权限设置_权限设置问题 - CSDN
精华内容
参与话题
  • 权限设置通常分为模块级别的权限设置,原子操作的权限设置,记录级别的权限设置。 模块级别的权限设置很简单,某个人或某个角色对没个模块有操作权限,要么就没有操作权限; 原子操作的权限设置,是指对页面的...

    权限设置通常分为模块级别的权限设置,原子操作的权限设置,记录级别的权限设置。

    模块级别的权限设置很简单,某个人或某个角色对没个模块有操作权限,要么就没有操作权限;
    原子操作的权限设置,是指对页面的控件的操作权限,某个用户或某个角色对某个控件有操作权限,或没有操作权限。
    记录级别的权限设置,通常也指数据的权限控制,某人或某角色对某些记录有查看权限,或对某个字段没有查看更新等操作权限。

    在工作流集成自定义表单的时候,我们通常需要做的权限设置是指原子操作的权限设置。即控制一张表单在流程的多个节点上流转,每个节点对页面上各个控件的操作权限可能不一样;一张表单在多个用户或角色直接流转办理业务时,各用户对表单上各控件的操作权限可能不一样;

    这样的需求,在工作流集成表单的过程中,有两种实现,在表单中设置权限控制和在流程的节点中设置。

    不论用那种实现,都应该能满足同一张表单在流程的各个节点或多个用户角色之间流转,操作权限不一样;

    表单中设置控件的操作权限:

    这里是指用自定义表单工具,如果是开发的功能模块,一般都没有可视化的设计过程,那样对于权限设置,比较困难,没有可视化的过程,就需要手动的去设置。

    在控件的属性页中,增加权限设置按钮,点击打开设置页面。可以按用户,角色,群组等来设置,还可以按流程的节点来设置。

    设置完成的数据,编辑成xml的格式,保存在表单的页面中。当表单运行的时候,获取这些定义的格式串,再取出当前环境中的用户,角色,流程节点等进行比较。符合条件,则控制控件的属性,使得只读,禁用或不可见。


    流程节点中的权限设置

    在没有自定义表单工具的时候,定制或开发的模块中,要加入这些权限的控件比较麻烦,通常在集成工作流系统的时候,就会在工作流的流程定义节点中加入这些权限的设置,一般来说工作流系统都会带有流程设计器,在节点属性页中加入这些权限控制。

    对业务表的字段的访问权限的控制,设置完成后生成xml格式数据,保存到业务流程建模的文件中,当运行流程时候,打开业务表单时,取出流程节点上设置的权限设置串,和当前的环境中比较,符合条件的作用于页面域,使得只读,禁用或不可见。

    这两种方案中,在自定义表单中设置要简单一些。而且直观,直接对控件或字段进行设置,可以是伪列,不一定和字段一一对应。表单运行时,直接取出设置的权限,作用于页面控件。

    在流程节点中设置,需要将业务表的结构读出,然后设置,页面运行时,需要建立流程的解释对象,然后获取流程节点中设置的权限,作用于页面的控件,还需要按一种约定的格式去做,例如,控件id=字段名这样的格式来做解释。

    展开全文
  • 权限设置(总结)

    2019-04-22 00:10:14
    要想更改或删除权限 先关闭继承 icacls C:\Users\wangcc\Desktop\禁止删除\ /inheritance:d 然后 删除权限 icacls C:\Users\wangcc\Desktop\禁止删除\ /remove:g "wangcc" icacls C:\Users\wangcc\Desktop\禁止删除\...
    总结如下:
    要想更改或删除权限
    先关闭继承
    icacls C:\Users\wangcc\Desktop\禁止删除\ /inheritance:d
    然后 删除权限
    icacls C:\Users\wangcc\Desktop\禁止删除\ /remove:g "wangcc"
    icacls C:\Users\wangcc\Desktop\禁止删除\ /remove:g "system"
    icacls C:\Users\wangcc\Desktop\禁止删除\ /remove:g "administrators"
    此时权限信息如下:
    C:\Users\wangcc>icacls C:\Users\wangcc\Desktop\禁止删除\
    C:\Users\wangcc\Desktop\禁止删除\
    已成功处理 1 个文件; 处理 0 个文件时失败
    
    C:\Users\wangcc>
    
    更改权限:
    icacls C:\Users\wangcc\Desktop\禁止删除\ /grant:r DESKTOP-AGRCV6C\wangcc:(OI)(CI)(RX,AD,WEA,WA)
    结果如下:
    C:\Users\wangcc>icacls C:\Users\wangcc\Desktop\禁止删除\ /grant:r DESKTOP-AGRCV6C\wangcc:(OI)(CI)(RX,AD,WEA,WA)
    已处理的文件: C:\Users\wangcc\Desktop\禁止删除\
    已成功处理 1 个文件; 处理 0 个文件时失败
    
