مجوزهای فایل و فولدر در سرورها و وب

مجوزهای فایل و فولدر در سرورها و وب

اسلاید 1: مجوزهای فایل و فولدر در سرورها و وب کیانوش کیانی kianooshkiani@yahoo.com

اسلاید 2: سرفصل های ارائه مقدمهامنیت در وبمجوز و دسترسی در سیستم عامل لینوکسمجوز و دسترسی در سیستم عامل ویندوز سرورمجوز و دسترسی در وب

اسلاید 3: مقدمه چرا دسترسی به فایل و فولدر در وب اهیمت دارد ؟ ارایه دسترسی به کاربران حتی برای آپلود فایل در سرور می تواند کاری بسیار ریسک پذیر باشد. گرچه در برخی از موارد ممکن است این امکان ساده برای تغییر تصویر پروفایل کاربر نیاز باشد. خطر موجود در این امکان از آنجاست که هر فایل آپلود شده، گرچه به نظر ساده باشد، اما ممکن است اسکریپت های مخربی را شامل شود که با اجرای آن ها در سرور، درهای وب سایت شما بر روی هکر ها بازگردد و اطلاعات محرمانه شما در معرض سرقت قرار گیرند. در ضمن با مدیریت صحیح و ارائه مجوزهای منطقی به کاربران جهت بارگذاری فایل های خود حتی با کمترین حجم و کمترین اهمیت می توانیم از خطرات هک شدن سایت ، سرقت اطلاعات ، بارگذاری فایل های مخرب جلوگیری نماییم .

اسلاید 4: امنیت در وب اصولقبل از اينكه درباره مجوز های فایل و فولدر صحبت كنيم بايد بگويیم حمله اي كه به يك وب سايت انجام مي شود با حمله ويروس ها و كرم هاي اينترنتي متفاوت است.حمله به وب سايت ها يا هك كردن يك وب سايت زماني اتفاق مي افتد كه افرادي سعي مي كنند با هدف خرابكاري يا دسترسي يا سوء استفاده از اطلاعات ذخيره شده در سرور آن وب سايت به سايت مذكور نفوذ كنند.هر شخصي براي هك كردن وب سايت شما احتياج به يك ورودي حفاظت نشده دارد تا از اين طريق به سرور وب سايت شما نفوذ كند.اين ورودي ها سه محل هستند:1- كامپيوتر شخصي شما كه براي ارسال فايل هاي جديد به سرور (وب سايت) خود از آن استفاده مي كنيد.2- از طريق هر فرمي كه براي جمع آوري اطلاعات از بازديد كنندگان و كاربران استفاده مي كنيد.3- از محل فيزيكي و جاييكه سرور وب سايت شما قرار دارد.

اسلاید 5: البته هنوز حفره هايي از طريق ويروس و كرم ها براي نفوذ به وب سايت شما وجود دارد اما اين حفره ها در نرم افزارهايي كه بازديد كنندگان سايت شما براي مشاهده وب سايت استفاده مي كنند (مانند فايرفاكس، يا اينترنت اكسپلورر و ...) وجود دارند و نه در خود وب سايت.شما مي توانيد با استفاده از فاير وال مانع نفوذ و تكثير كرم ها در شبكه خود شويد و مي توانيد جلوي ويروسي شدن سرور ايميل خود را بگيريد. براي اين منظور بايد به كليه همكاران خود آموزش لازم را بدهيد و هميشه آخرين وصله هاي امنيتي را نصب كنيد.به عبارت ديگر اگر براي وب سايت خود يك سرور اختصاصي داريد و خود آنرا اداره مي كنيد بايد از آخرين دستاوردهاي فناوري هاي امنيتي بهره بگيريد و از افرادي كه چنين دانشي دارند براي حفاظت اطلاعات خود استفاده كنيد.بعد از همه اين حرفها بايد بگويم اوضاع آنقدر هم خراب نيست و با استفاده از روش هاي ساده و مداوم مي توانيد احتمال هك شدن وب سايت خود را تا حد زيادي پايين بياوريد. و حفره ها را تا حد امكان مسدود كنيد. سعي داريم در ادامه به آن خواهیم پرداخت .

