你如何决定允许用户控制什么? 有了一个特定的function(例如,设置文件夹上的共享,在电子邮件中附加某些文件types,安装USB设备)是否有最佳做法规则来帮助衡量风险与奖励? 其次,你是否默认locking某些东西,直到被要求/要求,或者允许什么东西被允许,直到出现问题? 如果它不是全部或者另一个,那么是什么指导你决定设置哪个默认值?
我想recursion地chmod一个目录,以便: 文件是0664 目录是0775 如何做得更好,更短,更有爱好者? :)也许,以某种方式使用umask? 所有find解决scheme太长:我总是以复制粘贴结束:)
我一直在试图清理几个盒子上的权限,一直在淘chmod的人以及所有的互联网文档,我没有任何运气处理 – 所以在这里,我们走了。 基本上,我有一个目录与许多子目录和文件 – 我想设置以下权限: 对于目录:770(u + rwx,g + rwx,o-rwx) 对于文件:660(U + rw,g + rw,ax,o-rw) 如果可能的话,我想尝试使用单个recursionchmod来做到这一点 – 以避免recursion通过每个目录和设置逐个文件的权限。 我想有没有必要写一个我自己的shell脚本来做到这一点 – 但我一直没能find任何东西。 我感谢您的帮助!
这与物理安全漏洞有些相关。 考虑一下运行所有防火墙和其他安全措施的Linux服务器。 但是,如果有人物理访问服务器,他可以简单地清除机器中的现有Linux(使用OS CD / DVD格式化系统或在该位置安装新的操作系统)。 这样的事情可以通过妥善保护服务器机器来防止。 但是,我的问题是, 作为一个软件 ,Linux可以阻止这种事情吗? 例如,我通常喜欢有一些参数 (由pipe理员设置),可以防止操作系统更换。 为了实际replace操作系统,pipe理员必须取消该参数 。 编辑 根据@David Schwartz的评论,对环境的简要描述: 这不是一个像锤子,锯子和其他危险工具移动的战争状态:) 该机器无法被物理replace 机器的底盘可以打开,所有这些东西都可以完成 – 但这也不太可能 我们所讨论的环境是有人不小心在短时间内进入机器的物理位置,并试图消除操作系统。 是的,CD / DVD光盘在那里。 此外,我不关心是否有备份,或者是否可以阅读我的内容。 我唯一担心的是他可能会中断我的服务。 最后的评论 感谢所有的答案(和低语)。 目的是要知道这种机制是否存在或可能存在。 我认为这个答案是消极的。 不知道这可能是未来的研究问题。
我正在为混合的OS X / Windows环境testingWindows Server 2008 R2打印服务器。 我为打印服务器上的打印机设置的任何安全权限(AD组)都不符合OS X客户端的要求。 只有当我绝对删除给定的打印机的所有权限将OS X客户端不打印到该打印机。 Windows客户端按照预期授予权限。 当非特权Windows客户端尝试打印时,PrintService日志不会logging任何活动,并且在非特权OS X客户端尝试打印时logging典型的打印作业。 有没有人遇到过这个问题,并有解决? 有600-700个客户端,其中有一些是双启动的,用IP地址限制是不可行的。 编辑:作业肯定会通过打印服务器,他们出现在与他们的AD凭据的日志。
我的目标是为KVM访客build立一个9p共享的完全写访问权限。 主机和来宾都具有相同的用户/组具有相同的ID。 主机和客人都应该能够写入共享使用相同的用户名,我不想区分是否由主机或客人写的文件。 kvm进程以root身份运行 – 我在/etc/libvirt/qemu.conf中设置了user和group 。 在主机的访客定义中,共享定义如下: <filesystem type='mount' accessmode='passthrough'> <source dir='/mnt/storage/data'/> <target dir='data'/> <address type='pci' domain='0x0000' bus='0x00' slot='0x06' function='0x0'/> </filesystem> 在来宾中,共享被安装为: mount -t 9p -o rw,trans=virtio,version=9p2000.L,msize=262144 data /mnt/data 问题是guest虚拟机中的root用户无法写入主机上的非root用户拥有的文件/文件夹。 