    C:\Users\wangcc>icacls C:\Users\wangcc\Desktop\禁止删除\
    C:\Users\wangcc\Desktop\禁止删除\ DESKTOP-AGRCV6C\wangcc:(OI)(CI)(RX,AD,WEA,WA)
    
    已成功处理 1 个文件; 处理 0 个文件时失败
    
    C:\Users\wangcc>
    
    暂时取消:
    C:\Users\wangcc>icacls C:\Users\wangcc\Desktop\禁止删除\ /inheritance:e
    已处理的文件: C:\Users\wangcc\Desktop\禁止删除\
    已成功处理 1 个文件; 处理 0 个文件时失败
    
    C:\Users\wangcc>icacls C:\Users\wangcc\Desktop\禁止删除\
    C:\Users\wangcc\Desktop\禁止删除\ DESKTOP-AGRCV6C\wangcc:(OI)(CI)(RX,AD,WEA,WA)
                                  NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
                                  BUILTIN\Administrators:(I)(OI)(CI)(F)
                                  DESKTOP-AGRCV6C\wangcc:(I)(OI)(CI)(F)
    
    已成功处理 1 个文件; 处理 0 个文件时失败
    
    C:\Users\wangcc>
    
    开取继承:
    则取消,继承的权限还在
    C:\Users\wangcc>icacls C:\Users\wangcc\Desktop\禁止删除\ /inheritance:d
    已处理的文件: C:\Users\wangcc\Desktop\禁止删除\
    已成功处理 1 个文件; 处理 0 个文件时失败
    
    C:\Users\wangcc>icacls C:\Users\wangcc\Desktop\禁止删除\
    C:\Users\wangcc\Desktop\禁止删除\ DESKTOP-AGRCV6C\wangcc:(OI)(CI)(RX,AD,WEA,WA)
                                  NT AUTHORITY\SYSTEM:(OI)(CI)(F)
                                  BUILTIN\Administrators:(OI)(CI)(F)
                                  DESKTOP-AGRCV6C\wangcc:(OI)(CI)(F)
    
    已成功处理 1 个文件; 处理 0 个文件时失败
    
    C:\Users\wangcc>
    
    
    执行
    icacls C:\Users\wangcc\Desktop\禁止删除\ /remove:g "administrators"
    icacls C:\Users\wangcc\Desktop\禁止删除\ /remove:g "wangcc"
    icacls C:\Users\wangcc\Desktop\禁止删除\ /remove:g "system"
    后
    C:\Users\wangcc>icacls C:\Users\wangcc\Desktop\禁止删除\
    C:\Users\wangcc\Desktop\禁止删除\
    已成功处理 1 个文件; 处理 0 个文件时失败
    
    
    
    添加后如下:
    C:\Users\wangcc>icacls C:\Users\wangcc\Desktop\禁止删除\ /grant:r DESKTOP-AGRCV6C\wangcc:(OI)(CI)(RX,AD,WEA,WA)
    已处理的文件: C:\Users\wangcc\Desktop\禁止删除\
    已成功处理 1 个文件; 处理 0 个文件时失败
    
    C:\Users\wangcc>icacls C:\Users\wangcc\Desktop\禁止删除\
    C:\Users\wangcc\Desktop\禁止删除\ DESKTOP-AGRCV6C\wangcc:(OI)(CI)(RX,AD,WEA,WA)
    
    已成功处理 1 个文件; 处理 0 个文件时失败
    
    
    仅恢复标准权限:
    icacls C:\Users\wangcc\Desktop\禁止删除\ /grant:r DESKTOP-AGRCV6C\wangcc:(OI)(CI)(F)
    如上即可
    
    查看
    icacls C:\Users\wangcc\Desktop\禁止删除\
    恢复初始状态
    icacls C:\Users\wangcc\Desktop\禁止删除\ /T /Q /C /RESET
    取消限制
    icacls C:\Users\wangcc\Desktop\禁止删除\ /grant:r DESKTOP-AGRCV6C\wangcc:(OI)(CI)(F)
    删除全部权限
    icacls C:\Users\wangcc\Desktop\禁止删除\ /inheritance:d
    icacls C:\Users\wangcc\Desktop\禁止删除\ /remove:g "wangcc"
    icacls C:\Users\wangcc\Desktop\禁止删除\ /remove:g "system"
    icacls C:\Users\wangcc\Desktop\禁止删除\ /remove:g "administrators"
    设置限制
    icacls C:\Users\wangcc\Desktop\禁止删除\ /grant:r DESKTOP-AGRCV6C\wangcc:(OI)(CI)(RX,AD,WEA,WA)
    
    展开全文
  • Windows权限设置全攻略

    千次阅读 2016-04-11 14:27:41
    Windows权限设置全攻略 随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的...