اسلاید 6: بعد امنیتی کنترل دسترسی کنترل دسترسی از امکان استفاده غیرمجاز منابع شبکه جلوگیری می نماید. بعد کنترل دسترسی نشان می دهد که تنها افراد و یا ابزار مجاز، اجازه دسترسی به المان های شبکه، جریان داده­ها و استفاده از سرویس ها و کاربردها و نیز ذخیره و اصلاح اطلاعات را دارند.  همچنین کنترل دسترسی سطوح متفاوت دسترسی به شبکه را تعریف می نماید. سطوح متفاوت دسترسی به بخشهای دسترسی به منابع، کاربردها، استفاده از عملگرها، استفاده از اطلاعات ذخیره شده و جریان داده­ها تقسیم­بندی شود و بر اساس درصد مجاز بودن هرکس، هر کدام از آنها، قابل استفاده باشد. در این صورت اجازه دسترسی تنها در همان سطحی که تعریف شده است، داده خواهد شد و امکان اصلاح و تغییر اطلاعات و تنظیمات سایر بخشها وجود ندارد.  دسترسی بر اساس نام کاربری، کلمه عبور، شماره پورت مبدا، مقصد(ftp و telnet) نوع پروتکل شبکه­ای مورد استفاده(UDP،TCP)آدرس مبدا، مقصد و موقعیت درخواست­کننده فراهم می­شود و بر اساس این تنظیمات، فیلتر کردن بسته­ها در لایه­های سه تا هفت صورت می‌گیرد.  ابعاد امنیتی کنترل دسترسی و احراز هویت وابستگی نزدیکی به هم دارند زیرا با احراز هویت یک کاربر، اجازه دسترسی کاربر به منابع و اطلاعات صادر می شود به این ترتیب سطح دسترسی معلوم شده است.

اسلاید 7: مجوز و دسترسی در سیستم عامل لینوکس

اسلاید 8: مجوز و دسترسی در سیستم عامل لینوکس آشنایی با سیستم فایل در لینوکس سیستم فایل در لینوکس ساختاریست که داده ها را در خود نگه می دارد و مکانیزم و دستوراتی را برای ایجاد،دسترسی و تغییر فایل ها فراهم می کند.فایلها ساختار های منطقی هستند که داده ها در غالب آنها ذخیره می شود.فایل مجموعه ای از داده های ذخیره شده در هارد هستند. در لینوکس همه چیز فایل است حتی سخت افزار پیکربندی شده در روی سیستم.

اسلاید 9: دایرکتوری چیست در لینوکس دایرکتوری همان پوشه یا Folder در ویندوز است. فایل ها در غالب دایرکتوری ها دسته بندی می شوند. دایرکتوری ها از یک دید به دو دسته : دایرکتوری والد و دایرکتوری فرزند دسته بندی می شوند. دایرکتوری  فرزند درون دایرکتوری والد قرار می گیرد. در کل هر دایرکتوری که درون دایرکتوری دیگر باشد زیر دایرکتوری یا Subdirectory گویند . ساختار سلسله مراتبی دایرکتوری ها و زیر دایرکتوری ها تشکیل یک درخت را می دهد. هر درختی یک ریشه دارد اما ریشه  درخت های کامپیوتر در بالای درخت قرار دارند. بطور مثال در ویندوز می توانیم سه درخت داشته باشیم( سه درایو) که نام ریشه های آنها C,D,E باشد. اما در لینوکس ها تنها و تنها یک درخت داریم. رشیه این درخت root نام دارد که با نماد / نشان داده می شود. (root به معنی ریشه است). Root بالاترین دایرکتوری است و بقیه دایرکتوری ها زیر این دایرکتوری هستند. برای پیمایش سیستم فایل باید از دایرکتوری root یا / شروع کنیم.

اسلاید 10:

اسلاید 11: شکل زیر یک نمای کلی از ساختار فایل در لینوکس را نشان می دهد.

اسلاید 12: سیستم فایل های رایج لینوکسext2,3,4 : ext از نسخه 2 شروع و در حال حاضر نسخه 4 آن قابل استفاده است. مزیت نسخه های 3و4 نسبت به نسخه 2 ویژگی journaling نسخه های 3و4 است. که اطلاعاتی برای Recovery را فراهم می کندIsofs : مورد استفاده CD/DVD هاProcfs و sysfs : سیستم فایل های منطقی که روی حاضه Ram قرار می گیرند. با خاموش شدن سیستم، این سیستم فایل ها از بین می روند و با دوباره روشن شدن، توسط کرنل در حافضه Ram ساخته می شوند. دایرکتوری هایی با همین نام ها در زیر دایرکتوری / قرار می گیرد که حاوی اطلاعاتی از سیستم هستند.NFS : سیستم فایل اشتراک دایرکتوری ها و فایل ها در شبکه.

اسلاید 13: دایرکتوری های مهم در لینوکس/ : دایرکتوری root و در بالاترین سطح قرار دارد.home/ : هر کاربر در این دایرکتوری یک دایرکتوری خاص خود را دارد.root/ : دایرکتوری به نام root زیر دایرکتوری / قرار دارد که دایرکتوری خانگی کاربر root است.etc/ : فایل های پیکربندی سرویس ها و خود سیستم در این دایرکتوری است.var/ : شامل mail list هاvar/log/ : در زیر دایرکتوری /var/log فایل های Log قرار دارند.bin/ و sbin : /sbin مخفف binary ود ر این دایرکتوری ها به ترتیب دستور های عمومی و ویژه کاربر root قرار دارد.

