누구나 읽을 수 있는 /root 디렉토리가 왜 나쁜지에 대한 예는 무엇입니까?

Question 1

이는 본질적으로 다른 사용자가 다른 사용자의 홈 디렉터리를 읽지 못하도록 방지하는 권장 사항과 다르지 않습니다.

기본 설정을 모든 사람이 읽을 수 있는 경우 비공개로 유지하려는 새 파일을 저장할 기회가 있습니다. 당신이 복사하기 전에 누군가가 복사할 가능성이 항상 있습니다 chmod go-r.

Answer

이는 본질적으로 다른 사용자가 다른 사용자의 홈 디렉터리를 읽지 못하도록 방지하는 권장 사항과 다르지 않습니다.

기본 설정을 모든 사람이 읽을 수 있는 경우 비공개로 유지하려는 새 파일을 저장할 기회가 있습니다. 당신이 복사하기 전에 누군가가 복사할 가능성이 항상 있습니다 chmod go-r.

Question 2

근본적으로 핵심 개발자 선택에 달려 있다고 생각합니다. 왜? 기본적으로 .net의 거의 모든 내용은 누구에게나 가치가 없기 때문입니다 /root. 일반 작업을 수행하기 위해 누구도 루트로 로그인해서는 안 됩니다.

예를 들어, FreeBSD에서는 모든 사람이 읽을 수 있습니다 /root. /root보안상의 이유로 일부 파일은 읽을 수 없지만 여전히 파일이 있다는 것을 "볼" 수 있습니다 ls(읽을 수는 없습니다). 예를 들어, .history설정되어 있지만-rw------- ..login-rw-r--r--

보안에 대한 FreeBSD의 접근 방식은 Linux와 약간 다릅니다. 역사적으로 FreeBSD는 서버용으로 사용되어 왔으며 데스크톱으로 실행될 수도 있지만 (기본적으로) 서버로 사용하는 것이 훨씬 더 좋습니다.

개인적으로 저는 이 설정에 아무런 문제가 없다고 생각합니다( /root읽을 수 있음).

FreeBSD 에는 /root구성 외에는 거의 아무것도 없습니다. 이메일은 실제 사용자에게 전달되어야 합니다. 누구도 루트로 로그인하면 안 됩니다. 이 계정은 소프트웨어 설치 및 구성과 유지 관리 작업에만 사용할 수 있습니다. 내 생각에 FreeBSD에서는 .history몇 가지 보안에 민감한 파일(예를 들어)을 제외하고는 숨길 것이 아무것도 없습니다./root

이에 대한 자세한 내용을 보려면 다음을 시도하십시오.FreeBSD 매뉴얼의 보안 섹션. 나는 그들이 빠른 스캔에서 읽기로 선택한 것을 보지 못했지만 /root거기에는 많은 정보가 있습니다.

Answer

근본적으로 핵심 개발자 선택에 달려 있다고 생각합니다. 왜? 기본적으로 .net의 거의 모든 내용은 누구에게나 가치가 없기 때문입니다 /root. 일반 작업을 수행하기 위해 누구도 루트로 로그인해서는 안 됩니다.

예를 들어, FreeBSD에서는 모든 사람이 읽을 수 있습니다 /root. /root보안상의 이유로 일부 파일은 읽을 수 없지만 여전히 파일이 있다는 것을 "볼" 수 있습니다 ls(읽을 수는 없습니다). 예를 들어, .history설정되어 있지만-rw------- ..login-rw-r--r--

보안에 대한 FreeBSD의 접근 방식은 Linux와 약간 다릅니다. 역사적으로 FreeBSD는 서버용으로 사용되어 왔으며 데스크톱으로 실행될 수도 있지만 (기본적으로) 서버로 사용하는 것이 훨씬 더 좋습니다.

개인적으로 저는 이 설정에 아무런 문제가 없다고 생각합니다( /root읽을 수 있음).

FreeBSD 에는 /root구성 외에는 거의 아무것도 없습니다. 이메일은 실제 사용자에게 전달되어야 합니다. 누구도 루트로 로그인하면 안 됩니다. 이 계정은 소프트웨어 설치 및 구성과 유지 관리 작업에만 사용할 수 있습니다. 내 생각에 FreeBSD에서는 .history몇 가지 보안에 민감한 파일(예를 들어)을 제외하고는 숨길 것이 아무것도 없습니다./root

이에 대한 자세한 내용을 보려면 다음을 시도하십시오.FreeBSD 매뉴얼의 보안 섹션. 나는 그들이 빠른 스캔에서 읽기로 선택한 것을 보지 못했지만 /root거기에는 많은 정보가 있습니다.

Question 3

부주의한 관리자가 쉽게 해독되는 비밀번호를 검색하고 결과를 그대로 남겨둘 수도 있습니다(올바른 호출이 아닐 수도 있지만 아이디어는 얻을 수 있음).

# john-the-ripper /etc/shadow > ~/cracked-passwords.txt

Answer

부주의한 관리자가 쉽게 해독되는 비밀번호를 검색하고 결과를 그대로 남겨둘 수도 있습니다(올바른 호출이 아닐 수도 있지만 아이디어는 얻을 수 있음).

# john-the-ripper /etc/shadow > ~/cracked-passwords.txt

Question 4

쓰기 가능한 경우 ~root모든 사용자는 에 SSH 키를 추가한 ~root/.ssh/authorized_keys다음 ssh root@some-host.

~root"읽기 전용" 인 경우 명령줄에 입력한 암호나 기타 자격 증명이 포함될 수 있는 root사용자 파일에 계속 액세스할 수 있습니다. .bash_history또는 실수로 명령 프롬프트에 입력하거나 붙여넣었습니다.

물론 명령줄에서 보안 데이터를 전달하면 안 되지만 이 경고는 즉시 발견하기 쉽고 어쨌든 다른 사용자가 환경 변수를 읽을 수 없어야 하기 때문에 일반적으로 위험도가 낮은 것으로 간주됩니다. root파일 에 대한 액세스 권한이 있으면 실수로든 실수로든 이런 방식으로 입력되었을 수 있는 민감한 데이터에 .bash_history액세스할 수 있습니다 .root

root물론 키 인증을 사용해도 SSH 로그인을 허용하지 않는 등 이러한 문제에 대한 완화 방법이 있습니다 . 또는 쉘 기록을 비활성화하십시오. 아니면 열심히 청소하세요. 하지만 이것들은완화 조치;그들은 보안 양파의 레이어입니다.

0700은 ~root보안 양파의 또 다른 계층입니다. 울고 싶지 않다면 양파 껍질을 벗기지 마세요.

Answer