    Windows权限设置全攻略

    随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入式攻击越来越多的被使用,WEBSHELL让防火墙形同虚设,一台即使打了所有微软补丁、只让80端口对外开放的WEB服务器也逃不过被黑的命运。难道我们真的无能为力了吗?其实,只要你弄明白了NTFS系统下的权限设置问题,我们可以对crackers们说:NO! 

      要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003。众所周知,Windows是一个支持多用户、多任务的操作系统,这是权限设置的基础,一切权限设置都是基于用户和进程而言的,不同的用户在访问这台计算机时,将会有不同的权限。DOS是个单任务、单用户的操作系统。但是我们能说DOS没有权限吗?不能!当我们打开一台装有DOS操作系统的计算机的时候,我们就拥有了这个操作系统的管理员权限,而且,这个权限无处不在。所以,我们只能说DOS不支持权限的设置,不能说它没有权限。随着人们安全意识的提高,权限设置随着NTFS的发布诞生了。 

      Windows NT里,用户被分成许多组,组和组之间都有不同的权限,当然,一个组的用户和用户之间也可以有不同的权限。下面我们来谈谈NT中常见的用户组。 

      Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。所以,只有受信任的人员才可成为该组的成员。 

      Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具有将自己添加到 Administrators 组的权限。在权限设置中,这个组的权限是仅次于Administrators的。 

      Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。Users 组是最安全的组,因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在经过 NTFS 格式化的卷上,默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。用户不能修改系统注册表设置、操作系统文件或程序文件。Users 可以关闭工作站,但不能关闭服务器。Users 可以创建本地组,但只能修改自己创建的本地组。 

      Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。 

      Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。 

      其实还有一个组也很常见,它拥有和Administrators一样、甚至比其还高的权限,但是这个组不允许任何用户的加入,在察看用户组的时候,它也不会被显示出来,它就是SYSTEM组。系统和系统级的服务正常运行所需要的权限都是靠它赋予的。由于该组只有这一个用户SYSTEM,也许把该组归为用户的行列更为贴切。 

      权限是有高低之分的,有高权限的用户可以对低权限的用户进行操作,但除了Administrators之外,其他组的用户不能访问 NTFS 卷上的其他用户资料,除非他们获得了这些用户的授权。而低权限的用户无法对高权限的用户进行任何操作。 

      我们平常使用计算机的过程当中不会感觉到有权限在阻挠你去做某件事情,这是因为我们在使用计算机的时候都用的是Administrators中的用户登陆的。这样有利也有弊,利当然是你能去做你想做的任何一件事情而不会遇到权限的限制。弊就是以 Administrators 组成员的身份运行计算机将使系统容易受到特洛伊木马、病毒及其他安全风险的威胁。访问 Internet 站点或打开电子邮件附件的简单行动都可能破坏系统。不熟悉的 Internet 站点或电子邮件附件可能有特洛伊木马代码,这些代码可以下载到系统并被执行。如果以本地计算机的管理员身份登录,特洛伊木马可能使用管理访问权重新格式化您的硬盘,造成不可估量的损失,所以在没有必要的情况下,最好不用Administrators中的用户登陆。 

      Administrators中有一个在系统安装时就创建的默认用户----Administrator,Administrator 帐户具有对服务器的完全控制权限,并可以根据需要向用户指派用户权利和访问控制权限。因此强烈建议将此帐户设置为使用强密码。永远也不可以从 Administrators 组删除 Administrator 帐户,但可以重命名或禁用该帐户。由于大家都知道“管理员”存在于许多版本的 Windows 上,所以重命名或禁用此帐户将使恶意用户尝试并访问该帐户变得更为困难。对于一个好的服务器管理员来说,他们通常都会重命名或禁用此帐户。Guests用户组下,也有一个默认用户----Guest,但是在默认情况下,它是被禁用的。如果没有特别必要,无须启用此账户。我们可以通过“控制面板”--“管理工具”--“计算机管理”--“用户和用户组”来查看用户组及该组下的用户。 

