공유 webhhost로 데비안 상자를 설정하고 있습니다. 이러한 사용자에게는 ssh 권한이 없고 ftp 권한만 있습니다. 사용자가 PHP를 사용할 수 있도록 허용합니다. suphpPHP 프로세스가 자신의 사용자 계정으로 실행되도록 설정했습니다.
/etc시스템 파일, 특히 폴더 의 보안이 조금 걱정됩니다 . 이 디렉터리에 있는 대부분의 파일에는 다음과 같은 권한이 있는 것으로 확인되었습니다.
drwxr-xr-x 2 root root 4096 Mar 4 20:00 pam.d
-rw-r--r-- 1 root root 1358 Mar 5 00:48 passwd
-rw------- 1 root root 1358 Mar 5 00:48 passwd-
drwxr-xr-x 2 root root 4096 Feb 18 14:22 pear
drwxr-xr-x 4 root root 4096 Apr 29 2010 perl
drwxr-xr-x 6 root root 4096 Feb 18 14:22 php5
drwxr-xr-x 2 root root 4096 Mar 4 17:42 phpmyadmin
데비안 표준에서 파일에 부여된 읽기 권한이 /etc정말로 필요한가요? 이러한 파일에 대해 제공할 수 있는 가장 좋은 마스크는 무엇입니까? 그 안에 있는 파일 중 누구나 /etc읽을 수 있어야 합니까?
답변1
기본 권한은 괜찮고 필수입니다. 예를 들어, passwd를 읽을 수 있는 상태로 유지하지 않으면 많은 사용자 관련 기능이 작동하지 않습니다. /etc/shadow와 같은 파일은 누구나 읽을 수 있어서는 안 됩니다.
알지 못하는 한 운영 체제가 이 작업을 올바르게 수행하도록 신뢰하십시오.매우 좋은운영 체제가 잘못되었습니다.
답변2
거의 모든 구성 파일은 누구나 읽을 수 있어야 합니다. 그렇지 않으면 애플리케이션에서 이를 어떻게 읽을 것으로 예상합니까?
편집증이 심한 사람이라면 각 응용 프로그램에 대한 그룹을 만들고 필요한 사용자를 그룹에 넣은 다음 그룹 소유자와 관련 프로필의 권한을 변경할 수 있습니다. 하지만 나는 이것이 득보다 실이 더 크다고 생각한다.
내가 생각할 수 있는 유일한 중요한 파일 중 누구나 읽을 수 있는 권한이 없는 파일은 다른 설명에서 언급한 것처럼 /etc/shadow입니다.
안전한 데비안 상자를 원한다면 추천합니다데비안 보안 가이드조금 오래되었지만 좋은 개요를 제공합니다.
게다가강화된 팩이는 몇 가지 흥미로운 종속성을 생성하고 알려진 취약한 패키지의 설치를 비활성화합니다.
답변3
다 괜찮아와는 별개로목차 phpmyadminmysql 비밀번호가 유출되지 않도록 파일을 잘 보호하시기 바랍니다.
답변4
한 단계 뒤로 돌아가서, 이러한 사용자가 자신의 홈 디렉터리에만 액세스해야 하는 경우 대부분의 FTP 서버에는 몇 가지 구성 설정이 있습니다.오직해당 디렉토리에 대한 액세스를 허용하지만 다른 디렉토리에는 액세스를 허용하지 않습니다(가장 일반적으로 chroot 사용).
예를 들어 ProFTPd에서는 DefaultRoot 지시문입니다.
<VirtualHost myhost.example.com>
DefaultRoot ~
</VirtualHost>