اسلاید 14: قوانین نام گذاری فایل ها و دایرکتوری هالینوکس سیستم عاملیست که به کوچکی و بزرگی حروف حساس است .  یعنی filename  و FileName و FILENAME تفاوت دارند. می توانید از تمامی حروف و اعداد و کارکتر _(Underline) و کارکتر های خاص استفاده کنید ولی اگر نام یک فایل یا دایرکتوری شامل فضای سفید(Tab,Space) باشد، باید پیش از آن کارکتر خاص یک علامت / بیاورید. برای رفع این مشکل باید قبل فضای خالی از یک / استفاده شود و یا اینکه کل نام فایل یا دایرکتوری را بین دو ” قرار دهیم.نکته دیگر این است که همه چیز درلینوکس  فایل است حتی دایرکتوری ها پس نمی توان در یک جا فایل ها و دایرکتوری ها همنام داشت با توجه به اینکه فایل و دایرکتوری دو چیز متفاوت هستند سیستم حتماً به شما خطا می دهد که این نام وجود دارد.

اسلاید 15: چه چیزی در سیستم فایل وجود دارد از نگاه دیگر فایل سیستم ها به دو دسته تقسیم می شوند. سیستم فایل که داده های کاربران را ذخیره می کند. سیستم فایل که اطلاعات ساختاری مانند inode و superblock و دایرکتوری ها را ذخیره می کند که موسوم به Metadata هستند.Metadata ساختار سیستم فایل را توصیف می کنند. متداولترین آنها ، Superblock,inode و دایرکتوری ها هستند. تعریف inode :Inode یک ساختار داده ای بر روی سیستم فایل سیستم عامل های مبتنی بر لینوکس است ، سیستم فایل هایی مانند ext4 و UFS از این دسته هستند . Inode اطلاعات اساسی درباره فایل را ذخیره می کند.مفهموم Superblockبلاک ها برای دو هدف زیر استفاده می شوند 1- بلاک ها داده های کاربران را ذخیره می کنند. 2-  در سیستم فایل، برخی از بلاک ها Metadata ها را ذخیره می کنند.

اسلاید 16: مجوزها در لینوکس اگر شما بعنوان تنها کاربر در سیستم عامل لینوکس خود باشید متوجه شده اید که به برخی از فایل ها و دایرکتوری ها دسترسی ندارید یعنی نمی توانید یک فایل متنی را اصلا باز کنید (در این حالت دسترسی writ یا خواندن و دسترسی Read یا نوشتن را ندارید) و یا اینکه اگر فایل را هم باز کردید و محتویات آنرا خواندید و تغییراتی در آن هم دادید در نهایت شما نمی توانید تغییرات را ذخیره کنید ( در این حالت دسترسی Read را دارید اما دسترسی write را ندارید) یا اینکه اصلا نمی توانید دایرکتوری را باز کنید (در این حالت دسترسی writ یا خواندن و دسترسی Read یا نوشتن را ندارید) و یا اینکه اگر دایرکتوری را باز کردید نمی توانید یک دایرکتوری جدید در آن ایجاد کنید و یا دایرکتوری را حذف کنید( در این حالت دسترسی Read را دارید اما دسترسی write را ندارید).

اسلاید 17: انواع نشان ها در سیستم مجوزدهی در لینوکس :در لینوکس سه حالت یا mode دسترسی وجود دارد که به ترتیب read با علامت r و write با علامت w و execute با علامت x نشان داده می شوند. خروجی دستور ls در ۷ ستون نشان داده می شود که در این قسمت با مفهوم تعدادی از ستون ها اشنا شدیم اما بحث اصلی در مورد مجوزها مربوط به ستون نخست است که  از ۱۰ کارکتر تشکیل شده اند  همانطور که گفته شد کارکتر نخست تعیین کننده نوع فایل که در اینجا d یعنیdirectory است اما ۹ کارکتر دیگر چگونه هستند.۹ کارکتر بعدی در سه دسته سه تایی سازماندهی شده اند که دسته نخست معرف مجوز مالک و ایجاد کننده فایل است.دسته دوم معرف مجوز گروه اصلی که مالک فایل عضو آن است و دسته سوم مجوز دیگر افراد است پس با توجه به این توضیه سه نشان دیگر داریم که : مالک یا user با علامت u و گروه اصلی مالک یا group با علامت g و دیگر کاربران یا other با علامت o در سیستم مجوزدهی لینوکس مشخص می شوند.

