我有一个类似的问题默认软件配置。对于这个问题我想问一下
我应该确保设置哪些目录/文件权限?
很快每天有数百次闯入尝试是否正常。所以我检查了非 root 用户可写入哪些文件和文件夹。一切都很好。现在我需要保护密码等,所以我检查了读取权限。
我有点害怕。默认情况下,我的 Linux 发行版有 /root 可供读取。我在哪里设置 mysql root 密码。但后来我观察发现 /etc 是可读的。任何用户都可能进入 /etc/ssmtp/ssmtp.conf 并找到我用于邮件的登录名/密码(cron 用来联系我),并可能使用它向所有人发送垃圾邮件,或者将我的服务器或域列入黑名单。我把/etc设置为750,这样会有什么问题吗?
我确信由于读取访问而存在其他漏洞。我应该确保哪些文件/目录不可读取或不可写入?
-编辑-好的,所以我将等改回755。但是,我仍然需要确保某些文件夹不可读。我改变了apache和ssmtp。我想了解其他人。
答案1
任何包含密码或口令短语的文件都应该只能由需要访问该密码的用户(和组,如果适用)读取。对于包含任何其他类型的机密信息的文件也是如此。
大多数文件/etc需要是世界可读的:它们要么是通用系统配置文件,例如/etc/fstab和/etc/passwd,要么是特定应用程序的配置文件。少数例外是/etc/shadow(用户密码)、/etc/sudoers(具有特殊权限的用户)、/etc/ppp/chap-secrets(PPP 密码)或/etc/ssl/private(包含私有 SSL 证书的目录)等文件,它们通常是开箱即用的,具有适当的权限。使/etc世界不可读的技术术语是搬起石头砸自己的脚。别这样做,很痛。
系统配置中很少有邮件密码。通常,邮件使用密码来验证用户而不是系统,因此密码将位于您的主目录中的某个位置。当您使用不寻常的功能时,您确实需要检查是否安全地使用它们(在这种情况下,我怀疑您没有使用适合该工作的正确工具)。
答案2
我知道这与我对您的其他问题给出的答案基本上相同,但除了吉尔斯所说的之外,您还应该使用自动安全审核工具,例如老虎。
如果你的发行版默认提供了一个设置,并且 Tiger 没有对此发出警告,那么该设置应该没问题。对于您自己创建的文件和文件夹,您可以而且应该自行决定。根据我的经验和观点,实际上只有少数文件和文件夹不应该是世界可读的,并且几乎没有充分的理由拥有任何世界可写的东西。