新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
UID空间积分0 积分36阅读权限10帖子精华可用积分36 信誉积分24 专家积分0 在线时间16 小时注册时间最后登录
白手起家, 积分 36, 距离下一级还需 164 积分
帖子主题精华可用积分36 信誉积分24 专家积分0 在线时间16 小时注册时间最后登录
论坛徽章:0
linux 服务器上，新建了一个用户newuser，想让newuser这个用户的权限与apache web服务的webuser用户的权限相同，使得上传文件的所有者为webuser，用什么命令设置。请高手指点
&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp
UID空间积分0 积分289阅读权限20帖子精华可用积分289 信誉积分254 专家积分0 在线时间275 小时注册时间最后登录
稍有积蓄, 积分 289, 距离下一级还需 211 积分
帖子主题精华可用积分289 信誉积分254 专家积分0 在线时间275 小时注册时间最后登录
论坛徽章:0
修改/etc/sudoers文件
UID空间积分0 积分36阅读权限10帖子精华可用积分36 信誉积分24 专家积分0 在线时间16 小时注册时间最后登录
白手起家, 积分 36, 距离下一级还需 164 积分
帖子主题精华可用积分36 信誉积分24 专家积分0 在线时间16 小时注册时间最后登录
论坛徽章:0
比如test用户和best用户，用户组有best组，设置test用户属于best组
#chown -g&&best&&test
这时test用户 具有best用户的权限，能添加、修改、执行 文件和目录，但文件的属性是：
-rwxr-----&&test&&best&&2012&&newfile
并且如果用ftp文件传输，test用户没有给best用户所属目录上传文件的权限。
想要达到的效果是：
1. test创建的文件所有者是best，像这样：
& & -rwxr-----&&best& &best&&2012&&newfile
2.test用户能给best用户所属的目录上传文件
不知用什么命令能把test的权限设置合适。
UID空间积分0 积分408阅读权限20帖子精华可用积分419 信誉积分597 专家积分0 在线时间317 小时注册时间最后登录
稍有积蓄, 积分 408, 距离下一级还需 92 积分
帖子主题精华可用积分419 信誉积分597 专家积分0 在线时间317 小时注册时间最后登录
论坛徽章:0
想了半天，2楼的方法应该是最优了。
北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号：
广播电视节目制作经营许可证(京) 字第1234号
中国互联网协会会员&&联系我们：
感谢所有关心和支持过ChinaUnix的朋友们
转载本站内容请注明原作者名及出处　　测试环境：CentOS 5.5
　　1、添加用户，首先用adduser命令添加一个普通用户，命令如下：
　　#adduser tommy
　　//添加一个名为tommy的用户
　　#passwd tommy&& //修改密码
　　Changing password for user tommy.
　　New UNIXpassword:&&& //在这里输入新密码
　　Retype new UNIX password:& //再次输入新密码
　　passwd: all authentication tokens updated successfully.
　　2、赋予root权限
　　方法一：修改 /etc/sudoers文件，找到下面一行，把前面的注释（#）去掉
　　## Allows people in group wheel to run all commands
　　%wheel&& ALL=（ALL）&& ALL
　　然后修改用户，使其属于root组（wheel），命令如下：
　　#usermod -g root tommy
　　修改完毕，现在可以用tommy帐号登录，然后用命令 su - ,即可获得root权限进行操作。
　　方法二：修改/etc/sudoers 文件，找到下面一行，在root下面添加一行，如下所示：
　　## Allow root to run any commands anywhere
　　root&& ALL=（ALL）&&& ALL
　　tommy&& ALL=（ALL）&&& ALL
　　修改完毕，现在可以用tommy帐号登录，然后用命令 su - ,即可获得root权限进行操作。
　　方法三：修改/etc/passwd 文件，找到如下行，把用户ID修改为 0 ,如下所示：
　　tommy:x:500:500:tommy:/home/tommy:/bin/bash
　　修改后如下
　　tommy:x:0:500:tommy:/home/tommy:/bin/bash
　　保存，用tommy账户登录后，直接获取的就是root帐号的权限。
　　友情提醒：虽然方法三看上去简单方便，但一般不推荐使用，推荐使用方法二。
【】【】【】【】
ISBN编号:&8
出版时间:&2013-3
出版社:&中国人事出版社
定价：￥45 优惠价：￥45&&ISBN编号:&9
出版时间:&2013-4
出版社:&中国人事出版社
定价：￥45 优惠价：￥45&&
????????????
????????????
　 　 　 　 　Copyright ©
() All Rights Reserved一个网站的用户数据库被入侵的方式有哪些？运维和管理人员如何防范？
按投票排序
前面的匿名用户已经回答了主要的方法。不过很低调，我这菜鸟就展开说说吧。 说得不全，期待替他匿名用户补充。其实要渗透一个站的方法有很多。一个网站从开发到上线运营，需要经过很多环节很多人员。任何一个环节或者人员出了弱点都有可能被利用，从而造成巨大的损失。
常见的入侵手段有以下几种：
1.利用网站自身漏洞。
比如sql注入。这里举个最简单的例子说说一个sql注入如何导致库被脱。
比如我们的站上有个表单有sql注入，那么就可以执行sql语句，于是最简单的就是，通过这个表单将数据库dump到硬盘上的web目录中，然后就可以下载了。当然这还牵涉到如何通过触发web异常来获取web根目录等等（facebook就这样被白帽黑客们调戏过）。或者，我先通过正常渠道将一个web页面提交到库中，然后通过这个表单提交一个mysql的dump命令，好了，我们服务器硬盘上多了一个页面，可以访问了，如果这个页面有上传下载等功能呢，我就获得了一部分我们服务器的控制权了（术语叫webshell）。
2.利用部署、运维过程中的疏忽，比如一些服务器软件，自带了一些管理后台和接口，如tomcat的manager页面，jboss的jmx console，wampp的webdav等。这些后台的通常是为开发者设计，很脆弱，而且一般都有默认的用户名和密码，是不应该在线上出现的，如果运维人员在部署系统是安全意识不够，暴露这些东西都会带来潜在的风险。我曾经所呆过的公司就被这个问题搞过多次。自己的管理后台也有同样的问题。
再比如运维过程中的备份、上传等也容易爆弱点，最简单的方法，我们再用搜索引擎搜索“index of /upload”或者“index of /backup”翻了看看，能搜到多少好玩的东西（我就曾不小心搜到过一个招聘站的包含“用户姓名、手机号、邮箱”的库）。
3.从办公网络入手，再进入服务器系统。由于办公网络使用的人员复杂，比如有人喜欢休息时逛逛这个论坛，有人习惯上上那个网站。如果有人上了网站被挂了木马。或者收到含有木马的邮件并打开了。都有可能导致办公机器首先沦陷，而办公机器连服务器往往都很容易。后面大家可想而知。
4.直接入侵服务器。这在windows系统下比较明显，一个溢出就有可能导致获得管理员权限。linux则相对比较安全。
5.社会工程，上面的传统方法对技术要求比较高。社会工程攻击就是重复利用人的弱点，骗取系统权限等有价值的信息。比如一个电话打过去，装作是同事，然后说：我是xxx部门的xxx，现在要做什么，但是没有权限，我们的密码是什么的？如果你但是已经忙得焦头烂额，很可能就直接把密码说了。或者事情很简单，坏人们手中有很强大的库，包括很多常用的默认密码（甚至公司内部通用的默认密码），用这些库来爆破你的服务器。直接就获得权限了。
要防止此类灾难性的后果也很简单：堵住坏人的路。
1.增强自己系统的安全性。从开发人员的安全开发技术培训，防止诸如sql注入、xss等严重漏洞的出现。工作人员的安全意识的培养等。设计系统的时候，要考虑到安全，如何加密，如何存储，如何传输，如果一个子系统沦陷了会不会导致其他子系统沦陷等等。 2.审计要做好。事前及时发现异常。事后发现漏洞。3.对外合作、三方软件等使用须谨慎。不要让自己不可控的东西成为自己的安全短板。
另外，提醒一下，其实坏人们手中的库是很多的，对于有价值的网站，会有人用各种库来刷。社工的库比我们想像的要大得多。我们大家自己要注意安全，千万不能一个密码走遍全网，在一些不靠谱的站上注册，就用被盗了也没事的密码，而邮箱密码和银行密码最好单独设置，单独用。不要以为自己的账号没被盗过，而是人家登过你的账号，然后发现没搞头又走了，你不知道而已，等哪天有搞头了，你就发现你的账号被盗了。
几种常用到的站点漏洞1.XSS2.0day3.webshell一般先扫站，爆页面，拿目录，post小马取权限然后上大马或者直接注入拿库怎么防？1.update now2.抓0day3.黑盒测试审代码--------------------爆库常用方式1、通过暴力破解数据库用户口令，操纵数据库2、利用缺省口令的漏洞访问数据库
