Modo corretto per proteggere una directory dei registri

0

Durante l'irrigidimento di un WAS (in questo caso sto utilizzando Tomcat), OWASP consiglia di applicare queste autorizzazioni Linux nella directory logs :

Make sure tomcat user has read/write access to /tmp and write (300 - yes, only write/execute) access to CATALINA_HOME/logs

Qualcuno può spiegare perché il danno è nel consentire l'autorizzazione di read (dal momento che l'utilizzo semplifica la gestione tramite strumenti remoti senza dover utilizzare sudo )

Modifica

Dopo le risposte, penso di capire meglio il problema e come combinare la sicurezza con la praticità. Suppongo che una soluzione potrebbe essere quella di usare

  • utilizza le autorizzazioni 350
  • cambia proprietario in tomcat: admin
  • esegui l'applicazione con l'utente tomcat, quindi se è sfruttato, l'utente non avrà accesso in lettura ai log, ma gli utenti nel gruppo admin lo faranno, in modo che possano controllare i registri con i loro strumenti in remoto.
posta user1156544 13.12.2017 - 14:10
fonte

1 risposta

3

Nel caso dei registri del server Web, consentire la lettura potrebbe consentire agli utenti remoti di leggere i dati sensibili dal sistema, se è stato trovato alcun compromesso nelle applicazioni Web in esecuzione. D'altro canto, consentendo solo l'accesso in scrittura, i registri del server Web potrebbero potenzialmente contenere voci fraudolente, ma qualsiasi dato sensibile nei file deve rimanere sicuro.

A seconda del tipo di vulnerabilità, potrebbe essere possibile che un attacco aumenti i propri privilegi, ma questo è un ulteriore passo per ottenere informazioni utili, il che potrebbe essere sufficiente per metterli fuori uso. Molti attaccanti sono per lo più interessati a frutta a bassa quota, quindi mantenere le autorizzazioni al livello minimo richiesto per l'esecuzione di un servizio è una buona abitudine.

    
risposta data 13.12.2017 - 14:39
fonte

Leggi altre domande sui tag