Administracion de sistemas. Permisos

Clases de usuarios.

Usuario: El propietario
Grupo: El grupo de usuarios
Otros: Los usuarios que no son el propietario o que no pertenecen al grupo

Solo root o el propietario pueden modificar los permisos.

Permisos de archivos

r Abrir y leer el contenido del archivo
w Escribir, añadir o eliminar el archivo
x Ejecutar el archivo con alguna de las llamadas del sistema exec(2)
– No se puede realizar ninguna de las operaciones anteriores

Permisos de directorio

r Listar archivos en el directorio
w Añadir o eliminar archivos o enlaces del directorio
x Abrir o ejecutar archivos del directorio. Esto se aplica a todos los directorio contenidos en el directorio actual

Puedes proteger los archivos en un directorio (y los subdirectorios) denegando el acceso al directorio usando una configuración restrictiva de permisos. Pero un superusuario siempre podrá acceder a todos los archivos y directorios

Permisos especiales

setuid

Cuando este permiso existen en un archivo ejecutable, un proceso que ejecuta este archivo lo hace como si fuera el propietario del archivo (cambio del UID del proceso) (como ocurre con el archivo /bin/su). Esto permite acceder a archivos que normalmente solo estan disponibles para el propietario.

chmod u-s /path/archivo

Modificar este permiso genera un claro riesgo de seguridad por escalada de permisos.

setgid

Este permiso es similar a setuid, excepto que el proceso es ejecutado como lo haría si fuera el grupo (cambio del GID del proceso) y el usuario consigue acceso a los permisos del grupo.

chmod g-s /path/archivo

Cuando setgid se aplica a un directorio, los archivos creados en el directorio pertenecen al grupo al que pertenece el directorio, y no al grupo del creador del archivo. Cualquier usuario que tiene permisos de escritura y ejecución en el directorio puede crear archivos en el.

Sticky Bit

Es un bit de permisos que protege los archivos dentro de un directorio. Si el directorio tienen el sticky bit, el archivo puede ser eliminado únicamente por el propietario del archivo, del directorio o por el root (este bit es usado en /tmp)

Permisos por defecto. umask

Cuando creas un archivo o directorio este tiene unos permisos por defecto (666 para ficheros y 777 para directorios) con umask podemos especificar que permisos por defecto tendrá un archivo o directorio nuevo, eliminando permisos por defecto.

umask 022    eliminamos w para grupo y otros
umask 027    eliminamos w para grupo y rwx para otros
umask 026    eliminamos w para grupo y rw para otros
umask 077    eliminamos rwx para grupo y otros

Comandos utiles

chown nuevoUsuario /path/archivo
chown nuevoUsuario:nuevoGrupo /path/archivo
chgrp nuevoGrupo /path/archivo
find -user root     (buscar archivos de root)
find -perm -4000    (buscar archivos con permisos 4000)
groups usuario      (ver los grupos para el usuario)
usermod -aG grupo usuario (añade el usuario al grupo)
gpasswd -d usuario grupo (elimina el usuario del grupo)

Origen: http://docs.oracle.com/cd/E19683-01/816-4883/6mb2joat4/index.html


		

Etiquetas:

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: