Existe algum benefício em proteger todos os diretórios sob um diretório pai?

Question

Existe algum benefício em proteger todos os diretórios sob um diretório pai?

#1 resposta do (5 votos)

3

Os sysadmins no trabalho nos querem remover todas as permissões do mundo de todos os arquivos e diretórios dentro de um sistema de arquivos específico. Normalmente, eu concordaria com essas práticas de segurança. No entanto, eu não entendo o ponto em fazê-lo porque o diretório pai apenas permite que usuários dentro de um grupo específico acessem o sistema de arquivos.

Por exemplo, o diretório pai tem permissões como:

drwxr-x--- 5 root group 4096 Apr  7 15:27 /example

E os subdiretórios têm permissões como:

drwxrwxrwx 2 user group 4096 Apr 10 00:34 /example/dir1
drwxrwxrwx 2 user group 4096 Apr  8 12:52 /example/dir2
drwxrwx--- 2 user group 4096 Apr 12 08:13 /example/dir3

Observação: /example/dir1 e /example/dir2 são o que existe atualmente. /example/dir3 é o que nossos administradores de sistema querem que as permissões sejam.

Existe algum benefício em remover permissões mundiais de /example/dir1 e /example/dir2 quando somente usuários em group podem acessar esse sistema de arquivos? Quais são as melhores práticas?

permissions chmod security filesystems

por Peschke 26.04.2018 / 11:07

1 resposta

Tags permissions chmod security filesystems

thunar-archive-plugin - Falha ao extrair arquivos: Nenhum gerenciador de arquivos apropriado encontrado Dando permisão de www-data à subpasta do Dropbox?

score 5 · Accepted Answer

Responsabilidade:

Se você tiver a permissão como dir3 , saberá rapidamente quem tem acesso a esse arquivo. No outro caso, você deve voltar até ver a permissão correta.

Segurança:

você pode precisar de dir4 acessível pelo webbrowser, então você sysadmin precisa alterar também example , mas agora ele não sabe quais são as permissões corretas de dir1 e dir2 .

Em geral, e a melhor prática: é sempre melhor usar as permissões mínimas, para que você saiba (vendo permissões adicionais) quais são os requisitos adicionais (é uma espécie de documentação de garotos preguiçosos; mas todos tendemos a ser preguiçoso na documentação).

Nota: algum programa poderia reclamar (e parar) se eles achassem a permissão "world / all": eles normalmente verificam apenas a permissão do diretório atual (por que verificações complexas? e com volumes montados várias vezes, pode ser difícil portátil) para encontrar possíveis ataques)