اسلاید 18: مجوز دهی عددی (در سیستم اکتال) : منظور از سیستم اکتال یعنی اعداد از صفر تا ۷ است و به این صورت تعریف می شود که از راست به چپ x معرف عدد یک و w معرف عدد ۲ و r معرف عدد ۴ است که مجموع این سه عدد بیشتر از ۷ نخواهد شد اما چگونه از انها استفاده کنیم؟ خط زیر را در نظر بگیرید :rwxr-xr-xنتیجه : ۱ – دسته قرمز رنگ تعیین کننده مجوز کاربر یا مالک است که اگر سه عدد را با هم جمع کنیم عدد 7 حاصل می شود و چون هر سه مجوز را دارد یعنی هم می تواند فایل یا دایرکتوری را بخواند و هم در فایل یا دایرکتوری بنویسد و هم آنرا بعنوان یک فایل اجرایی ببیند. ۲ – دسته دوم می گوید که اعضای گروهی که مالک نیز عضو آن گروه است مجوز خواند و اجرایی بودن فایل را دارند اما نمی توانند بنویسند و اگر اعداد را در دسته دوم از چپ به راست با هم جمع کنیم : ۵=۱+۴ خواهد بود ۳ – برای دیگر کاربرن با توجه به دو نومنه بالا عدد ۵ را داریم ۴ – در دودسته دوم یک علامت – امده. این علامت هرگاه یکی از مجوز های w , r و یا x را نداشته باشیم جای انها می اید. ۵ – در نهایت مجوز داریرکتوری Desktop(در مثال خط اول) از سمت چپ به راست عدد 755 خواهد بود.

اسلاید 19: مجوزدهی نمادی : همانطور که در بالا گفتم سه نماد g , u و o به ترتیب معرف user یا مالک فایل group همان گروه اصلی کاربر و other به معنی دیگر کاربران است. به طور مثال ugo به این معنی است که همه در سیستم به فایل یا دایرکتوری مجوز دارند اما اینکه مجوز چگونه به این گروه داده می شود بصورت زیر است : برای استفاده از مجوزدهی یک نماد دیگر به نام all که با a نشان داده می شود وجود دارد. نماد a همان ترکیب ugo است و این دو یکسان هستند.اما چگونه مجوز دهیم: نماد + به معنی افزودن مجوز به مجوزهای کاربر است. مثلن u+rw به این معنی که user مجوز read و write دارد و یا ug+rw یعنی هم user و هم group مجوز read و write دارند.و یا u+w , ugo+r یعنی اینکه همه مجوز read دارند اما فقط user مجوز write دارد که این دستور را می توان به شکل u+w,a+r نیز نوشت و اینکه دو مجوز با کاما از هم جدا شدند. نماد – به معنی حذف یک مجوز از مجوز های موجود یک کاربر است. مثلا در مثال اخر داریم u+w,ug+r,o-r یعنی با o-r مجوز خواندان را نیز از دیگر کاربران گرفتیم. نماد = این نماد به این نعنی ایت که مجوز را به کاربر داده ایم.

اسلاید 20:

اسلاید 21: اشتراک سیستم فایل در لینوکس با NFS NFS که مخفف Network File System است بطور خلاصه امکانیست که اجازه می دهد تا یک سیستم فایل محلی قابل mount شدن توسط دیگر سیستم ها در شبکه باشند.در ارائه سرویس NFS هیچ محدودیتی در نوع کاربرد سیستم نیست یعنی در یک شرکت با 100 سیستم نباید حتمن یکی از آنها بعنوان سروردهنده NFS باشد و مابقی از آن سرویس بگیرند بلکه هرکدام از این سیستم ها می توانند نقش سرویس دهنده NFS را داشته باشند و دیرکتوری ها و فایل های خود را به اشتراک بگذارند.NFS چگونه کار می کند : تمامی نسخه های NFS از پروتکل TCP استفاده می کنند.NFSV2 امروزه کمتر استفاده می شود اما NFSV3 و NFSV4 بسیار کاربرد دارند.NFSV4 بواسطه فایروال برروی اینترنت کار می کند و همچنین از ویژگی ACLکه نیز پشتیبانی می کند.NFSV2 و NFSV3 از پروتکل UDPنیز می توانند استفاده کنند.فایل etc/exports/ بخش اصلی تنظیم NFS است که فهرستی از دایرکتوری های اشتراکی را در خود نگه می دارد.در این فایل تعیین می شود کدام دایرکتوری ها و با چه مجوز هایی از ماشین باید برای چه کسانی و با چه مجوز هایی اشتراک گذاشته شوند.

