Linux มีระบบอนุญาตไฟล์ที่แข็งแกร่งเพื่อรักษาความปลอดภัยของระบบ คุณสามารถจัดการสิทธิ์เหล่านี้ได้อย่างเหมาะสมเพื่อปกป้องระบบของคุณจากการเข้าถึงโดยไม่ได้รับอนุญาตและการละเมิดความปลอดภัย ผู้ใช้รูทสามารถใช้ไฟล์ลูกพลับเหล่านี้ทั้งหมด (อ่าน เขียน หรือดำเนินการ) และมอบหมายให้กับผู้ใช้รายอื่น อย่างไรก็ตาม ผู้ใช้จำนวนมากไม่ทราบเกี่ยวกับการอนุญาตไฟล์ Linux พื้นฐานของไฟล์ การอนุญาตประเภทต่างๆ ฯลฯ
การขาดความรู้นี้อาจส่งผลให้เกิดการเข้าถึงโดยไม่ได้รับอนุญาตและเกิดปัญหากับไฟล์ที่ปฏิบัติการได้ ดังนั้นบล็อกนี้มีข้อมูลเชิงลึกเพื่อช่วยให้คุณเข้าใจสิทธิ์ของไฟล์ Linux เพื่อรักษาความปลอดภัยของระบบ
ทำความเข้าใจกับสิทธิ์ของไฟล์ Linux: วิธีรักษาความปลอดภัยระบบของคุณ
มาแบ่งส่วนนี้ออกเป็นหลายส่วนเพื่ออธิบายคำอธิบายขั้นพื้นฐานและขั้นสูงของการอนุญาตไฟล์ Linux
1. พื้นฐานของการอนุญาตไฟล์ใน Linux
Linux มีคำสั่ง “chmod” เพื่อตั้งค่าการอนุญาตไฟล์เหล่านี้ ไวยากรณ์ของมันคือ:
โครโมด [ เจ้าของ ] , [ กลุ่ม ] , [ อื่น ผู้ใช้ ] [ ชื่อไฟล์ ]
- เจ้าของ (คุณ): นี่แสดงถึงผู้ใช้ที่เป็นเจ้าของไฟล์หรือไดเร็กทอรี เจ้าของสามารถควบคุมไฟล์ได้มากที่สุด และเป็นเพียงคนเดียวเท่านั้นที่สามารถเปลี่ยนสิทธิ์ของไฟล์นั้นได้ นอกเหนือจากผู้ใช้รูท
- กลุ่ม (ก.): กลุ่มผู้ใช้สามารถเป็นเจ้าของไฟล์ที่ระบุได้ และสิทธิ์ของกลุ่มจะมีผลกับสมาชิกทุกคน ความเป็นเจ้าของประเภทนี้มีประโยชน์เมื่อทำงานในโครงการที่มีการทำงานร่วมกัน
- ผู้ใช้รายอื่น (o): มันแสดงถึงระดับการเข้าถึงสำหรับผู้ใช้รายอื่นทั้งหมดเช่นเดียวกับประชาชนทั่วไป
สิทธิ์เป็นประเภทต่อไปนี้:
- อ่าน (r หรือ 4): สิทธิ์ 'อ่าน' อนุญาตให้ผู้ใช้เข้าถึงไฟล์ได้แบบดูอย่างเดียว ซึ่งหมายความว่าพวกเขาสามารถดูและแสดงรายการเนื้อหาของไดเร็กทอรีหรือไฟล์ได้ ผู้ใช้จะสามารถเข้าถึงไฟล์ได้ก็ต่อเมื่อมีสิทธิ์ 'อ่าน' เท่านั้น
- เขียน (w หรือ 2): ด้วยการอนุญาตนี้ ผู้ใช้สามารถแก้ไขเนื้อหาของไฟล์หรือสร้าง ลบ และเปลี่ยนชื่อไฟล์อื่นๆ ภายในไดเร็กทอรีได้
