.profileLinux 시스템에서 파일을 확인 했으며 권한이 .bash_profile있습니다 .~-rw-r--r--
사람들은 종종 AWS 키 등을 포함하여 다양한 환경 변수를 이러한 파일에 넣는 것 같습니다.
이러한 비소유자 R 비트는 홈 디렉토리 자체가 drwx------.
하지만.
이로 인해 잠재적인 공격 표면이 증가하지 않습니까? 많은 Linux 배포판에서 기본적으로 이러한 R 비트를 활성화하는 이유는 무엇입니까? 현재 작동하는 특정 사용 사례가 있나요?
그런데 .bash_history가 있습니다 -rw-------. 그래서 테마에 있는 파일보다 더 비공개적으로 보입니다. 이유가 확실하지 않습니다.
답변1
첫째, 기본 구성 파일에는 비밀번호가 포함되어 있지 않으며 이러한 파일의 정보는 일반적으로 민감하지 않습니다. 민감한 정보는 여기에 들어가는 경우가 거의 없으며 일반적으로 많이 변경되지 않습니다. 민감한 정보를 여기에 넣고 싶다면 그때그때 권한을 변경할 수 있습니다. 중요한 정보는 별도의 파일에 넣고 구성 파일에서 가져오는 것이 좋습니다. 반면, .bash_history최근 활동을 포함하여 많은 개인 정보가 포함될 수 있습니다.
둘째, 환경 변수는 명령을 어떻게 사용하든 누구나 읽을 수 있기 때문에 ps어쨌든 민감한 정보를 환경 변수에 넣는 것은 안전하지 않으므로 .bashrc환경 설정을 넣은 다음 누구나 읽을 수 있게 만드는 것은 중요하지 않습니다. 보안을 줄입니다. 환경 변수는 이미 누구나 읽을 수 있기 때문입니다.
답변2
그것은 잘못된 것입니다. 읽을 수 없어야 합니다. 여기에는 API 키가 포함된 환경 변수 정의 등 민감한 정보가 포함될 수 있습니다.
TXR 언어에서는 이에 대해 뭔가를 했습니다. 대화형 세션이 시작되면 시작 파일의 권한을 확인하고 진단을 수행합니다.
$ ls -l ~/.txr_profile
-rw-r----- 1 kaz kaz 775 Aug 2 2021 /home/kaz/.txr_profile
$ txr
This is the TXR Lisp interactive listener of TXR 292.
Quit with :quit or Ctrl-D on an empty line. Ctrl-X ? for cheatsheet.
Merry GNUsmas, dear FSF friends! ... Crap, wait. That's 'Samsung' backwards!
1>
$ chmod go+r ~/.txr_profile
$ txr
This is the TXR Lisp interactive listener of TXR 292.
Quit with :quit or Ctrl-D on an empty line. Ctrl-X ? for cheatsheet.
** security problem: /home/kaz/.txr_profile is readable by others
1>
구성 파일을 실행하지 않으므로 임의 참조가 표시되지 않습니다. 잘못된 권한으로 프로필을 생성하면 프로필에 입력한 모든 항목이 실행되지 않습니다. 프로필이 작동하려면 권한을 수정해야 합니다.
Bash 기록은 배포가 아닌 파일을 생성하고 Bash가 올바른 생성 마스크를 사용하기 때문에 비공개입니다.
그러나 , 또는 ~/.bash_history으로 변경 하고 새 Bash 인스턴스를 시작하면 경고가 표시되지 않습니다. 이런!rw-r--r--rw-rw-rw-