Ist es ein großes Sicherheitsrisiko, die wget-Berechtigung auf 755 zu setzen, damit es von anderen Benutzern als Root ausgeführt werden kann?

Ist es ein großes Sicherheitsrisiko, die wget-Berechtigung auf 755 zu setzen, damit es von anderen Benutzern als Root ausgeführt werden kann?

Ich habe kürzlich in Blogs gelesen, dass wget unter Linux standardmäßig auf 750 gesetzt ist und daher nur von Root ausgeführt werden kann. Ich würde Benutzern gerne wget erlauben und es auf 755 ändern, habe aber im Internet gelesen, dass dies ein großes Sicherheitsrisiko darstellt.

Antwort1

Das Setzen der Berechtigungen auf 755 stellt kein Sicherheitsrisiko dar. Das Sicherheitsrisiko besteht darin, dass böswillige Personen wget verwenden könnten, um Schadsoftware auf Ihren Server herunterzuladen, wenn Sie Software mit Fehlern installiert haben (z. B. eine Blogging-Software oder andere dynamische Websites).

Ich rate Ihnen, etwas wie grsecurity/rsbac, selinux usw. zu verwenden oder, um es einfacher zu machen, nur die richtigen Berechtigungen zu verwenden.

Erstellen Sie eine Gruppe „wget“. Führen Sie ein chgrp wget /usr/bin/wget aus. Setzen Sie den chmod auf 750. Und fügen Sie jeden Benutzer, der wget ausführen darf, in die wget-Gruppe ein.

Fügen Sie dieser Gruppe jedoch keinen Dienst-/Daemon-Benutzer hinzu (wie etwa Apache, MySQL usw.).

Antwort2

Auf den mir zur Verfügung stehenden Systemen CentOS 5,6 und Ubuntu (verschiedene) hat wget 755 Berechtigungen, daher sind 750 nicht der Standard für alle Linux-Distributionen.

Was das Sicherheitsrisiko angeht, ermöglicht wget den Benutzern das Herunterladen beliebiger Dateien, dies ist jedoch auch bei zahlreichen anderen standardmäßig mitgelieferten Dienstprogrammen der Fall.

Antwort3

Wget kann zum Herunterladen von Dateien verwendet werden, wenn es gelingt, Code einzuschleusen. Wget selbst ist kein Problem, aber die Websites mit Schwachstellen, die seine Ausführung ermöglichen.

Dies ist Sicherheit durch Unklarheit, und Web-Apps sollten mit SELinux, AppArmor und IPTables gesichert werden, sodass es unmöglich ist, Dateien herunterzuladen, da Downloads mithilfe von PHP-Funktionen oder anderer Software initiiert werden können, die auf den Server hochgeladen werden können.

verwandte Informationen