Доброе время суток.
Исторически так сложилось, что для своих мелких проектов держу виртуалку. Однако, так как я не использую ее ресурсы на 100%, решил не жадничать и пустил похоститься несколько друзей. Сайтов не много, деньги за хостинг не беру, поэтому ставить что-то вроде cpanel счел перебором. К тому же я их тех, кто предпочитает настраивать все вручную. Структуру выбрал следующую:
/home/hostuser/vhosts/sitename.ru/{tmp,web,logs}
И тут возник вопрос: как запретить пользователю удалять/переименовывать папки в sitename.ru? Если будет отсутствовать папка web
, то и apache и nginx выдадут предупреждение, но все-равно загрузятся. Но если удалить/переместит папку logs
, то и apache и nginx не запустятся из-за ошибки (по мне довольно странное поведение). Папка hostuser
полностью принадлежит данному пользователю и его личной группе (hostuser:hostuser
), а это означает, что при желании он сможет удалить любую внутреннюю папку/файл, даже если она будет принадлежать суперпользователю. Так как же запретить удаление/перемещение, чтобы пользователь (случайно или специально) не сломать весь хостинг?
После недолгого гугления решение было найдено. По мимо стандартных разрешений и acl, в файловых системах типа ext2, ext3, ext4 для файла можно выставлять дополнительные атрибуты. Подробней о всех атрибутах прочитать на Wiki , либо man chattr . Нас же интересует атрибут immutable
. Данный атрибут для файла или папки может выставить только суперпользователь. Если назначит атрибут immutable
на файл, то данный файл нельзя будет изменить или удалить (причем даже суперпользователь это не сможет сделать, пока не уберет данный атрибут). Если назначит атрибут immutable
на папку, то данную папку нельзя будет удалить, а так же нельзя будет изменить структуру внутри нее. Тем самым получается, что если нам нужно защитить папку sitename.ru
и структуру внутри нее, нам необходимо выполнить простую команду:
Chattr +i /home/hostuser/vhosts/sitename.ru
Для снятия атрибута необходимо использовать флаг -i
.
Если же нужно защитить только одну папку (например, logs ), можно поступить следующим образом:
Touch /home/hostuser/vhosts/sitename.ru/logs/.keep
chattr +i /home/hostuser/vhosts/sitename.ru/logs/.keep
Собственно так можно поставить «защиту от дурака» (даже с правами суперпользователя).
Спасибо за внимание.
Обращаю внимание!
Важно понимать, данная статья не об информационной безопасности
. Замок на почтовом ящике - это информационная безопасность
. Стекло на кнопке пожарной сигнализации - это защита от дурака
.
Если создать файл.keep и дать ему атрибут -i
, саму папку можно перенести и файл можно перенести. Нельзя удалить сам файл и структуру папок до этого файла.
Если вам требуется более надежный уровень безопасности, используйте атрибут immutable
совместно с mount --bind
. С помощью этой связки можно настроить защиту от намеренного изменения структуры.
Инструкция
Есть несколько способов запретить пользователям редактировать реестр. Из меню «Пуск» выбирайте опцию «Выполнить» и введите в командное окно gpedit.msc. В правой части раскрывшегося окна экрана «Групповая политика» кликните дважды по пункту «Конфигурация пользователя».
В новом окне двойным кликом откройте «Административные шаблоны», затем таким же образом щелкайте по пункту «Cиcтeмa». В прaвoй чacти нового oкна найдите «Сделать недоступными средства редактирования реестра». Вызывайте выпадающее меню щелчком правой клавиши мыши и выбирайте опцию «Свойства». Отметьте пункт «Включен». В разделе «Отключить запуск regedit без предупреждения?» можете выбрать из списка значение «Да» или «Нет».
Есть способ запретить выполнение команды regedit.exe. Для других команд редактирование реестра будет доступно. Ввeдитe rеgеdit в командную строку. Раскроется окно редактора реестра.
Откройте раздел HKCurrentUser\Software\Microsoft\Windows\CurrentVersion\Policies. В меню «Правка» выбирайте опции «Создать» и «Раздел». Введите название раздела System. В меню «Правка» создайте «Параметр Dword» с помощью команды «Создать» и введите название параметра DisableRegistryTools. Щелкните дважды по названию и присвойте ему значение. Если значение равно 1, редактирование реестра запрещено, если 0 – разрешено.
Для полного успеха лучше подтвердить запрет через групповые политики, как описано выше.
Из меню «Пуск» откройте «Все программы», «Стандартные» и «Блокнот». Запишите в нем код:
Windows Registry Editor Version 5.00
"DisableRegistryTools"=dword:00000001
Добавьте . Сохраните запись как edit.reg. Закройте «Блокнот» и дважды щелкните по значку созданного вами файла. Новый параметр добавится в реестр. Если вам потребуется снять запрет на редактирование, откройте в «Блокноте» этот файл и измените значение параметра на 0:
Видео по теме
В некоторых случаях человеку, ответственному за компьютеры других пользователей, требуется установить одну заставку для разных рабочих столов. Главным условием является невозможность смены данного изображения. Для решения задачи такого рода необходимо использовать "Редактор реестра".
Вам понадобится
- Программное обеспечение Regedit.
