Я хочу сделать свой сервер ubuntu 12.04 более безопасным. На самом деле я хотел бы иметь параноидальную безопасность как с правами доступа к файлам, так и с удобной системой. (это моя основная цель)
Для начала я хотел бы изменить разрешения по умолчанию в папке /. Эти разрешения по умолчанию установлены на 755 для большинства папок (rwxr-xr-x). Я хочу поменять их на 751. Как вы думаете, это может вызвать проблемы? Если да, то почему? Требуются ли другие разрешения на чтение для ОС?
Я могу понять, что пользователь (например, www-data) должен иметь возможность записать компакт-диск в каталог, но почему ему нужно иметь возможность читать его содержимое, если ему предоставлен полный путь? Я искал ресурс со строгими правами доступа к файлам, но все, что я нашел, это acls. Я хотел бы сначала попробовать другой подход.
Установка ACL каталогов на 0751 на самом деле будет проблемой больше для вас, чем для системы. Для другие (в 1) список каталогов становится запрещенным, поэтому просматривать операция невозможна. Система обычно знает, что искать и где это искать (а также должна сохранять доступ через пользователя или группу acl).
Обязательно измените ACL через
chmod o-rw directory
поскольку chmod 751 directory может быть опасным (так как вы можете удалить su, липкие биты ...). Я бы посоветовал вам проверить каждый каталог, прежде чем продолжить.
Если вы загуглите параноидальный доступ ubuntu вы увидите интересные страницы в этом отношении, так как установка многих каталогов на 0751 - это то, что я бы не делал / не пытался ..
Если бы это было необходимо или разумно, разработчики Ubuntu уже давно это сделали бы. Как правило, разрешения по умолчанию правильные и достаточно безопасные. Исключением являются утилиты с setuid. Oни жестяная банка считается риском, и вы можете удалить этот режим.
Поскольку большинство файлов принадлежат root: root, для того, чтобы вы могли выполнять стандартные двоичные файлы, которые связываются с разделяемыми библиотеками, необходим другой бит.
Для получения дополнительной информации ознакомьтесь с главой 7 Тест СНГ для Debian Linux.