اسلاید 22: قفل کردن فایل ها : در اوایل سرویس های NFS بصورت Stateless بودن یعنی توانایی ثبت و نگهداری تاریخچه ای از فعالیت ها و اینکه کدام فایل تو سط کدام ماشین ها و کاربران راه دور استفاده شده اند را نداشتند.هر چند اینکه این اطلاعات و تاریخچه ها برای قفل کردن فایل ها لازم هستند.یک راه حل برای این مشکل بکار بردن ابزار های مجزا از NFS مانند statd و lockd برای قفل کردن فایل هاست که در NFSv2 و NFSv3 استفاده می شوند. اما NFSv4 ویژگی statful را که نان دهنده مبتنی بودن بر حالت و نگه داشتن تاریخچه ای از فعالیت ها را به همراه خود دارد. NFSv4 مبتنی بر حالت است و هم برروی کلاینت و هم برروی سرویس دهنده اطلاعاتی را نگه می دارد مانند کدام فایل ها باز هستند و کدام ها قفل شده اند. این اطلاعات در صورتی که سروبس دهنده دچار مشکل شوند برای رفع اشکال سرویس دهنده میان آنها رد و بدل خواهد شد.

اسلاید 23: امنیت :سه گونه اهراز هویت وجود دارند :AUTH-NONE : بدون اهراز هویتAUTH-SYS : مبتنی بر حالت اهراز هویت لینوکسی یعنی استفاده از UID و GIDRPCSEC-GSS : صحت و درستی/ محرمانه بودن اهراز هویت با مکانیزم هایی مانند Kerberos بصورت معمول شیوه AUTH-SYS استفاده می شود که سیستم سنتی لینوکس با استفاده از UID و GID اختصاص دادن به هر کاربر است. UID برای هر کاربر یکتا بوده و در سیستم تکراری نمی باشد و GID هم در سیستم یکتاست اما می تواند به چندین کاربر اختصاص داده شود یعنی اینکه چندین کاربر عضوی از گروه با شناسه 50 بوده که GID معرف گروه اصلی کاربر است که حتمن هر کاربر در هنگام ایجاد یک گروه اصلی دارد و بصورت پیش فرض نام و شناسه این گروه برابر با نام و شناسه کاربر است

اسلاید 24: اطلاعات کاربری : دستور whoami نام کاربری شما را نشان می دهد. دستور who چه کسانی بر روی سیستم هستند. دستور w چه کسانی بر روی سیستم هستند و چه فعالیت هایی دارند. دستور last اخرین فعالیت شما را در سیستم نشان می دهد ( ورود و خروج به سیستم ) این دستور به صورت پیش فرض اطلاعات شما را نشان می دهد اما بصورت last username اطلاعات کاربر تعیین شده را نشان می دهد.متغیر های محیطی : شل bash دارای متغیر های محیطی است که برای هر کاربر اطلاعات مربوط به آن کاربر را نگه می دارد. مانند دستور های زیر ( دستور echo برای چاپ کردن مقدار متغیر ها ) آنها را اجرا و خروجی را مشاهده کند.

اسلاید 25: فایل های کاربری : این فایل ها در دایرکتوری خانگی ما و بصوورت مخفی (شروع با dot) هستند که می توان به فایل های bashrc که برای ذخیره سازی متغیر های محیطی و نام های مستعار به کار برد.این فایل در هنگام ورود به سیستم یا اجرای یک خط فرمان خوانده می شودbash_logout با قطع ارتباط از یا خروج از bash اجرا شده و بطور پیش فرض صفحه نمایش را پاک می کند.bash_profile در ارتباط با فایل bashrc و و چند متغیر محلی را تنظیم میکند و فایل bashrc را اجرا می کند.

اسلاید 26: دستور های adduser و passwd نیاز به سطح کاربر ریشه دارند.ایجاد یک حساب کاربری(اکانت)جدید: لینوکس برای به هر کاربر یک شناسه و نام کاربری مخصوص داده می شود.هر کاربر در غالب گروه یا گروه هایی دسته بندی خواهتد شد تا از منابع و فغایل های گروه استفاده کنند. به هر کاربر یک دایرکتوری خانگی و یک شل پیش فرض به آن داده می شود.دستور useradd در لینوکس برای ایجاد کاربر ایجاد کاربران استفاده می شود که دارای تعدای گزینه برای همین اطلاعات پیش فرض استفاده می شود که مهمترین آنها بصورت زیر هستند : c- : شرح اطلاعات اکانت جدید که اغلب نام کامل شخص است. d- : معین کننده دیرکتوری اصلی که معمولا همان دایرکتوcmری خانگی است. e- : تاریخ انقضای اکانت یا expire -g : معین کننده گروه اصلی برای کاربر که اغلب شما در گروهی با نام کاربری خود خواهید بود. G- : تعیین دیگر گروه های اکانت که گروه ها با کاما از هم جدا می شوند. p- : تعیین کننده پسورد که باید بصورت کدگذاری شده باشد.(در ادامه با دستوری آشنا خواهیم شد که پسورد کدگذاری شده را ایجاد می کند و بهتر از این دستور پس از ایجاد اکانت استفاده شود). u- : شناسه کاربر را تعیین می کند که اگر استفاده نشود یک بصورت خودکار عدد به کاربر داده می شود.معمولا یک عدد پیش فرض وجود دارد که با ایجاد هر کاربر جدید یکی به این عدد اضافه می شود و به کاربر جدید داده می شود.

