Permissões - O terror de muitos admins

By: Eduardo Almeida- 18/6/2011
Em: Server side, Segurança - Comentários: 3 - Leituras: 3679

Hoje em dia, muitos administradores de servidores e afins pesquisam sobre novas vulnerabilidades e novos tipos de ataques.

O que muitos não sabem, é que grandas ataques, e muitas das vezes devastadores, são originados por vulnerabilidades e más práticas bem antigas.

Recentemente foram reportados ataques a diversos servidores conhecidos (ex.: Locaweb) através de táticas bem "pré-históricas", "a exploração de permissões" em diretórios de hospedagem web bem como no disco todo.

Aproveitando a oportunidade, vou falar uma pouco sobre "PERMISSÕES".

Permissões e descritores de segurança

Todo recipiente e objeto da rede possui um conjunto de informações sobre o controle de acesso anexado a ele. Denominadas descritores de segurança, essas informações controlam o tipo de acesso permitido a usuários e grupos.

O descritor de segurança é criado automaticamente junto com o recipiente ou objeto. Um arquivo é um exemplo comum de um objeto com um descritor de segurança. As permissões são definidas em um descritor de segurança do objeto. Elas são associadas a usuários e grupos específicos, ou a eles atribuídas.

Por exemplo, para o arquivo Temp.dat, ao grupo interno Administradores podem ser atribuídas as permissões Ler, Gravar e Excluir, enquanto ao grupo Operadores de backup podem ser atribuídas apenas as permissões Ler e Gravar.

Cada atribuição de permissões a um usuário ou grupo é representada no sistema como uma entrada de permissão ou entrada de controle de acesso (ACE). O conjunto todo de entradas de permissão em um descritor de segurança é conhecido como conjunto de permissões ou lista de controle de acesso (ACL). Portanto, para um arquivo denominado Temp.dat, o conjunto de permissões inclui duas entradas de permissão, uma para o grupo interno Administradores e outra para o grupo Operadores de backup.

Todo recipiente e objeto da rede possui um conjunto de informações sobre o controle de acesso anexado a ele. Denominadas descritores de segurança, essas informações controlam o tipo de acesso permitido a usuários e grupos. As permissões são definidas em um descritor de segurança do objeto. Elas são associadas a usuários e grupos específicos, ou a eles atribuídas.

Permissões explícitas e herdadas

Há dois tipos de permissão: permissões explícitas e permissões herdadas.

• As permissões explícitas são aquelas definidas por padrão em objetos que não são filho quando o objeto é criado ou por ação do usuário em objetos pai, filho ou que não são filho.
  
  
• As permissões herdadas são as propagadas até um objeto a partir de um objeto pai. As permissões herdadas facilitam a tarefa de gerenciar permissões e garantir a consistência das permissões em todos os objetos de um determinado recipiente.

Por padrão, os objetos de um recipiente herdam as permissões desse recipiente ao serem criados. Por exemplo, quando você cria uma pasta denominada MinhaPasta, todas as subpastas e todos os arquivos criados nela herdam automaticamente as suas permissões. Portanto, MinhaPasta possui permissões explícitas e as subpastas e os arquivos terão permissões herdadas.

Para proteger um computador e seus recursos, leve em consideração os direitos a serem concedidos aos usuários. Você pode proteger um ou vários computadores, concedendo direitos de usuário específicos a usuários ou grupos. Você pode proteger um objeto, como um arquivo ou uma pasta, atribuindo permissões que permitam que usuários ou grupos executem ações específicas nesse objeto.

Qualquer arquivo, pra que possa ser executado, ele deverá ter "permissões" para o mesmo.

Todo arquivo, pra ser executado, deverá ser executado por algum usuário do sistema operacional.

Os servidores web (IIS, Apache, Nginx, etc), precisam usar um usuário do sistema operacional para servir conteúdo para web.

Exemplo de política de Permissões

• fazer um comentário (3)
• avaliação

Comentários