Servidor Linux com vários usuários nativos (ssh) - recomendações de permissão [closed]

Navegue suas respostas
1

Eu tenho um servidor Debian que algumas pessoas devem ser capazes de ssh . [Editar] : significa usar o software nesse servidor. Execute qualquer programa direcionado ao usuário instalado nele. Por exemplo. execute elinks, mc, gcc ou firefox por x-forwarding. Importante Eu não estou pedindo permissões detalhadas para os exemplos que listei, estou apenas esclarecendo o que quero dizer com usuário . [/ Edit]

Independentemente se eu confiar neles ou não, quero que o servidor tenha permissões limpas e seguras. (Eu tenho a sensação de que, por padrão, a segurança de vários usuários está comprometida para conveniência do usuário único. Evidenciada por permissões de leitura padrão inúteis em /home , por exemplo ...). Especialmente em relação a /etc , que possui rwxr-xr-x por padrão. Qualquer um pode ler o diretório, e acho isso preocupante, mas talvez sem o conhecimento de mim, isso é necessário.

Alguém, talvez algum velho administrador do Unix, pode me dizer como definir as permissões em um servidor multiusuário? Especialmente para:

  • /var
  • /etc
  • /home
  • /opt
por AndreasT 19.09.2016 / 10:31

1 resposta

2

Deixe como está se você não entender completamente o que está fazendo.

Como exemplo, todo mundo precisa ler em /etc para muitas coisas.

  • /etc/passwd precisa ser lido para mapear IDs de usuários numéricos para nomes de usuários
  • as configurações padrão devem ser lidas para shells, SSH e muitas outras coisas (por exemplo, /etc/bashrc , /etc/profile , /etc/ssh/ssh_config )

Você verá que os arquivos críticos (por exemplo, /etc/shadow ) são legíveis apenas pelo usuário root.

Eu acredito que você está indo sobre o caminho errado de qualquer maneira. Não pense no que os usuários precisam ver e, em vez disso, decida o que eles realmente não deveriam ver e torne esses arquivos inacessíveis. Esta é geralmente uma lista surpreendentemente curta e também na maioria dos casos já feita pelos desenvolvedores ou mantenedores de pacotes.

Quais são essas coisas? Na maioria dos sistemas:

  • shadow e gshadow .
  • chaves privadas SSH e SSL
  • Arquivos incluindo senhas, se não puder evitá-las.
  • Regras de firewall

Todo o resto não é realmente crítico para um usuário ler e, como eu nunca toquei a maioria dos arquivos em /etc , eles podem ver esses arquivos instalando o mesmo sistema operacional e pacotes em um sistema privado.

    
por 19.09.2016 / 11:21

Tags

atualização do kernel do servidor virtual hospedado Ferramenta de linha de comando para listar as configurações de política de auditoria