اسلاید 27: ایجاد و حذف یک گروه جدید و افزودن کاربر به آن  : دستور groupadd برای ایجاد یک گروه جدید یکار می رود و دستور groupdel برای حذف یک گروه از سیستم. به ازای ایجاد یک گروه یک خط در فایل group ایجاد می شود.فایل shadow :در فایل های passwd و group در فیلد password یک علامت x قرار می گیرد که اشاره به پسورد ذخیره شده در فایل shadow دارد.فایل shadow در مسیر etc/ قرار دارد و هر خط آن شامل یک کاربر یا گروه است.فیلد 1 – (User name) : نام کاربری که با آن Login می کنید.فیلد 2 – (Password) : گذرواژه رمز شده.فیلد 3 – (Last password change) : زمان  آخرین باری که گذرواژه تغییر کرده است.فیلد 4 : (Minimum) : حداقل تعداد روز هایی که لازم است برای تغییر گذرواژه.فیلد 5 – (Maximum) : حداکثر تعداد روزهایی که گذرواژه معتبر است(این زمان تعداد روز هایی را مشخص می کند که یک کاربر باید گذرواژه اش را از زمانی که مجبور به تغییر دارد را تعین می کن و باید تا قبل این زمان حتمن اقدام به تغییر گذرواژه خود کند).فیلد 6 – (warned) : تعداد روز هایی که تا قبل اینکه گذرواژه منقضی یا Expire شود.

اسلاید 28: انواع کاربر ها :در لینوکس دو نوع کاربر وجود دارد : کاربران سیستمی که دارای گذرواژه نیستند و نمی توانند به سیستم Login کنند و تنها برای مدیریت سرویس ها استفاده می شوند. بطور مثال با نصب اوراکل یک کاربر سیتمی به نام oracle ساخته خواهد شد که پایگاه داده اوراکل را مدیریت می کند. معمولا دارای UID زیر 100 هستند.کاربرانی که دارای گذرواژه بوده و می توانند به سیستم وارد شوند.(مثل من و شما)

اسلاید 29: مجوز و دسترسی در سیستم عامل ویندوز سرور

اسلاید 30: مجوز و دسترسی در سیستم عامل ویندوز سرور ویندوز سرور 2008 در یک نگاه ویندوز سرور 2008 پیشرفته ترین سیستم عامل ویندوزی است و به منظور افزایش قدرت نسل جدید شبکه ها، برنامه های کاربردی و خدمات وب طراحی شده است. با استفاده از ویندوز سرور 2008 شما قادر خواهید بود خواسته ها و تجربیات گرانقدر کاربران خود را توسعه، انتقال و مدیریت نموده، زیر ساخت شبکه بسیار امنی فراهم آورده و ارزش و اثربخشی تکنولوژی در سازمان خود را افزایش دهید. گرچه ویندوز سرور 2008 برمبنای توانایی ها و تجارب موفق ویندوزهای سرور قبل از خود ساخته شده است اما ویژگی های ارزشمند جدید و پیشرفت های چشمگیری نسبت به سیستم عامل های پیش از خود نشان می دهد. ابزارهای وب جدید، فن آوری محیط های مجازی، افزایش امنیت و ابزارهای مدیریت در ویندوز سرور 2008؛ صرفه جویی در وقت، کاهش هزینه و فراهم نمودن چارچوبی یکپارچه برای زیرساخت فن آوری سازمان به ارمغان آورده اند.