3、利用权限提升的漏洞得到高权限用户身份，控制数据库
4、利用PL/SQL注入等，获取访问权限提升，操纵数据库
5、利用管理漏洞，获知DBA等合法用户名的口令，然后冒用
6、入侵到数据库服务器主机，拷贝数据文件、或备份文件
比较常见的就是使用xss。百度等大网站也曾经爆过xss漏洞。这里复制一个例子吧，这个例子只是改了首页，不过拿到了后台权限之后拿到shell就可以搞定数据库了。
因为某些原因我们想黑掉某个人的blog，该blog系统的源码我们可以从网上获取到，在简单审核一些代码之后我们没有发现明显的SQL注射之类的漏洞，但是发现了几个非常有意思的xss漏洞，该漏洞同样是反射型的xss，但是因为程序的原因可以使得exploit url变形得非常隐蔽。由于程序开源，我们通过本地搭建该环境可以轻松构造出可以加管理员，可以在后台写shell的小型exploit，并且将exploit通过远程的方式隐藏在前面的exploit url里。通过分析该程序发现在评论回复时只有登录才可以回复，而目标经常性回复别人的评论，所以我们发表了一个评论并且将exploit url写在里面，通过一些手段诱使目标会访问该url。在等待几个小时之后，我们看到该评论已经被管理员回复，那么我们的exploit也应该是被顺利执行了。上后台用定义好的账户登录，很顺利，shell也已经存在。OK，最后就是涂首页：)对于这部分没有什么特别好说的，因为所有的数据和逻辑都是公开的，但是非常重要的一点依然是我们的场景。在某些应用程序里，因为前台的交互比较多，发生xss的点是前台，大部分用户的操作也都是前台发生的，但是这部分的权限非常没有意义，我们往往需要特定目标先访问后台，然后从后台访问我们的xss点才能获取相应的权限。这部分的攻击就变得比较困难了，而上面的攻击里，由于目标肯定会先访问后台然后访问该xss点，所以xss变得有趣多了。再加点xss的介绍：XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。
说点题外话，在知乎有几个月了，经常会看到问题就一句话，非常简单的一句话。不加前提（本题还是好的）就问一个范围非常大的题目。比如本题，网站的用户数据库被入侵的方式有那些，嗯。操作系统层面，网站层面，数据库层面都有可能吧，操作系统直接入侵要分*NIX/NT两方便吧，网站要分是自建系统还是通用系统吧，通用系统要看具体是那个吧，数据库要分是Access？MySQL？MSSQL？Oracle？DB2？吧PHP与Java也有不同吧再来，也有可能某天来个VSFTPD的漏洞直接让人可以控制*NIX系统了，这样什么都保不住。而这些下来所对应的如何防范。。。。。。。。还不讨论什么社会工程学。。安全这个东西不说开个专业，至少开门课讲上一年没问题吧
主要方式有几种，1.网站系统本身存在漏洞，例如上传，sql注入，管理员密码弱口令，入侵以后获得数据库链接字段，导出数据库。2.通过入侵合作方获得一些关联信息，导出数据库。3.通过入侵办公网运维人员获取服务器控制权导出数据库。
防护方案1.网站本身安全加固.2.三方系统的安全3.运维人员的安全意识提高
再补充一个细节：
比如 MySQL 如果不设置一定的权限， 3306 端口是任何远程主机都能连接的。
如果管理员的密码比较弱，或者被泄露（账号很有可能是 root，黑客只需要破密码），就很可能黑客在任何机器上直接连接数据库。
解决方案就是设置成只允许特定的主机才能连接。
同样需要注意判断连接来源的，比如 memcached 。
常用的网络攻击技术有：注入技术（如：SQL Injection） XSS（新浪微博XSS攻击事件） CSRF Security Misconfiguration Insecure Cryptographic Storage Failure to Restrict URL Access Insufficient Transport Layer Protection Unvalidated Redirects and Forwards我最近也写了一篇关于 SQL Injection的博文你可以参考一下
推荐篇技术文章：IT从业人员需要知道的安全知识链接地址：
注入、监听、暴库、弱口令扫描、XXS、还有溢出漏洞等。。。都是利用网站系统的漏洞。
