Há algum problema de segurança em tornar meu / etc / sudoers legível publicamente?

3

Comecei recentemente a usar minha conta do GitHub como uma maneira de sincronizar meus vários arquivos de configuração em vários computadores, incluindo meu / etc / sudoers. Existe alguma vulnerabilidade de segurança que isso expõe?

Edit: Se isso faz diferença, estou no 14.10.

    
por Joshua Snider 20.04.2015 / 16:53

2 respostas

3

Minha reação inicial foi dizer que é uma má ideia. No entanto, tendo olhado para o seu arquivo pessoal específico de sudoers, eu diria, não ; parece bastante normal para um sistema Ubuntu. Você não está expondo nenhum

  • versões específicas do software (que podem ter vulnerabilidades)
  • nomes de usuário não padrão (embora se eu fosse um cara mau, eu estaria tentando 'josh' ou 'joshua'

Eu rapidamente olhei para os outros arquivos de configuração no repositório do GitHub e eles parecem bem - no momento! Para o futuro, você deve ter muito cuidado ao alterar seus arquivos de configuração, permanecendo sempre consciente de que tais alterações serão públicas.

Em geral, eu prefiro usar um repositório privado para evitar ter que pensar nas possíveis ramificações de cada uma das alterações que estão sendo cometidas. Eu tenho meus próprios repositórios remotos configurados no meu servidor Ubuntu pessoal por este motivo, mas AIUI, Bitbucket fornecer repos privados gratuitos.

Gerenciando / etc

Na verdade, não armazeno /etc arquivos em meus repositórios. Para executar novamente as alterações nos arquivos de configuração, faço essas alterações usando os comandos sed , por exemplo, para alterar automaticamente a quantidade de informações que estão sendo relatadas pelo logwatch, eu corro:

sudo sed -i.bak "s/^Detail.*$/Detail = High/" /usr/share/logwatch/default.conf/logwatch.conf

Para adicionar um alias de e-mail para o webmaster, se um já não existir, eu corro:

grep -i webmaster /etc/aliases || sudo sed -i.bak '1 a\webmaster:\troot' /etc/aliases

Eu também uso um pacote chamado etckeeper para acompanhar todas as alterações no diretório /etc árvore usando git. No entanto, até agora eu só usei isso como um registro histórico para o sistema em questão e como um meio de reverter quaisquer alterações em /etc que não funcionem. Tem a opção de enviar o commit para um repositório remoto, mas ainda não o utilizou.

Outras soluções mais complicadas (que eu ainda não aprendi) são ferramentas de gerenciamento de configuração, como o Chef ou o Puppet, que podem ser usadas para recriar rapidamente as configurações do sistema.

    
por Anthony Geoghegan 20.04.2015 / 17:27
0

Eu aconselho você a não publicar nada em um repositório público, que está localizado no diretório /etc . Esta informação irá torná-lo vulnerável no pior dos casos. O risco de ignorar um arquivo que contém dados confidenciais é muito grande.

Talvez seja o suficiente apenas enviar os dados, mas não envie. Então as alterações são salvas localmente.

    
por A.B. 20.04.2015 / 17:21

Tags