اسلاید 31: اکتیو دایرکتوری کاربران سرویس و قابلیتی بر روی سیستم های ویندوزی شرکت میکروسافت است که امکان مدیریت اجزای شبکه نظیر کاربران ، قوانین و سیاست ها و .. را به مدیران شبکه و همچنین کاربران آن می دهد . شما در اکتیو دایرکتوری یوزرهای موجود در شبکه را تعریف کرده و قوانینی روی انها اعمال میکنید و شبکه خود را مدیریت میکنید . سروی که دامین مورد نظر شما را مدیریت میکند Domain Controller نامیده میشود ، یعنی این سرور حاوی تمامی اطلاعات مدیریتی میباشد . در شبکه ای مبتنی بر دامین هنگامیکه سیستم عامل کاربران بالا می آید آنها یوزر نیم و پسورد تعیین شده را وارد کرده و این اطلاعات به سمت سرور اکتیو دایرکتوری مربوط به دامین رفته و در صورت صحیح بودن اطلاعات کاربری اجازه ورود کاربر به سیستم عامل خود را خواهد داد قوانینی هم که مدیر شبکه بر روی سیستم عامل کاربران شبکه وضع کرده هنگام ورود کاربران اعمال میشود به عنوان مثال مدیر شبکه اجازه اجرای برنامه را به شما نداده . این قانون هنگام ورود شما به سیستم بعد از وارد کردن رمز عبور و تایید آن بر روی سیستم شما اعمال میشود . از اجزای مهم اکتیو دایرکتوری به DNS و DHCP میتوان اشاره کرد که در بخش مقالات در مورد آن توضیح داده شده است .

اسلاید 32: اکتیودایرکتوری بوسیله دامین کنترولر مدیریت میشود . هنگامی که یک دامین کنترلر (Domain controller) را نصب و پیکربندی می کنید، اکتیودایرکتوری تشکیلات بسیاری را برایتان نصب می نماید و به شما امکان ساخت و مدیریت انواع مختلف اشیاء را می دهد. در واقع اکتیودایرکتوری یک پایگاه داده مرکزی است که در آن اشیاء مختلفی از جمله حسابهای کاربری ، حسابهای کامپیوتری ، گروه ها ، OU ها و غیره ذخیره می شوند. محتوی اشیاء اکتیو دایرکتوری اطلاعات لازم برای شیء از جمله توصیف ها ، حقوق file system ، شاخص های امنیتی ، حقوق application و اطلاعات پوشه ها را شامل می شود. 

اسلاید 33:

اسلاید 34: بسیاری از وظایفی که توسط کنسول Active Directory Users and Computers انجام می شود شامل موارد زیر می باشد:اضافه کردن کاربر جدید در اکتیو دایرکتوریتغییر پسوردهای کاربرانواگذاری حقوق خاصی به فایل سرورهااجازه remote access به شبکهتنظیم login and logout script هاساختن گروه های امنیتی (security groups)

اسلاید 35: سطوح دسترسی در اکتیو دایرکتوری

اسلاید 36: انواع دسترسی در اکتیو دایرکتوری

اسلاید 37: تعاریف دسترسی های فایلFull Control: سطح بالای مجوز های full controll هستند. با این مجوز شما میتوانید هر کاری را روی فایل ها و فولدر ها انجام دهید. باید توجه داشته باشید ، کاربرانی که دارای این سطح دسترسی هستند، میتوانند کاربرانی را به گروه اضافه کنند .Modify : کاربرانی که دارای این سطح دسترسی هستند، همه مجوزها را دارند، ولی توانایی تغییر مجوزها رو ندارند.Read and Excute: کاربرانی که دارای این سطح دسترسی هستند، میتوانند محتویات یک فولدر را ببینند ، یک فایل رو بخوانند و اینکه بتوانند برنامه ها را اجرا کنند.List Folder Contetnts: کاربرانی که دارای این سطح دسترسی هستند،فقط میتوانند محتویات یک فولدر را لیست کنند و ببینند.Read : کاربرانی که دارای این سطح دسترسی هستند، میتوانند فقط محتویات یک فولدر یا فایل را بتوانند بخوانند ولی توانایی اجرا ندارند.Write: کاربرانی که دارای این سطح دسترسی هستند، میتونند به فولدر ها ، فایل و فولدر اضافه کنند، و میتوانند در فایل ها تغییر ایجاد کنند ولی مجوز حذف ندارند.Inherited Permision: زمانی ک شما یه فولدر میسازید و یک سری مجوز ها را به آن میدهید، و در ادامه یک سری فایل و فولد در آن میسازید، این فایل ها و فولدرها یک سری مجوز ها رو به خود میگیرند. ک این مجوز ها را از والد یا parent خود به ارث میبرند. گاهی این ارث بری میتواند یک سری پیچیدگی ها را در مجوزها بوجود  آورد ک میتوانیم این ارث بری رو بلاک کنیم و مجوزها به صورت uniqe یا واحد در نظر بگیریم.

