Que permissões de diretórios / arquivos eu devo garantir que estão definidas?

Navegue suas respostas
3

Eu tenho uma pergunta semelhante sobre configuração de software padrão . Para esta pergunta eu gostaria de perguntar

Quais permissões de diretórios / arquivos eu devo garantir que estão definidas?

Aproximadamente É normal obtenha centenas de tentativas de invasão por dia . Então eu verifiquei quais arquivos e pastas são graváveis em um usuário não raiz . Foi tudo de bom. Agora eu preciso proteger senhas e tal, então eu verifiquei as permissões de leitura.

Estou um pouco horrorizado. Por padrão minha distribuição linux tem / root para ser lida. Onde eu defino minha senha de root do mysql. Mas então eu olhei e vi / etc era legível. Qualquer usuário poderia ter entrado no /etc/ssmtp/ssmtp.conf e encontrado o login / senha que eu uso para o meu e-mail (que o cron usa para me contatar) e potencialmente usá-lo para spam de todo mundo ou obter meu servidor ou domínio na lista negra. Eu configurei o / etc para 750. Haverá algum problema com isso?

Tenho certeza de outras vulnerabilidades devido ao acesso de leitura. Quais arquivos / diretórios devo garantir que não sejam lidos ou graváveis?

-edit- ok, então eu mudei de volta para 755. Mas, mesmo assim, eu preciso garantir que certas pastas não sejam legíveis. Eu mudei o apache e o ssmtp. Eu gostaria de conhecer os outros.

    
por Community 08.03.2011 / 23:39

2 respostas

3

Qualquer arquivo que contenha uma senha ou passphrase deve ser legível somente pelo (s) usuário (s) (e grupo (s), se aplicável) que precisam acessar essa senha. O mesmo vale para arquivos contendo qualquer outro tipo de informação confidencial.

A maioria dos arquivos em /etc precisa ser legível: eles são arquivos de configuração geral do sistema, como /etc/fstab e /etc/passwd , ou arquivos de configuração de um aplicativo específico. As poucas exceções são arquivos como /etc/shadow (senhas de usuário), /etc/sudoers (usuários com permissões especiais), /etc/ppp/chap-secrets (senhas PPP) ou /etc/ssl/private (diretório contendo certificados SSL privados), e eles normalmente saem of-the-box com permissões adequadas. O termo técnico para tornar /etc não legível ao mundo é atirar no próprio pé. Não faça isso, dói.

É raro ter uma senha de email na configuração do sistema. Geralmente, o correio usa senhas para autenticar usuários, não sistemas, de modo que a senha estaria em algum lugar no diretório inicial. Quando você usa recursos incomuns, precisa verificar se está usando-os com segurança (neste caso, suspeito que você não esteja usando a ferramenta certa para o trabalho).

    
por 09.03.2011 / 00:00
1

Eu sei que é basicamente a mesma resposta que eu dei à sua outra pergunta, mas além do que o Gilles disse, você deveria usar uma ferramenta de auditoria de segurança automatizada como tigre .

Se a sua distribuição enviar uma configuração por padrão, e o tigre não avisar sobre isso, então a configuração deve estar correta. Para arquivos e pastas criados por você, você pode e deve usar seu próprio critério. Na minha experiência e opinião, existem realmente apenas alguns arquivos e pastas que não devem ser legíveis pelo mundo, e quase nunca há uma boa razão para ter qualquer coisa que possa ser gravada no mundo.

    
por 09.03.2011 / 06:37

Tags

Selecionando o GRUB correto Como testar a correção do sistema de arquivos feita pelo fsck