      我们用鼠标右键单击一个NTFS卷或NTFS卷下的一个目录,选择“属性”--“安全”就可以对一个卷,或者一个卷下面的目录进行权限设置,此时我们会看到以下七种权限:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。“完全控制”就是对此卷或目录拥有不受限制的完全访问。地位就像Administrators在所有组中的地位一样。选中了“完全控制”,下面的五项属性将被自动被选中。“修改”则像Power users,选中了“修改”,下面的四项属性将被自动被选中。下面的任何一项没有被选中时,“修改”条件将不再成立。“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件,“列出文件夹目录”和“读取”是“读取和运行”的必要条件。“列出文件夹目录”是指只能浏览该卷或目录下的子目录,不能读取,也不能运行。“读取”是能够读取该卷或目录下的数据。“写入”就是能往该卷或目录下写入数据。而“特别”则是对以上的六种权限进行了细分。读者可以自行对“特别”进行更深的研究,鄙人在此就不过多赘述了。 

      下面我们对一台刚刚安装好操作系统和服务软件的WEB服务器系统和其权限进行全面的刨析。服务器采用Windows 2000 Server版,安装好了SP4及各种补丁。WEB服务软件则是用了Windows 2000自带的IIS 5.0,删除了一切不必要的映射。整个硬盘分为四个NTFS卷,C盘为系统卷,只安装了系统和驱动程序;D盘为软件卷,该服务器上所有安装的软件都在D盘中;E盘是WEB程序卷,网站程序都在该卷下的WWW目录中;F盘是网站数据卷,网站系统调用的所有数据都存放在该卷的WWWDATABASE目录下。这样的分类还算是比较符合一台安全服务器的标准了。 

      希望各个新手管理员能合理给你的服务器数据进行分类,这样不光是查找起来方便,更重要的是这样大大的增强了服务器的安全性,因为我们可以根据需要给每个卷或者每个目录都设置不同的权限,一旦发生了网络安全事故,也可以把损失降到最低。当然,也可以把网站的数据分布在不同的服务器上,使之成为一个服务器群,每个服务器都拥有不同的用户名和密码并提供不同的服务,这样做的安全性更高。不过愿意这样做的人都有一个特点----有钱:)。好了,言归正传,该服务器的数据库为MS-SQL,MS-SQL的服务软件SQL2000安装在d:/ms-sqlserver2K目录下,给SA账户设置好了足够强度的密码,安装好了SP3补丁。 

      为了方便网页制作员对网页进行管理,该网站还开通了FTP服务,FTP服务软件使用的是SERV-U 5.1.0.0,安装在d:/ftpservice/serv-u目录下。杀毒软件和防火墙用的分别是Norton Antivirus和BlackICE,路径分别为d:/nortonAV和d:/firewall/blackice,病毒库已经升级到最新,防火墙规则库定义只有80端口和21端口对外开放。网站的内容是采用动网7.0的论坛,网站程序在e:/www/bbs下。细心的读者可能已经注意到了,安装这些服务软件的路径我都没有采用默认的路径或者是仅仅更改盘符的默认路径,这也是安全上的需要,因为一个黑客如果通过某些途径进入了你的服务器,但并没有获得管理员权限,他首先做的事情将是查看你开放了哪些服务以及安装了哪些软件,因为他需要通过这些来提升他的权限。 

      一个难以猜解的路径加上好的权限设置将把他阻挡在外。相信经过这样配置的WEB服务器已经足够抵挡大部分学艺不精的黑客了。读者可能又会问了:“这根本没用到权限设置嘛!我把其他都安全工作都做好了,权限设置还有必要吗?”当然有!智者千虑还必有一失呢,就算你现在已经把系统安全做的完美无缺,你也要知道新的安全漏洞总是在被不断的发现。权限将是你的最后一道防线!那我们现在就来对这台没有经过任何权限设置,全部采用Windows默认权限的服务器进行一次模拟攻击,看看其是否真的固若金汤。 

      假设服务器外网域名为http://www.webserver.com,用扫描软件对其进行扫描后发现开放WWW和FTP服务,并发现其服务软件使用的是IIS 5.0和Serv-u 5.1,用一些针对他们的溢出工具后发现无效,遂放弃直接远程溢出的想法。打开网站页面,发现使用的是动网的论坛系统,于是在其域名后面加个/upfile.asp,发现有文件上传漏洞,便抓包,把修改过的ASP木马用NC提交,提示上传成功,成功得到WEBSHELL,打开刚刚上传的ASP木马,发现有MS-SQL、Norton Antivirus和BlackICE在运行,判断是防火墙上做了限制,把SQL服务端口屏蔽了。通过ASP木马查看到了Norton Antivirus和BlackICE的PID,又通过ASP木马上传了一个能杀掉进程的文件,运行后杀掉了Norton Antivirus和BlackICE。再扫描,发现1433端口开放了,到此,便有很多种途径获得管理员权限了,可以查看网站目录下的conn.asp得到SQL的用户名密码,再登陆进SQL执行添加用户,提管理员权限。也可以抓SERV-U下的ServUDaemon.ini修改后上传,得到系统管理员权限。还可以传本地溢出SERV-U的工具直接添加用户到Administrators等等。大家可以看到,一旦黑客找到了切入点,在没有权限限制的情况下,黑客将一帆风顺的取得管理员权限。 