- ดำเนินการ (x หรือ 1): สิทธิ์ 'เรียกใช้งาน' เป็นสิ่งจำเป็นสำหรับไฟล์ปฏิบัติการ เช่น โปรแกรมและสคริปต์ ผู้ใช้สามารถรันโปรแกรมได้ก็ต่อเมื่อได้รับอนุญาต 'execute' เท่านั้น
นอกจากนี้ หมวดหมู่ผู้ใช้และการอนุญาตยังเชื่อมต่อกันด้วยเครื่องหมาย '+' หรือ '-' ในคำสั่ง เครื่องหมาย “+” บอกให้ระบบให้สิทธิ์ดังกล่าว ในขณะที่เครื่องหมาย “-” คือการลบสิทธิ์เหล่านั้น
หากคุณต้องการให้สิทธิ์ทั้งหมดแก่เจ้าของ สิทธิ์ 'อ่าน' และ 'เขียน' ให้กับกลุ่ม และสิทธิ์การเข้าถึง 'อ่านอย่างเดียว' แก่ผู้อื่น คุณสามารถใช้คำสั่งต่อไปนี้:
โครโมด ใน =rw, ก =ร, โอ =ร < เส้นทางของไดเร็กทอรี >
ในคำสั่งก่อนหน้า:
- u=rw ใช้สำหรับสิทธิ์ 'อ่าน' และ 'เขียน' สำหรับเจ้าของ
- g=r ใช้สำหรับสิทธิ์ 'อ่าน' สำหรับกลุ่ม
- o=r ใช้สำหรับสิทธิ์ 'อ่านอย่างเดียว' สำหรับผู้อื่น
คุณสามารถใช้คำสั่งต่อไปนี้เพื่อตรวจสอบสิทธิ์ของไฟล์ที่กำหนด:
LS -ล 
นอกจากนี้ หากไฟล์หรือไดเร็กทอรีได้ให้สิทธิ์พิเศษแก่ผู้ใช้แล้ว และคุณสงสัยว่าจะดึงสิทธิ์การเข้าถึงนั้นกลับคืนมาได้อย่างไร คุณสามารถใช้เครื่องหมาย '-' และระบุสิทธิ์ที่จะลบได้
2. สัญลักษณ์ฐานแปดในการอนุญาตไฟล์ Linux
รูปแบบที่กล่าวถึงก่อนหน้านี้สาธิตคำสั่งโดยใช้สัญลักษณ์สัญลักษณ์ หากคุณต้องการใช้สัญลักษณ์ฐานแปดแทน ให้ใช้คำสั่งต่อไปนี้:
โครโมด อูโก้ < ชื่อไฟล์ >แทนที่ 'u', 'g' และ 'o' ด้วยค่าฐานแปดของการอนุญาตที่คุณต้องการมอบให้กับเจ้าของ กลุ่ม และอื่นๆ ค่าฐานแปดจะถูกคำนวณดังนี้:
- สิทธิ์ 'อ่าน', 'เขียน' และ 'ดำเนินการ' มีค่าแยกกันคือ 4, 2 และ 1 ตามลำดับ หากต้องการรับค่าฐานแปดของสิทธิ์สองหรือสามสิทธิ์รวมกัน ให้เพิ่มค่าที่ไม่ซ้ำกัน
- สิทธิ์ rwx (อ่าน เขียน และดำเนินการ) มีค่าฐานแปดเท่ากับ 4+2+1= 7
- สิทธิ์ rw (อ่านและเขียน) มีค่าฐานแปดเป็น 4+2= 6 เป็นต้น
ในคำสั่งก่อนหน้า:
- 7 มีไว้สำหรับเจ้าของ (4 สำหรับการอ่าน, 2 สำหรับการเขียน, 1 สำหรับการดำเนินการ)
- 6 สำหรับกลุ่ม (4 สำหรับอ่าน, 2 สำหรับเขียน)
- 4 สำหรับคนอื่นๆ (4 สำหรับการอ่าน)
