
Ich möchte meinem Webserver-Benutzer (nginx) Lesezugriff auf die Datei /etc/shadow gewähren und die Schritte bestätigen, die ich dazu unternehme. Das von mir verwendete System ist CentOS 7.
- Zuerst habe ich eine Gruppe namens Schatten erstellt:
groupadd shadow
- Dann habe ich den Webserver-Benutzer (nginx) zur Gruppe „Shadow“ hinzugefügt:
usermod -aG shadow nginx
- Dann habe ich den Besitzer auf „root“ und den Dateigruppenbesitzer auf die Gruppe „Shadow“ geändert:
chown root:shadow /etc/shadow
- Dann habe ich allen Benutzern in der Shadow-Gruppe Leseberechtigungen zum Lesen der Datei /etc/shadow erteilt:
chmod g+r /etc/shadow
Nachdem ich diese Schritte ausgeführt habe, ls -l /etc/shadow
habe ich die folgende Ausgabe gesehen
----r-----. 1 root shadow 1390 30. Aug. 12:51 /etc/shadow
Sind die Schritte, die ich befolge, richtig? Bitte lassen Sie es mich wissen, dann kann ich Ihnen bei Bedarf weitere Informationen geben.
Antwort1
Das Ändern einer Eigentümergruppe einer so wichtigen Datei könnte sogar einige Dinge kaputt machen, wasgefährlich.
Der sichere Weg, dies zu erreichen, ist die Verwendung von POSIX-ACLs:
setfacl -m u:special_user:r /etc/shadow
Ein weiteres Problem besteht darin, dass Sie dieses RechtNginx, ein Webserver. Auf dem, nehme ich an, eine Webanwendung läuft. Und es ist keine gute Idee, /etc/shadow
von einer Webanwendung aus direkten Zugriff darauf zu haben.
Dies mag kontraproduktiv erscheinen, aber so machen es alle seriösen Systeme: Sie beinhaltenprivater sicherer Proxy-Dienstder alle Sicherheitsprüfungen durchführt und das Web-Frontend nur mit diesem Proxy-Dienst kommunizieren kann, um auf vertrauliche Daten zuzugreifen oder andere vertrauliche Dinge zu tun. So ist beispielsweise Proxmox VE aufgebaut: Es gibt pvedaemon, der gefährliche Dinge tut, und pveproxy (ein Webserver) kommuniziert nur mit pvedaemon, wenn es solche Dinge tun muss.
Das dritte Problem ist, dass Sie überhaupt auf diese Datei zugreifen. Was wollen Sie damit tun? Diese Datei ist Teil der PAM-Suite. Was passiert, wenn eine Systemauthentifizierung so geändert wird, dass keine Schattendatei verwendet wird, oder wenn sie verschoben wird? Sie sollten PAM-Bibliotheksaufrufe verwenden, die all diese Dinge für Sie erledigen.
Antwort2
Das sieht aus wie die Ausgabe von
chmod g=r /etc/shadow
und nicht
chmod g+r /etc/shadow
aka. Sie scheinen versehentlich ein Gleichheitszeichen anstelle des Additionszeichens verwendet zu haben.
Bearbeiten:
Ich habe gerade mein System noch einmal überprüft und die Berechtigungen für meine /etc/shadow
Datei sehen folgendermaßen aus:
`----------. 1 root root 1183 20 Aug 11.53 /etc/shadow`
Es sieht also so aus, als ob Ihre Berechtigungen zu erwarten sind!