      那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录,默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊,系统默认给了他们有限制的权限,这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings,默认的权限是这样分配的:Administrators拥有完全控制权;Everyone拥有读&运,列和读权限;Power users拥有读&运,列和读权限;SYSTEM同Administrators;Users拥有读&运,列和读权限。对于Program files,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权,Users有读&运,列和读权限。对于Winnt,Administrators拥有完全控制权;Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运,列和读权限。而非系统卷下的所有目录都将继承其父目录的权限,也就是Everyone组完全控制权! 

      现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧?权限设置的太低了!一个人在访问网站的时候,将被自动赋予IUSR用户,它是隶属于Guest组的。本来权限不高,但是系统默认给的Everyone组完全控制权却让它“身价倍增”,到最后能得到Administrators了。那么,怎样设置权限给这台WEB服务器才算是安全的呢?大家要牢记一句话:“最少的服务+最小的权限=最大的安全”对于服务,不必要的话一定不要装,要知道服务的运行是SYSTEM级的哦,对于权限,本着够用就好的原则分配就是了。对于WEB服务器,就拿刚刚那台服务器来说,我是这样设置权限的,大家可以参考一下:各个卷的根目录、Documents and settings以及Program files,只给Administrator完全控制权,或者干脆直接把Program files给删除掉;给系统卷的根目录多加一个Everyone的读、写权;给e:/www目录,也就是网站目录读、写权。 

      最后,还要把cmd.exe这个文件给挖出来,只给Administrator完全控制权。经过这样的设置后,再想通过我刚刚的方法入侵这台服务器就是不可能完成的任务了。可能这时候又有读者会问:“为什么要给系统卷的根目录一个Everyone的读、写权?网站中的ASP文件运行不需要运行权限吗?”问的好,有深度。是这样的,系统卷如果不给Everyone的读、写权的话,启动计算机的时候,计算机会报错,而且会提示虚拟内存不足。当然这也有个前提----虚拟内存是分配在系统盘的,如果把虚拟内存分配在其他卷上,那你就要给那个卷Everyone的读、写权。ASP文件的运行方式是在服务器上执行,只把执行的结果传回最终用户的浏览器,这没错,但ASP文件不是系统意义上的可执行文件,它是由WEB服务的提供者----IIS来解释执行的,所以它的执行并不需要运行的权限。 

     经过上面的讲解以后,你一定对权限有了一个初步了了解了吧?想更深入的了解权限,那么权限的一些特性你就不能不知道了,权限是具有继承性、累加性 、优先性、交叉性的。 

      继承性是说下级的目录在没有经过重新设置之前,是拥有上一级目录权限设置的。这里还有一种情况要说明一下,在分区内复制目录或文件的时候,复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候,移动过去的目录和文件将拥有它原先的权限设置。 

      累加是说如一个组GROUP1中有两个用户USER1、USER2,他们同时对某文件或目录的访问权限分别为“读取”和“写入”,那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和,实际上是取其最大的那个,即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2,而GROUP1对某一文件或目录的访问权限为“只读”型的,而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的,则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得,即:“只读”+“完全控制”=“完全控制”。  

      优先性,权限的这一特性又包含两种子特性,其一是文件的访问权限优先目录的权限,也就是说文件权限可以越过目录的权限,不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限,也就是说“拒绝”权限可以越过其它所有其它权限,一旦选择了“拒绝”权限,则其它权限也就不能取任何作用,相当于没有设置。 

      交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限,且所设权限不一致时,它的取舍原则是取两个权限的交集,也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”,同时目录A为用户USER1设置的访问权限为“完全控制”,那用户USER1的最终访问权限为“只读”。 

      权限设置的问题我就说到这了,在最后我还想给各位读者提醒一下,权限的设置必须在NTFS分区中才能实现的,FAT32是不支持权限设置的。同时还想给各位管理员们一些建议: 

      1.养成良好的习惯,给服务器硬盘分区的时候分类明确些,在不使用服务器的时候将服务器锁定,经常更新各种补丁和升级杀毒软件。 

      2.设置足够强度的密码,这是老生常谈了,但总有管理员设置弱密码甚至空密码。  

      3.尽量不要把各种软件安装在默认的路径下 

      4.在英文水平不是问题的情况下,尽量安装英文版操作系统。  

      5.切忌在服务器上乱装软件或不必要的服务。 

      6.牢记:没有永远安全的系统,经常更新你的知识。 

    展开全文
  • 权限设定

    2018-10-26 20:10:40
    文件权限 1.文件权限存在的意义 系统最底层安全设定方法之一保证文件可以被可用的用户做相应操作 2.文件权限的查看 ls -l file ##查看文件属性 ls -a ##查看详细属性 ls -ld dir ll file ll -d dir 3.文件...

