Gibt es ein Tool oder eine verständliche Quelle (Handbuch, Webseite usw.), die einem durchschnittlichen* Benutzer hilft, vernünftiger mit Benutzerberechtigungen umzugehen?
In meiner idealen Traumwelt hätte ich ein CLI-Tool, mit dem man sein System oder ein Verzeichnis nach Sicherheitslücken durchsuchen kann und das einem sinnvolles, lesbares Feedback dazu gibt, wie man seine Sicherheit verbessern kann.
Ich meine "Sicherheit" Im Stil der Online-Generation: Wie verhindere ich, dass mein Rechner (auf dem übrigens Arch läuft) von einem Virus, einem Wurm usw. befallen wird? „Mein kleiner Bruder wird mein System ruinieren“ und andere Probleme stören mich nicht.
Gibt es ein solches Werkzeug?
Jeesh: Ich klinge hier wie ein Windows-Benutzer: Ich bin paranoid, was die Sicherheit angeht und so. Ich bin gerade von Mac – wo ich nie Sicherheitsprobleme hatte – auf Linux umgestiegen. Obwohl ich weiß, dass Sicherheit mit dem Konzept der Berechtigungen ziemlich fest in Unix verankert ist, fühle ich mich doch ein bisschen angreifbar, weil ich nicht ganz sicher bin, inwieweit die Sicherheit, die mir mein Mac bietet, Teil von Mac und nicht von Unix ist. Es muss doch einige Exploits geben, die böswillige Parteien unter Linux ausnutzen können, oder?
*ein mäßiger Benutzer ist eine Person, die weiß, wie man die CLI verwendet (tatsächlich bevorzuge ich die CLI) usw., aber nicht der Typ ist, der seine eigene Linux-Version kompiliert.
Antwort1
Natürlich gibt es die üblichen Bücher zur Linux-Systemadministration, die sich mit Berechtigungen befassen. Aber das beantwortet Ihre Frage nicht wirklich. Ich würde Folgendes empfehlen:
- Verwenden Sie einen
findBefehl, um nach „für alle beschreibbaren Dateien“ zu suchen. - Verwenden Sie einen
findBefehl, um nach „setUID- und setGID-Dateien“ zu suchen. - Verwenden Sie ein Systemsicherheits-Scanning- oder Härtungstool, um Ihr System auf Schwachstellen zu überprüfen. Davon gibt es Unmengen. Die beste Seite, die ich mit einer Liste gesehen habe, ist die von YoLinux.
YoLinux Sicherheits-Auditing-Tools
Ich würde Bastille-linuxund empfehlen Nessus. Die Suchbefehle lassen sich mit einer einfachen Internetsuche finden. Darüber hinaus ist es reines Lesen und Herumspielen mit Ihrem System.
BEARBEITEN:Natürlich möchten Sie nicht unbedingt die Berechtigungen für allgemein lesbare oder beschreibbare Dateien oder setUID-, GID-Binärdateien ändern. Viele Programme benötigen diese passwdund sind bereits so gesperrt, dass sie nicht ausgenutzt werden können. Sie müssen recherchieren, ob Ihr System sie benötigt.
Vermeiden Sie außerdem, Berechtigungen standardmäßig zu großzügig zu vergeben. Sie müssen keine otherBerechtigungen erteilen, wenn sie nicht benötigt werden. Richten Sie Gruppen ein und fügen Sie nicht jeden hinzu, wenn es nicht unbedingt nötig ist. usersExportieren Sie NFS-Freigaben nicht nach * und informieren Sie sich, root_squashwenn Sie mit NFS herumspielen.