Il cambio di autorizzazione di / bin e / usr / bin aumenterà la sicurezza?

Question

Il cambio di autorizzazione di / bin e / usr / bin aumenterà la sicurezza?

#1 da (2 voti)
#2 da (0 voti)

2

Normalmente permessi di cartelle come /bin & /usr/bin ... sono -rwxr-xr-x (755) - eseguibile e leggibile da chiunque. Quindi la mia idea qui è di cambiare i permessi a -rwxr-x--- (750) - non più eseguibile e leggibile da altri.

Voglio limitare l'esecuzione di comandi all'interno del mio sistema (server).

(stavo pensando a uno scenario in cui le funzioni disabilitate di PHP sono in qualche modo aggirate e la porta per l'esecuzione dei comandi ora è aperta per malicouse utente o attaccante (su hosting condiviso), come posso impedirgli di eseguire comandi di sistema? (Premesse offcourse su altre cartelle sono impostati per limitare la sua attività!))

Qualche idea?

linux ubuntu

posta Mirsad 15.12.2016 - 14:50

fonte

2 risposte

0

Le modifiche sono il tuo interprete php in / usr / bin, quindi i tuoi processi web devono essere nel gruppo che ha accesso a / usr / bin comunque.

risposta data 15.12.2016 - 16:22

fonte

Leggi altre domande sui tag linux ubuntu

Con i diritti di accesso SAP_ALL, qualcuno può eseguire un eseguibile sul server SAP Netweaver ABAP? Best practice per la gestione di token TOTP errati

score 2 · Accepted Answer

Sabotare la normale usabilità del tuo sistema probabilmente non aumenta la sicurezza del tuo sistema.

Naturalmente, root e, quindi, gran parte del sistema "maintenance" e il meccanismo di avvio saranno ancora in grado di funzionare normalmente, ma i problemi si incontreranno molto rapidamente - cosa succede se il tuo server web scrive i log e usa un comando esterno per ruotarli? Ciò porterà a bug difficili da prevedere, potenziali insicurezze ...

Anche se così non fosse, un utente malintenzionato in grado di sfuggire al proprio ambiente (ad esempio l'interprete PHP) di exec uting file da /bin/ di solito ha anche i privilegi per scrivere semplicemente i binari di cui hanno bisogno alcune altre directory scrivibili, contrassegnali come eseguibili ed eseguine (o caricheranno semplicemente come oggetti condivisi o un sacco di altre cose. Fondamentalmente, nel momento in cui un utente malintenzionato può exec qualcosa, gli hai dato l'accesso a il livello in cui il processo è in esecuzione, niente aiuta più lì).