    文件权限

    1.文件权限存在的意义

    系统最底层安全设定方法之一保证文件可以被可用的用户做相应操作

    2.文件权限的查看

    ls -l file ##查看文件属性

    ls -a ##查看详细属性

    ls -ld dir

    ll file

    ll -d dir

    3.文件权限的读取

    -普通文件,d 目录,c字符设备,b 块设备存储设备,s套接字,程序对外开放接口,没有就交互不了,l软连接,快捷方式

    例如:

    mkdir text 6

    touch text/1 6+8=14

    -|rw-rw-r--| 1 |kiosk | kiosk | 0 | Jul 21 09:18 | file

    "-":文件类型

    "rw-|rw-|r--" :文件读写权限

      1   2   3

    1.[u] 文件拥有者对文件能做什么操作

    2.[g] 文件所有组对文件能做什么操作

    3.[o] 其他人对文件能做什么操作

    "1":  对文件:文件内容被系统记录的次数

            对目录:目录中文件属性的字节数

    "kiosk ":文件的所有人

    "kiosk ":文件的所有组

    "0":   对文件:文件大小

            对目录:目录中子文件元数据(matedate可以理解为文件的属性)大小

    "Jul 21 09:18":文件最后一次被修改的时间

    "file":文件的名称   ls -lR /mnt递归看

    4.如何改变文件的所有人和所有组

    chown|chgrp

    chown username file|dir            ##更改文件的所有人

    chown user.group file|dir          ##更改所有人所有组

    chown -R user  dir                   ##更改目录本身及里面所有内容的所有人

    chgrp group file|dir                  ##更改文件的所有组

    chgrp -R group dir                  ##更改目录本身及里面所有内容的所有组

    chown -R user.group dir         ##更改目录本身及里面所有内容的所有组所有人 

    监控命令  watch -n 1 ls -lR /mnt

    5.如何改变文件的权限

    对权限的理解

    r:  对文件:是否可以查看文件中的内容 --->cat file

           对目录:是否可以查看目录中有什么子文件或者子目录 ---> ls dir

    w:对文件:是否可以改变文件里面记录的字符

          对目录:是否可以对目录中子目录或子文件的元数据进行更改

    x:对文件:是否可以通过文件名称调用文件内记录的程序

    注:对文件所在目录执行,非文件本身,不能进入,写的权限要建立在可执行之上,写只针对所有人u!