还有社会工程学，就是利用社工库对相关的站点进行扫描。
推荐刺总的书
“白帽子讲web安全”如何编写一个设计一个管理员和普通用户的数据库，管理员的权限多，普通用户的权限少。
[问题点数：80分，结帖人zgrsw]
如何编写一个设计一个管理员和普通用户的数据库，管理员的权限多，普通用户的权限少。
[问题点数：80分，结帖人zgrsw]
不显示删除回复
显示所有回复
显示星级回复
显示得分回复
只显示楼主
相关推荐：
2008年 总版技术专家分年内排行榜第二
2010年 总版技术专家分年内排行榜第四2009年 总版技术专家分年内排行榜第五2007年 总版技术专家分年内排行榜第六
2010年7月 荣获微软MVP称号
2008年11月 MS-SQL Server大版内专家分月排行榜第一2008年10月 MS-SQL Server大版内专家分月排行榜第一
本帖子已过去太久远了，不再提供回复功能。新手园地& & & 硬件问题Linux系统管理Linux网络问题Linux环境编程Linux桌面系统国产LinuxBSD& & & BSD文档中心AIX& & & 新手入门& & & AIX文档中心& & & 资源下载& & & Power高级应用& & & IBM存储AS400Solaris& & & Solaris文档中心HP-UX& & & HP文档中心SCO UNIX& & & SCO文档中心互操作专区IRIXTru64 UNIXMac OS X门户网站运维集群和高可用服务器应用监控和防护虚拟化技术架构设计行业应用和管理服务器及硬件技术& & & 服务器资源下载云计算& & & 云计算文档中心& & & 云计算业界& & & 云计算资源下载存储备份& & & 存储文档中心& & & 存储业界& & & 存储资源下载& & & Symantec技术交流区安全技术网络技术& & & 网络技术文档中心C/C++& & & GUI编程& & & Functional编程内核源码& & & 内核问题移动开发& & & 移动开发技术资料ShellPerlJava& & & Java文档中心PHP& & & php文档中心Python& & & Python文档中心RubyCPU与编译器嵌入式开发驱动开发Web开发VoIP开发技术MySQL& & & MySQL文档中心SybaseOraclePostgreSQLDB2Informix数据仓库与数据挖掘NoSQL技术IT业界新闻与评论IT职业生涯& & & 猎头招聘IT图书与评论& & & CU技术图书大系& & & Linux书友会二手交易下载共享Linux文档专区IT培训与认证& & & 培训交流& & & 认证培训清茶斋投资理财运动地带快乐数码摄影& & & 摄影器材& & & 摄影比赛专区IT爱车族旅游天下站务交流版主会议室博客SNS站务交流区CU活动专区& & & Power活动专区& & & 拍卖交流区频道交流区
UID空间积分2 积分26阅读权限10帖子精华可用积分26 信誉积分100 专家积分0 在线时间31 小时注册时间最后登录
白手起家, 积分 26, 距离下一级还需 174 积分
帖子主题精华可用积分26 信誉积分100 专家积分0 在线时间31 小时注册时间最后登录
论坛徽章:0
系统上有mqm和db2inst1用户，我想让db2inst1可以对mqm用户下的文件做读写等操作，还可以调用mqm用户下的程序，即让db2inst1 拥有mqm所有的权限，怎么实现！谢谢！
我对linux 的一些命令还不熟悉，麻烦说的详细些， 感谢！
&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp&&nbsp|&&nbsp
UID793704空间积分3 积分4838阅读权限50帖子精华可用积分4838 信誉积分427 专家积分10 在线时间969 小时注册时间最后登录
小富即安, 积分 4838, 距离下一级还需 162 积分
帖子主题精华可用积分4838 信誉积分427 专家积分10 在线时间969 小时注册时间最后登录
论坛徽章:0
只针对db2inst1这个用户吗？
甲骨文商文骨甲
UID空间积分0 积分52117阅读权限100帖子精华可用积分52117 信誉积分1331 专家积分30 在线时间1951 小时注册时间最后登录
