¿Existe alguna herramienta o fuente comprensible (manual, página web, ...) que ayude a un usuario moderado* a ser más sensato con respecto a los permisos de usuario?
En el mundo de mis sueños ideal, tendría una herramienta CLI que le permita escanear su sistema o un directorio para encontrar lagunas de seguridad y le brinde comentarios sensibles y legibles sobre cómo se podría mejorar la seguridad.
Quiero decir "seguridad" a la manera de la generación en línea: cómo evitar que mi máquina (que ejecuta arch por cierto) sea infiltrada por un virus, un gusano,... No me molestan "mi hermano pequeño arruinará mi sistema" y problemas tangentes .
¿Existe este tipo de herramienta?
Jeesh: Sueno como un usuario de Windows: estoy paranoico con la seguridad y todo eso. Acabo de cambiar de Mac, donde nunca he tenido problemas de seguridad, a Linux. Aunque sé que la seguridad está bastante integrada en Unix con el concepto de permisos, me siento un poco expuesto porque no estoy muy seguro de hasta qué punto la seguridad que me ofrecía mi Mac era parte de Mac en lugar de Unix. Debe haber algunos exploits que una parte maliciosa pueda usar en Linux, ¿no?
*un usuario moderado es una persona que sabe cómo usar la CLI (de hecho, prefiero usar la CLI), etcétera, pero no es el tipo de persona que compila su propia versión de Linux.
Respuesta1
Evidentemente existen los típicos libros de administración de sistemas Linux en cuanto a permisos. Pero eso realmente no responde a tu pregunta. Yo recomendaría lo siguiente:
- use un
findcomando para buscar "archivos grabables en todo el mundo" - use un
findcomando para buscar "archivos setUID y setGID" - use una herramienta de escaneo o fortalecimiento de seguridad del sistema para verificar si su sistema tiene vulnerabilidades. Hay toneladas de estas disponibles, la mejor página que he visto enumerándolas es la de YoLinux.
Herramientas de auditoría de seguridad de YoLinux
Lo recomendaría Bastille-linuxy Nessus. En cuanto a los comandos de búsqueda, una simple búsqueda en la red los mostrará. Más allá de eso, es simplemente leer y alterar su sistema.
EDITAR:Obviamente, no necesariamente desea modificar los permisos en los archivos de lectura o escritura mundiales o en los binarios setUID y GID. Muchos programas necesitan estos gustos passwdy ya están bloqueados para que no sean explotables. Tendrá que investigar para ver si su sistema los necesita.
También evite establecer permisos de manera demasiado liberal de forma predeterminada. No es necesario dar otherpermisos si no los necesita. Configure grupos y no incluya a todos userssi no es necesario. No exportes recursos compartidos de NFS a * y sigue leyendo root_squashsi estás jugando con NFS.