    更改方式

    chmod <u|g|o><+|-|=><r|w|x> file|dir

    chmod u+x /mnt/file1              ##给/mnt/file1的u添加可执行权限

    chmod g-r /mnt/file2               ##给g减可读权限

    chmod ug-r /mnt/file3             ##给ug减读权限

    chmod u-r,g+x /mnt/file4       ##给u减r权,g添加x权

    chmod -r /mnt/file5

    chmod o=r-x /mnt/file6          ##o权限为可读不可写可执行

    chmod ug=rwx,o=--- /mnt/file1

    chmod ugo=r和ugo+r 执行一致

    数字方式修改该文件权限

    rwx

    210

    r=4   w=2  x=1

    如: r-x|r--|--x  ==541

    chmod u=r-x,g=r--,o=--x  /mnt/file1

    chmod 541 /mnt/file1                ##两命令效果一致

    7=rwx  |  6=rw-  |  5=r-x  |  4=r--  |  3=-wx  |  2=-w-  |  1=--x  |  0=---

    系统默认权限的设定

    umask         ##查看系统保留权限默认为022

    umask 077  ##临时设定系统预留权限为077,只当前shell中生效

    补:默认保留022 。不同文件系统自己还会再保留不同。777-022-不同系统保留=实际值

    mask值

    在权限列表中mask表示能生效的权力值

    当用chmod减少开启acl的文件权限mask值会改变

    chmod g-rwx /mnt/westos            ##mask::---,改变了

    要恢复mask值

    setfacl -m m:rwx /mnt/westos

    watch -n 1 "ls -l /mnt; getfacl /mnt/westos"监控命令

    永久更改umask

    /umask 位置在60行左右

    vim /etc/profile ##系统配置文件

    59 if [ $UID -gt 199 ] && [ "id -gn" = "id -un" ]; then

    60 umask 002 ##普通用户的umask

    61 else

    62 umask 077 ##超级用户的umask

    63 fi

    注:-gt为g=u且大于199,超级用户0

    vim /etc/bashrc         ##shell配置文件

    70 if [ $UID -gt 199 ] && [ "id -gn" = "id -un" ]; then

    71 umask 002

    72 else

    73 umask 077

    74 fi

    以上两个文件umask设定值必须保持一致

    重启生效

    source /etc/profile

    source /etc/bashrc

    立即生效

    特殊权限

    1.sticky ##粘制位

    作用: 只针对目录生效,当一个目录上有sticky权限时 在这个目录中的文件只能被文件的所有者删除

    设定方式: chmod o+t dir

                      chmod 1xxx dir

    只能被所有者删除,只是目录,不可删除其他用户建立的东西

    chmod 3777 dir         ##可加,sticky+sgid 3xxx,或者6xxx(sgid+suid)等情况

    2.sgid ##强制位

    作用 : 对文件: 只针对与二进制可执行文件 当文件上有sgid时任何人执行此文件产成的进程所有组都是文件的所有组

                 对目录: 当目录上有sgid权限时任何人在此目录中建立的文件都属于目录的所有组,和文件建立者所在的组无关

    设定方式: chmod g+s file|dir

                       chmod 2xxx file|dir

    3.suid ##冒险位

    只针对与2进制可执行文件 当文件上有suid时任何人执行这个文件产生的进程都属于文件的所有人

    设定方式:chmod u+s file

                      chmod 4xxx file

    suid sgid 影响权限级身份上升或下降

    chmod775 降级过程,为了防止操作误删的等,可以提前把rm 放到指定位置,必要的话通过指定位置的rm 删除文件

    acl权限列表

    作用:让特定用户对特定文件拥有特定权限

    acl列表查看

    -rw-rwxr--+ 1 root root 0 Jul 21 15:45 file

           acl开启          ##当开启了,就看列表中的权限,和+前无关,即ls -l 能看到的权限是假的

    getfacl file            ##查看cal开启文件的权限

    file:file                  ##文件名称

    owner:root           ##文件拥有者

    group:root            ##文件拥有组

    user::rw-              ##文件拥有者权限

    user:kiosk:rwx     ##指定用户权限!!

    group::r--            ##文件拥有者权力

    mask::rwx          ##能赋予用户最大权力伐值

    other::r--            ##其他人的权限

    acl列表的管理

    setfacl -x <u|g>:<username|groupname> 文件|目录

    setfacl -m <u|g>:<username|groupname>:权限 文件|目录

    setfacl -m g:group:rwx file            ##设定user对file 的权限

    setfacl -m g:group:rwx file           ##设定group组成员对file 的权限

    setfacl -x u:username file            ##从列表删除用户

    setfacl -x g:group file                  ##删除组

    setfacl -b file                              ##关file的acl列表

    x只是踢除 b把列表关闭 +表示列表开启

    acl的默认权限

    acl权限只针对设定完成之后新建立的文件或目录生效,而已经存在的文件是不会继承默认权限,对于目录本身也无效

    setfacl -m d:u:student:rwx /mnt/westos

    setfacl -k /mnt/westos          ##退出默认权限

    强制退出保存,原来不可读的文件就被删了,只是名字一样而言,虽然对文件不可写,但对文件所在容器可读写,查看文件节点号

    练习题:假设系统有两个帐号,alex和arod,这两个人除自己用户组外还共同支持project用户组。假设这两个用户需要共同拥有/srv/ahome/目录的使用权,且该目录不许其他人进入查看。请设置权限

    首先建立监控命令,方便实时查看设定变化

    watch -n 1 "tail -n 3 /etc/passwd /etc/group"

    建立project组,alex和arod用户

    共同支持project组

    将project设为/srv/ahome/目录的用户组

    改变权限,将建立的文件自动归属到project组

    测试:arod把alex创建的文件删除并新建文件

     

    补充:新建用户admin,开启acl权限,赋予对/srv/ahome/目录rwx权限,可以看到其可以将arod建立的文件删除并建立新的文件file,使用命令setfacl -x u:admin /srv/ahome/ 关闭admin对目录的默认权限,再次登陆admin用户,发现新建文件被禁止!

