Durante l'irrigidimento di un WAS (in questo caso sto utilizzando Tomcat), OWASP consiglia di applicare queste autorizzazioni Linux nella directory logs
:
Make sure tomcat user has read/write access to /tmp and write (300 - yes, only write/execute) access to CATALINA_HOME/logs
Qualcuno può spiegare perché il danno è nel consentire l'autorizzazione di read
(dal momento che l'utilizzo semplifica la gestione tramite strumenti remoti senza dover utilizzare sudo
)
Modifica
Dopo le risposte, penso di capire meglio il problema e come combinare la sicurezza con la praticità. Suppongo che una soluzione potrebbe essere quella di usare
- utilizza le autorizzazioni 350
- cambia proprietario in tomcat: admin
- esegui l'applicazione con l'utente tomcat, quindi se è sfruttato, l'utente non avrà accesso in lettura ai log, ma gli utenti nel gruppo admin lo faranno, in modo che possano controllare i registri con i loro strumenti in remoto.