我想让我的 ubuntu 12.04 服务器更安全一些。实际上,我希望拥有文件权限方面的严密安全性以及可用的系统。(这是我的主要目标)
首先,我想更改 / 文件夹下的默认权限。大多数文件夹的这些权限默认设置为 755 (rwxr-xr-x)。我想将它们更改为 751。您认为这可能会导致问题吗?如果会,为什么会这样?操作系统是否需要其他权限的读取权限?
我可以理解用户(例如 www-data)应该能够进入目录,但如果提供了完整路径,为什么他需要能够读取其内容?我搜索了严格文件权限的资源,但我能找到的只有 acls。我想先尝试另一种方法。
答案1
设置目录 ACL0751实际上对您来说比对系统来说更成问题。对于其他的(1)目录列表被禁止,因此浏览操作无法进行。系统通常知道要查找什么以及在哪里查找(并且还应通过用户或组 acl 保持访问权限)。
确保通过以下方式更改 ACL
chmod o-rw directory
因为chmod 751 directory可能很危险(因为您可能会删除 su、粘性位……)。无论如何,我建议您在继续操作之前检查每个目录。
如果你谷歌搜索ubuntu 偏执狂访问您会看到这方面的有趣页面,因为将许多目录设置为 0751 是我不会做/尝试的事情。
答案2
如果这是必要的,或者明智的,Ubuntu 开发人员早就这样做了。通常,权限默认是正确的,而且相当安全。例外情况是具有 setuid 的实用程序。它们能被视为风险,您可能希望删除此模式。
由于大多数文件都由 root:root 所有,因此为了执行链接到共享库的标准二进制文件,其他位是必需的。
欲了解更多信息,请参阅Debian Linux 的 CIS 基准。