFICACION PUNTUAL DE LAS NORMAS SUBSIDIARIAS MUNICIPALES DE … · 2013-12-17 · MODIFICACION PUNTUAL DE LAS NORMAS SUBSIDIARIAS MUNICIPALES DE MUNGIA PARA LA ... LISTA DE PLANOS

Documents
MODIFICACION PUNTUAL Nº 6 DE LAS NORMAS SUBSIDIARIAS … · modificacion puntual nº 6 de las normas subsidiarias para la ampliacion del cementerio. almoines. valencia e.b. arquitectura

MODIFICACION PUNTUAL Nº 6 DE LAS NORMAS SUBSIDIARIAS … · modificacion puntual nº 6 de las normas subsidiarias para la ampliacion del cementerio. almoines. valencia e.b. arquitectura

Documents
senasa - modificacion

senasa - modificacion

Documents
Histograma modificacion

Histograma modificacion

Documents
ACL Rupture

ACL Rupture

Documents
ACL Flyers

ACL Flyers

Documents
Cómo funcionan las acl en cisco

Cómo funcionan las acl en cisco

Documents
ACL newsletter 76 - acl-online.de newsletter/ACL_news_76.pdf · ACL NEWSLETTER // Ringversuche bei der ACL GmbH Nº 76 Juni 2019 Rückblick und Ausblick Die Vielschichtigkeit der

ACL newsletter 76 - acl-online.de newsletter/ACL_news_76.pdf · ACL NEWSLETTER // Ringversuche bei der ACL GmbH Nº 76 Juni 2019 Rückblick und Ausblick Die Vielschichtigkeit der

Documents
Modificacion presupuestaria

Modificacion presupuestaria

Economy & Finance
Modificacion Impuesto a las Ganancias

Modificacion Impuesto a las Ganancias

Documents
Reglas acl

Reglas acl

Documents
Escultura modificacion

Escultura modificacion

Education
Informe ACL

Informe ACL

Documents
MODIFICACION RAZONABLE

MODIFICACION RAZONABLE

Documents