Proteggi il file di configurazione di un servizio

2

Ho un servizio in esecuzione su una macchina Linux, avviato con upstart, che viene eseguito come utente "the_user", deve leggere un file di configurazione. Avere il file di proprietà di root renderebbe le cose più sicure, ma impedirebbe al servizio di leggere il file.

So che nginx può leggere un file cert privato di proprietà di root mentre è in esecuzione come utente non root.

Ho letto sull'approccio o sull'approvvigionamento di uno script che imposta le variabili di ambiente sensibili lette da un file di proprietà radice e quindi avvia il processo di servizio come utente del servizio, che quindi "eredita" dalle variabili di ambiente.

Qual è l'approccio migliore?

    
posta Max L. 01.04.2015 - 17:41
fonte

1 risposta

2

Non sono sicuro se questo è l'approccio "corretto", ma cambierei le autorizzazioni del file come proprietario di root ma anche di proprietà di un altro gruppo che ha solo accesso in lettura. Assicurati che il tuo nuovo utente si trovi in questo gruppo condiviso.

# groupadd upstart
# usermod -G upstart the_user
# chown root:upstart the_file.conf
# chmod 740 the_file.conf

Quanto sopra aggiunge un nuovo gruppo "upstart" a cui viene aggiunto l'utente "the_user". La proprietà del file viene modificata nel gruppo "root" dell'utente "upstart" e le autorizzazioni impostate su "root" leggono, scrivono, eseguono; e il gruppo "upstart" ha letto.

    
risposta data 01.04.2015 - 18:08
fonte

Leggi altre domande sui tag