今天我在我的 VPS 上测试了一些东西,并意识到“www-data”用户具有对主文件夹和系统内部文件夹的读取权限,这将使潜在的攻击者能够收集 /var/www 目录之外的信息,例如 RSA_Keys 或主目录中的批处理文件。
一开始我以为我的文件权限或其他方面出了问题,但我可以在新安装的虚拟机上重现这种行为。
操作系统:Ubuntu 20.04 LTS,已应用所有更新 Web 服务器:采用标准配置的 Apache2
我如何测试:sudo -u www-data bash-->nano /home/user/stuff.txt或者nano /folder/rsa.pem
这是预期的行为吗?我错过了什么吗?我该如何拒绝 www-data 用户访问特定文件夹?
提前致谢!
答案1
在 Ubuntu 20.10 及更早版本中,预计 /home 目录将在全球范围内可读。
该行为已在 21.04 及更新版本中发生改变;/home 目录不再可全局读取。
- 21.04 及更新版本的新安装获得了新的行为。
- 新安装的 20.04 及更早版本将保留旧的行为
- 版本升级不会改变行为。如果您从 20.04 版本升级到 22.04,您的 /home 目录将保持全局可读
回到过去,你通缉允许其他人读取(而不是写入)目录中的文件。这是在多用户系统上共享信息的一种方式。当然,您也知道在多用户系统上最好不要保留私人数据。
从安全角度来看,这仍然是正确的:服务器应被视为多用户系统。不要将敏感的私人文件 1) 未加密,以及 2) 与公共网络服务器放在同一个文件系统上。