비슷한 문제가 있습니다기본 소프트웨어 구성. 나는 이런 질문을 하고 싶다.
어떤 디렉터리/파일 권한을 설정해야 합니까?
곧하루에 수백 번의 침입 시도가 일어나는 것이 정상인가요?. 그래서 확인해 봤어루트가 아닌 사용자가 쓸 수 있는 파일 및 폴더. 모두 괜찮습니다. 이제 비밀번호 등을 보호해야 하므로 읽기 권한을 확인했습니다.
나는 조금 무서워요. 기본적으로 내 Linux 배포판에는 /root를 읽을 수 있습니다. mysql 루트 비밀번호는 어디서 설정하나요? 그러나 나는 /etc를 읽을 수 있다는 것을 발견했습니다. 모든 사용자는 /etc/ssmtp/ssmtp.conf에 가서 내가 메일에 사용하는 로그인/비밀번호(cron이 나에게 연락하는 데 사용함)를 찾아 이를 사용하여 모든 사람에게 스팸을 보내거나 내 서버 또는 도메인을 블랙리스트에 올릴 수 있습니다. /etc를 750으로 설정했는데 문제가 있을까요?
읽기 액세스로 인해 다른 취약점이 있다고 확신합니다. 어떤 파일/디렉토리를 읽거나 쓸 수 없도록 해야 합니까?
-편집-알겠습니다. 대기 시간을 다시 755로 변경하겠습니다. 그러나 여전히 일부 폴더를 읽을 수 없는지 확인해야 합니다. 아파치와 ssmtp를 변경했습니다. 나는 다른 사람들을 알고 싶습니다.
답변1
비밀번호나 비밀번호 문구가 포함된 모든 파일은 비밀번호에 액세스해야 하는 사용자(해당되는 경우 그룹)만 읽을 수 있어야 합니다. 다른 유형의 기밀 정보가 포함된 파일에도 마찬가지입니다.
대부분의 파일은 /etc누구나 읽을 수 있어야 합니다. 파일은 /etc/fstab및 등의 일반 시스템 구성 파일이거나 /etc/passwd애플리케이션별 구성 파일입니다. 몇 가지 예외는 /etc/shadow(사용자 비밀번호), /etc/sudoers(특별 권한이 있는 사용자), /etc/ppp/chap-secrets(PPP 비밀번호) 또는 /etc/ssl/private(개인 SSL 인증서가 포함된 디렉터리)와 같은 파일이며 일반적으로 적절한 권한이 있는 상자에서 제공됩니다. 세상을 읽을 수 없게 만드는 기술 용어 /etc는 발에 총을 쏘는 것입니다. 이러지 마세요, 아파요.
이메일 비밀번호는 시스템 구성에 거의 포함되지 않습니다. 일반적으로 Mail은 사용자를 인증하기 위해 시스템이 아닌 비밀번호를 사용하므로 비밀번호는 홈 디렉토리 어딘가에 위치하게 됩니다. 특이한 기능을 사용할 때는 해당 기능을 안전하게 사용하고 있는지 확인해야 합니다(이 경우 해당 작업에 적합한 도구를 사용하고 있지 않은 것으로 의심됩니다).
답변2
나는 이것이 기본적으로 다른 질문에 대한 답변과 동일하다는 것을 알고 있지만 Giles가 말한 것 외에도 자동화된 보안 감사 도구를 사용해야 합니다.호랑이.
배포판이 기본적으로 설정을 제공하고 Tiger가 이에 대해 경고하지 않는다면 설정은 문제가 없을 것입니다. 자신이 만든 파일과 폴더에 관해 스스로 결정을 내릴 수 있고 내려야 합니다. 내 경험과 의견에 따르면, 누구나 읽을 수 없는 파일과 폴더는 실제로 소수에 불과하며, 누구나 쓸 수 있는 항목을 가질 이유가 거의 없습니다.