     

    展开全文
  • Windows下权限设置详解

    2019-08-06 12:24:31
    要打造一台安全的WEB服务器,那么这台服务器就一定要使用NTFS和Windows NT/2000/2003……  随着动网论坛的广泛应用和动网上传漏洞的被发现以及SQL注入...其实,只要你弄明白了NTFS系统下的权限设置问题,我们可...
  • 权限设置

    2019-05-05 09:00:41
    开发工具与关键技术: Visual Studio 权限 作者:黎凤焕 撰写时间:2019年 5 月 4 日 当学习完后,你会发现,学习了整整一个系统,都离不开表格的使用,同是layui 的表格,知识点却千变万化,由浅到深,深入浅出的...
  • 角色权限 角色权限 菜单权限的问题解决: 目前,发现设置角色到菜单根目录,该角色能看到,但是到下级菜单不准确。 比如: 1.设置了普通用户-参数设置,普通用户,打开是403. 2.设置了普通用户-字典-列表,...
  • gitlab权限设置

    万次阅读 2018-07-02 13:31:53
    gitLab安装可以参考上一篇:https://blog.csdn.net/vtopqx/article/details/80859962之后需要进行相应的成员权限设置,权限主要包括几个基础的,1、添加成员;2、给成员设置分支权限;1) 用管理员登录2) 选择项目...
  • 一、在Gitlab页面里,点击Project,找到指定的Project里; ... ...三、点击Protected Branches,可以给Project的分支设置是否受保护,如果受保护,除了master权限的人员,其余人都不可以push、delete等操作。
  • 昨天安装了一个原型的客户端软件mindmanager,但是发现不是免费的,于是...发现提示语:您没有权限查看或者编辑这个对象的权限设置 于是百度这个问题,发现没有解决方法,然后在一个博客文章里找到方法,说注销一下就
  • Linux中的特殊权限s、t、i、a

    万次阅读 2015-07-28 13:59:08
    设置s权限时文件属主、属组必须先设置相应的x权限,否则s权限并不能正真生效(c h m o d命令不进行必要的完整性检查,即使不设置x权限设置s权限,chmod也不会报错,当我们ls -l时看到rwS,大写S说明s权限未生效...
  • gitlab 权限设置

    万次阅读 2018-03-02 08:58:09
    1、创建账户,选择合适的权限,如下是普通账户的推荐选项2、设置权限,如果没有推送权限进行如下设置3、注意,在搭建好gitlab后要关闭注册账号的功能,否则可以通过gitlab自行注册账号...
  • 二、点击Members,可以添加人员,并给指定的人员设置权限。...三、点击Protected Branches,可以给Project的分支设置是否受保护,如果受保护,除了master权限的人员,其余人都不可以push、delete等操作。
  • JIRA权限管理设置

    万次阅读 2017-10-19 15:12:54
    JIRA权限管理设置
  • ftp三种用户权限设置

    万次阅读 2018-09-09 19:52:18
    修改配置文件vsftpd.conf Vi /etc/vsftpd/vsftpd.conf 修改匿名用户为禁止 2在禁止登录名单里删除root vi /etc/vsftpd/user_list vi /etc/vsftpd/ftpuser 然后按dd删除root ...在/etc/vsftpd目录下创建一个...
  • ftp 文件、文件夹权限设置

    万次阅读 2018-03-24 10:56:52
    FTP登录 ,为了安全需要会给文件、文件夹设置权限,一般会使用到777, 755, 644 个人理解(总觉得有点怪怪的),如错,请多多补充哦~~~~777:所有者可读可写可执行775:与文件所有者同属一个组的其他用户可读可执行...
  • 近期在使用一些软件时,引起部分文件夹无法删除和操作,在“右键-属性-安全-高级-权限 ”中无法取得权限。如图所示: 解决方案:开始菜单-注销
  • 怎么在mac上更改移动硬盘的权限

    万次阅读 2015-06-23 11:02:57
    在Mac上插入移动硬盘时会出现以下情况, 也就是只能把硬盘里的东西读到本本上,不能把本本上的东西写入硬盘。 ...(如果有重要内容,记得先备份)但是这样你抹掉的磁盘在...方法2:也是在磁盘工具里,把格式设置为M
  • 权限简介 Linux系统上对文件的权限有着严格的控制,用于如果相对...每个文件都可以针对三个粒度,设置不同的rwx(读写执行)权限。通常情况下,一个文件只能归属于一个用户和组, 如果其它的用户想有这个文件的权限...
  • linux 设置读写执行权限

    万次阅读 2018-12-05 15:31:00
    sudo chmod -R 777 /var/emmweb/ -R 文件夹以及文件夹下面所有的子文件夹 777 读写执行 /var/emmweb/ : 操作的文件夹 以上如果没完成任务可扫左边的公众号二维码回复[110],联系播主协助...
1 2 3 4 5 ... 20
收藏数 1,176,876
精华内容 470,750
关键字:

权限设置