permissões do arquivo ubuntu em /

Navegue suas respostas
1

Eu quero tornar o meu servidor Ubuntu 12.04 um pouco mais seguro. Na verdade, eu gostaria de ter segurança paranóica de permissões de arquivo e um sistema utilizável também. (este é meu objetivo principal)

Para iniciantes, gostaria de alterar as permissões padrão na pasta /. Por padrão, essas permissões são definidas como 755 para a maioria das pastas (rwxr-xr-x). Eu gostaria de mudá-los para 751. Você acha que isso pode causar um problema? Se sim, por que isso? O SO precisa de permissões de leitura para os outros?

Eu posso entender que um usuário (como www-data) deve ser capaz de gravar em um diretório, mas por que ele precisa ler seu conteúdo se for fornecido com o caminho completo? Eu procurei por um recurso de permissões de arquivos restritos, mas tudo o que posso encontrar é acls. Eu gostaria de tentar a outra abordagem primeiro.

    
por ioctl 20.03.2013 / 16:33

2 respostas

2

A configuração de ACLs de diretórios como 0751 na verdade será um problema maior para você do que para o sistema. Para outros (o 1 ) uma listagem de diretórios é proibida, então a operação browse não é possível. O sistema sabe geralmente o que encontrar e onde encontrá-lo (e também deve manter o acesso via usuário ou grupo acl).

Certifique-se de alterar a ACL via 

chmod o-rw directory

desde chmod 751 directory pode ser perigoso (como você pode remover su, sticky bits ...). Aconselho-o a verificar todos os dir antes de prosseguir de qualquer maneira.

Se você pesquisar no Google acessos paranoicos do ubuntu , verá páginas interessantes a esse respeito, já que configurar muitos dirs como 0751 é algo que eu não estaria fazendo / tentando ..

    
por 20.03.2013 / 16:55
0

Se isso fosse necessário, ou sensato, os desenvolvedores do Ubuntu teriam feito isso há muito tempo. Geralmente, as permissões estão corretas por padrão e razoavelmente seguras. A exceção a isto seria utilitários com setuid. Eles podem ser considerados um risco e você pode querer remover este modo.

Como a maioria dos arquivos são de propriedade root: root, para que você execute binários padrão que vinculam a bibliotecas compartilhadas, os outros bits são necessários.

Para mais informações, consulte o Capítulo 7 do Benchmark do CIS para o Debian Linux .

    
por 20.03.2013 / 17:11

Tags

htop mentindo sobre o consumo de memória do vmware-tools mkfs.xfs no volume do EBS como usuário não raiz na AWS