اسلاید 38: راه اندازی فایل سرور در ویندوز سرورگام اول - بررسی نیازهای کاربران و طراحی بر اساس ساختار اکتیودایرکتوری :بررسی نیازهای واقعی کاربران از فایل سرور می باشد. که در نتیجه آن به کاربران بر اساس نقشی که در شرکت به عهده دارند ، مجوزهای دسترسی مناسب به پوشه های فایل سرور داده می شود

اسلاید 39: راه اندازی فایل سرور در ویندوز سرورگام دوم - ایجاد یک ساختار حجم مناسب برای هارد دیسک های فایل سرور :هارد دیسک ها را با یک ساختار حجم مناسب پیکربندی می نماییم. چندین معیار برای پیکربندی هارد دیسک ها برای استفاده در یک فایل سرور وجود دارد که از جمله داشتن قابلیت تحمل پذیری در مقابل خرابی ، کارایی مناسب و داشتن ساختار فایل NTFS برای دادن مجوزهای دسترسی به پوشه ها می باشد

اسلاید 40: راه اندازی فایل سرور در ویندوز سرورگام سوم - به اشتراک گذاری پوشه های مورد نظر بر روی سرورها و دادن سطوح دسترسی مناسب به آنها :در به اشتراک گذاری پوشه ها نکته بسیار مهم اینست که ، مجوز های دسترسی که به پوشه ها می دهیم باید دقیقا مطابق با نیازهای کاربران باشد ( نه کمتر و نه بیشتر ) و همچنین باید میان NTFS Permissions و Share Permissions توازن برقرار باشد و گرنه در صورت عدم توازن ، پوشه ها کمترین دسترسی داده شده را به خود می گیرند .  برای دادن مجوزهای NTFS Permissions و Share Permissions باد بر روی پوشه مورد نظر کلیک راست کرده و برای دادن مجوز NTFS از برگه Security و برای دادن مجوز اشتراک از برگه Sharing استفاده می کنیم نکته ای که در دادن NTFS Permissions باید توجه کرد اینست که هنگامی که می خواهید مجوزهای جدید را به یک پوشه اعمال کنید باید ابتدا خاصیت ارث بری پوشه مورد نظر را از پوشه بالاسری خود ( پوشه والد خود ) برداریم . ما اینکار را مانند شکل زیر انجام می دهیم ( توجه کنید که اینکار را برای هر سه پوشه انجام دهید )

اسلاید 41:

اسلاید 42:

اسلاید 43: مجوز و دسترسی فایل در وب

اسلاید 44: مجوز و دسترسی در وب ابتدا وارد کنترل پانل هاست می شویم در وسط صفحه Hosting Spaces ) بر روی File Manager  ) کلیک کنید.

اسلاید 45: 3. در این قسمت شما این امکان را دارید که برای پوشه و یا فایل مورد نظر خود سطح دسترسی (Permissions ) تعیین کنید. برای این منظور بر رو آیکن مشخص شده در مقابل پوشه و یا فایل مورد نظر کلیک کنید.

اسلاید 46: 4. در این قسمت شما امکان خواندن (Read) و یا نوشتن (Write) بر روی این پوشه را مشخص می‌کنید.

اسلاید 47: 5. همچنین با انتخاب گزینه Replace permissions on all child objects  این سطح دسترس به زیر مجموعه های آن فولدر اعمال می گردد، و در نهایت بر روی Set Permissions  کلیک کنید.

اسلاید 48: کدهای رایج دسترسی فایل ها در هاستینگ : 600: یک فایل را غیر قابل دسترس می کند. 644: قابل خواندن توسط همه(مانند فایلهای Html) 666: فایلها می توانند هم خوانده شوند هم تغییر یابند(مانند فایلهای html که توسط Script ها تغییر می کنند) 755: فایل ها می توانند توسط همه خوانده شده و اجرا شوند(برای مثال Scriptها) 777: قابل نوشتن و قابل اجرا توسط همه(توصیه نمی شود)

اسلاید 49: کدهای رایج دسترسی بر روی فولدرها (پوشه ها) : 711: فایلهای درون پوشه می توانند توسط همه خوانده شوند به غیر از محتویات پوشه. 755: فایلها و محتوای پوشه ها توسط همه قابل دیدن می باشد. 777: دسترسی کامل خواندن ، نوشتن و حذف پوشه را به همه می دهد(توصیه نمی شود)نکته مهم برای قابل ویرایش کردن فولدرها یا فایل‏ها، سطح دسترسی (Permission) را 777 قرار دهید، یعنی باید تمام گزینه‏ها را انتخاب کرده باشید. همچنین برای غیر قابل ویرایش کردن فایل‏‏ها، سطح دسترسی (Permission) را 644 قرار داده و فولدرها را 755 تنظیم نمایید.

اسلاید 50: با سپاس از توجه شما