O chmod 700 meu diretório superior do servidor me torna mais seguro?

0

Estou implantando meu servidor Django / Python em uma máquina Ubuntu 17.04 que inclui também Postgres , Redis , Nginx , uwsgi e Exim4 . Postgres e Redis estão apenas ouvindo soquetes unix e não na porta TCP. Eu sincronizei meu servidor usando -avP options para meu diretório cloud home e configurei uma configuração iptables esperançosamente segura.

Eu sei que as informações acima podem não estar muito relacionadas à pergunta, mas eu gostaria de dar alguns detalhes sobre o meu ambiente. Mudar as permissões da raiz do meu servidor para 700 me torna mais seguro? O que acontecerá quando eu sincronizar depois de alterar algum arquivo .py em minha máquina dev ou adicionar algum novo arquivo? será alterado automaticamente para 700 ou eu preciso chmod novamente após cada rsync de operação?

    
por Ejonas GGgg 12.05.2017 / 19:13

2 respostas

1

Para acessar qualquer arquivo em sistemas semelhantes ao Unix, você precisa da permissão pesquisa para todos os componentes de diretório que os conduzem.

Por exemplo, para poder abrir /a/b/c para leitura, você precisa da permissão de pesquisa ( x bit em ls -l output) para / , /a e /a/b e read ( o r bit) para /a/b/c .

Portanto, se você restringir as permissões de pesquisa de / , estará restringindo o acesso a todos os arquivos.

Com / normalmente tendo um ID de proprietário 0, ter 700 permissões significa que nenhum usuário, exceto o usuário root, terá acesso a qualquer arquivo. De qualquer forma, root tem acesso a qualquer arquivo, independentemente das permissões.

O que isso significa é que para que o sistema possa fazer qualquer coisa (como a maioria das coisas envolve a abertura de um arquivo ou outro), tudo teria que ser executado como root , ou seja, o usuário que pode fazer qualquer coisa.

Então, na verdade, você estaria jogando fora os benefícios de segurança trazidos pelo controle de acesso do usuário. Não muito, alterando as permissões de / para 0700, mas alterando seu sistema para que tudo seja executado como root para que seja utilizável com as permissões / with 0700.

    
por 12.05.2017 / 20:56
0

Você quer dizer chmod 700 --recursive / ? Isso só causará problemas. Desde que você disse que o servidor não é compartilhado, as permissões de pasta não são tão importantes. A segurança da aplicação é importante. Verifique SELinux , embora seja algo avançado.

rsync tem opções para lidar com permissões. Você pode --chmod=CHMOD affect file and/or directory permissions durante a sincronização para aplicar a permissão adequada ao destino.

    
por 12.05.2017 / 19:57