更奇怪的是,客人的根可以重命名和删除这些文件。 也就是说,当我在主机上创build一个非root用户的文件时,我无法编辑它作为客户的根目录,即使我可以重命名和删除它! 我还发现,在非root用户下的主机上创build的文件夹的权限设置为777时,guest虚拟机的根可以写入(即在其中创build文件)。 但是,这并不适用于文件 – 无论权限如何,它们仍然无法编辑。 主机和客户机都运行Linux服务器3.2.0-4-amd64#1 SMP Debian 3.2.51-1 x86_64 GNU / Linux。 在Debian中,SELinux默认是禁用的,我没有启用它。 我尝试了所有三种可用的9p访问模式( passthrough , mapped和squash ) – 没有区别。 只是想知道是否有什么我可以调整来得到它的工作,还是只是一个错误? 请注意,这里报告了类似的问题: […]
我们正在越来越多的外部开发者(来自不同的客户),并开始需要一个更好的策略,而不是添加到我们的服务器,并添加到我们的公司组(它拥有/ var / www /我们的工作空间中的一切) 最好的解决scheme是能够嵌套组,所以如果我可以@ourcompany将所有成员的组@ourcompany。 ourcompany:xxx:john,joe,bob guestcompany:xxx:guest1,guest2,@ ourcompany 但这不可能。 我正在做一个模板系统的思路,在那里我做一些简单的sed的东西来取代和创build一个新的/ etc /组 (我不希望guestcompany:xxx:guest1,guest2,john,joe,bob的原因是因为如果我们添加或删除我们公司的人员,而不是有人需要通过,并确保一切都更新,这可能会下降closures边缘) 我想下一个合乎逻辑的步骤是ACL,但是从我过去的经验来看,他们有点麻烦,所以我只想看看你们是否有其他解决scheme。
我有一个用户以外的pipe理员组。 如何授予该(特定)用户的服务控制pipe理员访问权限? 就像下面链接的SC_MANAGER_ALL_ACCESS一样: http://msdn.microsoft.com/en-us/library/windows/desktop/ms685981%28v=vs.85%29.aspx
我想在Windows上设置OpenSSH来提供SFTP站点。 我遇到了用户安全设置的一些问题。 以下是我创build用户的基本步骤: 在主机上创build一个新用户 添加用户以调整文件path为cygwin openssh passwd文件指向客户端的主文件夹(例如:/ cygdrive / e / homefolders /用户名) 允许用户读/写访问他们的文件夹 我遇到的问题是用户需要对OpenSSH程序文件夹具有执行权限才能login。 我发现我可以禁止访问特定的文件夹,如“等”,但我担心我必须在这里提供权限。 当使用FileZilla时,我显示了一个文件夹层次结构“/ cygdrive / e / homefolders / username”,并且可以浏览“/”到具有读权限的文件夹。 有没有一个具体的策略,我应该用这个安装适当的安全? 一个特定的文件或文件夹,我可能需要提供执行权限,但没有更多? 我想完全locking除了自己的文件夹读/写访问权限,但似乎不可能。
这是我最初询问计算机帐户的一个问题的概括。 我问: 当为“Everyone”设置Windows权限时,这些权限是否适用于计算机帐户(又名机器帐户),如MYDOMAIN \ MYMACHINE $? 还是说他们只适用于普通用户/团体? 但是,每个人意味着什么的问题都应该得到一个完整的,一般的答案 – 理想情况下,对于不是Windows权限的深入专家的人来说,这个问题是有意义的。 (截至今天,我发现很难通过浏览Google结果的前几页来获得对每个人的良好理解。) 似乎至less有一些微妙 – 例如,默认情况下,“匿名”的networking连接不包括在每个人。