ตัวอย่างเช่น ให้สิทธิ์การเข้าถึง 'อ่านอย่างเดียว' แก่ผู้ใช้ทุกหมวดหมู่:
โครโมด 444 < ชื่อไฟล์ > 
วิธีใช้สิทธิ์ของไฟล์ Linux เพื่อความปลอดภัยของระบบ
หลังจากทำความเข้าใจแนวคิดการอนุญาตไฟล์ Linux แล้ว จำเป็นต้องปฏิบัติตามแนวทางปฏิบัติบางประการเพื่อให้มั่นใจถึงความปลอดภัยสูงสุดของระบบ
- สิ่งจำเป็นในการอนุญาตไฟล์: ตรวจสอบให้แน่ใจเสมอว่าเฉพาะผู้ใช้ที่จำเป็นเท่านั้นที่มีสิทธิ์ที่จำเป็น และพยายามเก็บสิทธิ์ในการปฏิบัติการไว้เฉพาะผู้ดูแลระบบเท่านั้น การกำหนดสิทธิ์เหล่านี้อย่างถูกต้องสามารถช่วยคุณป้องกันโปรแกรมที่เป็นอันตรายและอาจไม่พึงประสงค์ไม่ให้สร้างความเสียหายให้กับระบบของคุณได้
- ใช้การเข้ารหัสไฟล์: วิธีที่ดีที่สุดคือเข้ารหัสไฟล์และโปรแกรมที่เป็นความลับ ด้วยวิธีนี้ คุณสามารถปกป้องข้อมูลที่ละเอียดอ่อนของคุณได้ เครื่องมือเช่น GNU Privacy Guard อำนวยความสะดวกให้กับวิธีการเข้ารหัสที่คุณสามารถใช้เพื่อปกป้องข้อมูลของคุณจากการสอดรู้สอดเห็น
- การใช้การอนุญาตไฟล์ขั้นสูง: คุณสามารถใช้การอนุญาตเพิ่มเติม เช่น setuid, setgid และ Sticky Bits เพื่ออนุญาตการอนุญาตเฉพาะกับผู้ใช้ที่ระบุเท่านั้น คุณสามารถใช้สิ่งเหล่านี้เพื่อหลีกเลี่ยงการให้สิทธิ์การเข้าถึงแก่ผู้ใช้ที่ไม่ต้องการ
- ใช้การควบคุมการเข้าถึงตามบทบาท (RBAC): ปฏิบัติตามหลักการของสิทธิ์ขั้นต่ำเสมอ และใช้ RBAC เพื่อกำหนดสิทธิ์ตามบทบาทและความรับผิดชอบของผู้ใช้ สิ่งเหล่านี้เป็นแนวคิดพื้นฐานในการรักษาความปลอดภัยของระบบ
บทสรุป
การทำความเข้าใจสิทธิ์ในไฟล์ Linux ถือเป็นสิ่งสำคัญในการรักษาความปลอดภัยระบบของคุณจากการเข้าถึงโดยไม่ได้รับอนุญาต เราได้รวมแนวทางปฏิบัติที่ดีที่สุดทั้งหมดที่คุณสามารถใช้เพื่อรักษาความปลอดภัยระบบ Linux ของคุณ แนวทางปฏิบัติเหล่านี้รวมถึงการเข้ารหัสไฟล์ การเข้าถึงตามบทบาท และการอนุญาตไฟล์ที่จำเป็น คุณควรให้สิทธิ์การเข้าถึงปฏิบัติการแก่ผู้ดูแลระบบเท่านั้น นอกจากนี้ อย่าให้สิทธิ์ปฏิบัติการแก่ไฟล์สุ่มใดๆ มิฉะนั้นบางครั้งอาจสร้างข้อผิดพลาดได้