В какой-то степени я понимаю цель ограничения разрешений только тем, что необходимо, но у меня нет полного представления о возможных опасностях их открытия. Меня больше всего беспокоят веб-серверы.
Предположим, что в наихудшем случае будет 777 разрешений во всей системе. Я вижу, что если бы произошло нарушение безопасности, это автоматически было бы уязвимостью эскалации. Что еще? Помимо очевидного, другие пользователи системы будут иметь слишком большой доступ.
Примечание: я не предлагаю использовать свободные разрешения. Я хочу понять опасности, чтобы лучше применять настройки.
Примечание: я не специалист по безопасности, поэтому все это может быть совершенно неточно.
Для веб-сервера, особенно для форума / блога / CMS, на котором люди могут самостоятельно зарегистрироваться, потеря разрешений способствует следующей атаке:
Ограничение прав доступа к файлам может помочь с
Наихудший сценарий использования 777 для разрешений файлов в папке или файле заключается в том, что если каким-то образом пользователь может установить файл (или изменить существующий файл) и использовать его для фактического выполнения вредоносного кода, он получит возможность, возможно, получить доступ к учетным данным, которые вы используете для других служб в вашей системе, например, для вашей базы данных. Тогда все, черт возьми, вырвется наружу ...
Посмотри это запись в блоге о разрешениях файлов на веб-серверах для получения дополнительной информации (или просто выполните поиск в Google - имеется довольно много свидетельств того, какие опасности существуют при использовании свободных прав доступа к файлам).
Часто сервер Apache «принадлежит» учетным записям пользователей dhapache или nobody. Эти учетные записи имеют ограниченный доступ к файлам на сервере по очень уважительной причине. Установив для ваших личных файлов и папок, принадлежащих вашей учетной записи, возможность записи во всем мире, вы буквально делаете их доступными для записи в мире. Теперь dhapache и никто из пользователей, которые запускают ваш сервер, обслуживают страницы, выполняют интерпретаторы PHP и т. Д., Будут иметь полный доступ к файлам вашей учетной записи.
Это дает возможность кому-то получить доступ к вашим файлам, взломав практически любой процесс на вашем сервере, в том числе и любых других пользователей на вашем компьютере. Поэтому вам следует тщательно подумать об изменении разрешений на вашем компьютере. Я никогда не встречал ничего, для чего требовалось больше 767, поэтому, когда вы видите 777, спросите, зачем это нужно.
Этот сайт может показать вам общие проблемы и т. Д. http://packetstormsecurity.org/
Итак, если взять ваш пример глобального разрешения 777 в вашей системе, могут произойти следующие вещи:
Я думаю, это уже многое указывает, это просто НЕ ДЕЛАЙТЕ ...
Конечно, это были всего лишь примеры, есть еще много вещей, и 777 - не единственное, о чем вам следует беспокоиться, есть много способов получить доступ к вашей системе.
Например, старые приложения с известными проблемами безопасности.