Me gustaría darle al usuario de mi servidor web (nginx) acceso de lectura al archivo /etc/shadow y me gustaría confirmar los pasos que estoy siguiendo para hacerlo. El sistema que estoy usando es CentOS 7.
- Primero creé un grupo llamado sombra:
groupadd shadow - Luego agregué el usuario del servidor web (nginx) a la sombra del grupo:
usermod -aG shadow nginx - Luego cambié el propietario a root y cambié el propietario del grupo de archivos a la sombra del grupo:
chown root:shadow /etc/shadow - Luego otorgué permisos de lectura a todos los usuarios del grupo oculto para leer el archivo /etc/shadow:
chmod g+r /etc/shadow
Después de realizar esos pasos, ejecuté ls -l /etc/shadowy veo el siguiente resultado
----r-----. 1 sombra de raíz 1390 30 de agosto 12:51 /etc/shadow
¿Son correctos estos pasos que estoy siguiendo? Por favor, hágamelo saber y puedo proporcionarle información adicional si es necesario.
Respuesta1
Cambiar el grupo propietario de un archivo tan importante podría incluso dañar algunas cosas, lo cual espeligroso.
La forma segura adecuada de lograrlo es utilizar ACL POSIX:
setfacl -m u:special_user:r /etc/shadow
Otro problema aquí es que usted le dio este derecho anginx, un servidor web. Que, supongo, ejecuta alguna aplicación web. Y es muy mala idea tener acceso directo /etc/shadowdesde la aplicación web.
Esto puede parecer contraproducente, pero así es como todos los sistemas serios hacen estas cosas: incluyenservicio de proxy privado seguroque realiza todas las comprobaciones de seguridad y la interfaz web solo puede comunicarse con este servicio proxy para tener acceso a datos confidenciales o hacer otras cosas confidenciales. Por ejemplo, esta es la forma en que está construido Proxmox VE: hay pvedaemon que hace cosas peligrosas y pveproxy (un servidor web) solo habla con pvedaemon cuando necesita hacer esas cosas.
El tercer problema es que no accedes a este archivo. ¿Qué piensas hacer? Este archivo es parte de la suite PAM. ¿Qué sucede si se modifica alguna autenticación del sistema para que no utilice un archivo oculto o se mueva? Deberías usar llamadas a la biblioteca PAM que harán todo eso por ti.
Respuesta2
Eso parece la salida de
chmod g=r /etc/shadow
y no
chmod g+r /etc/shadow
alias. Parece que accidentalmente has usado un signo igual en lugar del signo de suma.
Editar:
Acabo de verificar mi sistema y los permisos para mi /etc/shadowarchivo se ven así:
`----------. 1 root root 1183 20 Aug 11.53 /etc/shadow`
¡Parece que se esperan sus permisos!