Инструкция
Перед тем как вы приступите к редактированию ключей реестра, рекомендуется создать резервную копию. Запустить "Редактор реестра" можно при помощи апплета «Выполнить» в меню «Пуск», который также можно запустить нажатием сочетания клавиш Win + R. В открывшемся окне введите команду Regedit и нажмите кнопку «ОК».
Если по каким-либо причинам вам не удалось запустить это приложение, откройте рабочий стол, нажмите правой кнопкой мыши на значке «Мой компьютер» и выберите пункт «Редактор реестра». Regedit можно запустить при помощи «Проводника Windows» - перейдите по следующему пути C:\Windows\ и дважды щелкните по значку regedit.exe.
В главном окне программы вы увидите деление на 2 части: в левой находятся ключи, а в правой расположены их значения. Чтобы открыть ветку следует нажать на изображение «+» рядом с ней.
Слово «безопасность» всегда было излюбленным термином компании Microsoft, и это не изменилось с появлением Windows 7. Настройки безопасности Windows оказываются более полезными при защите компьютера от самого себя, чем от любых подозрительных «злоумышленников».
Система прав доступа не просто защищает файлы и папки, она устанавливает ограничения на то, кто может читать и видоизменять элементы реестра. Это свойство очень полезно, но большинство людей даже не знают о его существовании. Можно заблокировать раздел реестра для того, чтобы служащие не устанавливали программное обеспечение на офисном компьютере, или для того, чтобы дети не смогли обойти функцию «родительский контроль». Права доступа позволяют блокировать сопоставления типов файлов, чтобы другие приложения не смогли их изменить. А блокируя разделы, содержащие список программ автозагрузки, можно защитить компьютер от вредоносных программ.
Вот как это делается:
1. Откройте редактор реестра и перейдите к разделу, который вы хотели бы защитить.
Вы можете защищать только разделы, а не отдельные значения. Если вы заблокируете раздел для защиты одного из его значений, все значения в этом разделе
j lb будут заблокированы.
2. Щелкните правой кнопкой мышки на имени раздела и выберите пункт меню Разрешения.
3. Нажмите Дополнительно, а затем Добавить.
Если кнопка Добавить неактивна, вам необходимо взять этот раздел «в собствен* Л , I ность», закрыть окно Разрешения и повторно открыть его для внесения изменений ^ lb в права доступа для этого объекта.
4. В поле Введите имена объектов напечатайте Все, а затем нажмите ОК. (Значение Все охватывает учетные записи всех пользователей.)
5. В следующем окне Ввод права доступа для... укажите действия, которые вы хотите запретить (рис. 3.11).
6. Когда все готово, нажмите ОК в каждом из трех открытых диалоговых окон.
Изменения вступят в силу сразу же.
Возможно, вам понадобится ограничить права доступа определенного пользователя (или всех пользователей), но не добавлять элемент Запретить, как показано на рисунке. Проблема заключается в том, что таким способом не защитить приложение от изменений прав доступа другим пользователем и взлома. К тому же вам будет сложнее восстанавливать старые права доступа.
Windows дает приоритет столбцу Запретить над столбцом Разрешить, что означает возможность заблокировать раздел при помощи одного элемента столбца Запретить, даже если другое значение в столбце Разрешить дает пользователю разрешение на видоизменение элемента.
Итак, какие же разделы нужно блокировать и какие действия запрещать? Вот несколько примеров:
О Разрешите только чтение
После блокировки значений все же можно позволить приложениям и Windows их считывать, поставив флажок в столбце Запретить напротив строк Задание значения, Удаление и Смена владельца, как показано на рис. 3.11.
О Создайте полную блокировку
Чтобы ни одно приложение не могло считывать, видоизменять или удалять значение, поставьте флажок в столбце Запретить напротив строки Полный доступ.
О Избегайте создания новых оболочек
Чтобы приложения не создавали новые разделы внутри указанных, поставьте флажок в столбце Запретить напротив строки Создание подраздела. Так можно поступить с разделами типа файла, чтобы Проводник не добавлял эти приложения в список Создать.
О Укрепите безопасность на многопользовательских компьютерах
Чтобы другой пользователь не смог изменить политику безопасности, используйте процедуру, описанную в разделе «Расположение раздела настроек реестра», чтобы найти соответствующий раздел в реестре. Затем, вместо того чтобы поставить флажок в столбце Запретить, как это описано ранее, отмените все права доступа, которые позволяют кому-либо, кроме администратора, удалять, изменять или добавлять подразделы в раздел. Убедитесь, что существует по крайней мере одно правило для группы Администраторы (или для собственного аккаунта), которое разрешает Полный доступ.
О Блокировка типов файла
Утилита File Type Doctor позволяет блокировать типы файлов, чтобы избежать «кражу» их приложениями.
О Защита типов файлов от свойства UserChoice
Как описано во врезке «Зло переопределения UserChoice» на с. 169, Windows проигнорирует настройки пользовательского типа файла, если определенный раздел находится в HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\FileExts разделе. Чтобы такое не случилось снова, поставьте флажок в столбце Запретить напротив строки Создание подраздела. Это сразу же защитит все ваши типы файла, но еще необходимо будет удалить один или более из существующих элементов в разделе FileExts для восстановления индивидуальных типов файла. Подробнее об этом в разделе «Сопоставление типов файлов».