帖子主题精华可用积分52117 信誉积分1331 专家积分30 在线时间1951 小时注册时间最后登录
论坛徽章:7
chown 所有权授予该用户。
如果你手头上已经有了一份工作，
那你需要做的是，
哪怕那是你不喜欢的！
你必须证明给别人看你有做好一件事件的能力，
别人才会给你下一个机会。
& && && && && && && && && && &&&-----eygle
致力于研究与宣传数据库，虚拟化，存储，红帽，云计算，备份与容灾的事业。
UID793704空间积分3 积分4838阅读权限50帖子精华可用积分4838 信誉积分427 专家积分10 在线时间969 小时注册时间最后登录
小富即安, 积分 4838, 距离下一级还需 162 积分
帖子主题精华可用积分4838 信誉积分427 专家积分10 在线时间969 小时注册时间最后登录
论坛徽章:0
回复 #3 www_xylove 的帖子
那原来用户的权限呢？
把家都给人家了？
UID空间积分0 积分2030阅读权限50帖子精华可用积分2031 信誉积分135 专家积分0 在线时间187 小时注册时间最后登录
小富即安, 积分 2030, 距离下一级还需 2970 积分
帖子主题精华可用积分2031 信誉积分135 专家积分0 在线时间187 小时注册时间最后登录
论坛徽章:0
usermod让他们同属于一个组就行了。。。。然后通过组权限来限定
男性it民工
UID1730385空间积分805 积分197926阅读权限100帖子精华可用积分197926 信誉积分6036 专家积分563 在线时间23460 小时注册时间最后登录
帖子主题精华可用积分197926 信誉积分6036 专家积分563 在线时间23460 小时注册时间最后登录
认证徽章论坛徽章:354
用组权限设定吧
好读书,不求甚解;每有会意,便欣然忘食
非淡泊无以明志，非宁静无以致远。
UID空间积分2 积分26阅读权限10帖子精华可用积分26 信誉积分100 专家积分0 在线时间31 小时注册时间最后登录
白手起家, 积分 26, 距离下一级还需 174 积分
帖子主题精华可用积分26 信誉积分100 专家积分0 在线时间31 小时注册时间最后登录
论坛徽章:0
ACL& &我的机器没有装， 这个办法现在用不了！！
我把db2inst1的用户ID改为mqm的ID, 结果db2的命名就用不了了，不知道改变组后，会不会也出现前面结果！
组权限怎么设定，能否详细说明，我菜！！
我现在采取的办法就是把家都给人家了！！！
UID246481空间积分0 积分38406阅读权限100帖子精华可用积分38406 信誉积分1715 专家积分83 在线时间2516 小时注册时间最后登录
帖子主题精华可用积分38406 信誉积分1715 专家积分83 在线时间2516 小时注册时间最后登录
认证徽章论坛徽章:26
大梦谁先觉？平生我自知，草堂春睡足，窗外日迟迟。
CU人民代表大会轮值委员长
UID76324空间积分0 积分1120阅读权限30帖子精华可用积分1120 信誉积分137 专家积分60 在线时间961 小时注册时间最后登录
家境小康, 积分 1120, 距离下一级还需 880 积分
帖子主题精华可用积分1120 信誉积分137 专家积分60 在线时间961 小时注册时间最后登录
论坛徽章:0
改到同一组。或者写shell 遍历权限
UID793704空间积分3 积分4838阅读权限50帖子精华可用积分4838 信誉积分427 专家积分10 在线时间969 小时注册时间最后登录
小富即安, 积分 4838, 距离下一级还需 162 积分
帖子主题精华可用积分4838 信誉积分427 专家积分10 在线时间969 小时注册时间最后登录
论坛徽章:0
回复 #5 yumanifold 的帖子
如果这个组的成员有很多呢？
北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号：
广播电视节目制作经营许可证(京) 字第1234号
中国互联网协会会员&&联系我们：
感谢所有关心和支持过ChinaUnix的朋友们
转载本站内容请注明原作者名及出处