Arquivo/pasta Gravação/Exclusão, meu servidor é seguro?

tag-icon tag-icon linux security
Arquivo/pasta Gravação/Exclusão, meu servidor é seguro?

Eu queria saber se alguém conseguiu acesso ao meu servidor usando uma conta não root, quanto dano ele pode causar?

Depois su someuserusei este comando para encontrar todos os arquivos e pastas que podem ser gravados.

find / -writable >> list.txt

Aqui está o resultado. É mais /dev/something e /proc/something e estes

/var/lock
/var/run/mysqld/mysqld.sock
/var/tmp
/var/lib/php5

Meu sistema é seguro? /var/tmp faz sentido, mas não sei por que esse usuário tem acesso de gravação a essas pastas. Devo mudá-los?

stat /var/lib/php5me dá 1733, o que é estranho. Por que escrever acesso? por que não ler? isso é algum tipo de uso estranho de um arquivo temporário?

Responder1

Os usuários precisarão de acesso a determinadas áreas no nível do sistema para executar determinados softwares. Por exemplo, /var/run/mysqld/mysqld.sockeles devem estar acessíveis para que possam interagir com bancos de dados.

/var/run em geral possui dados de tempo de execução, como soquetes unix e arquivos pid.

/var/lock contém arquivos de bloqueio para permitir que o software evite colisões de leitura/gravação, etc., e para permitir a abertura exclusiva de arquivos (bloqueio de arquivos, etc.).

O /var/lib/php5 possui um modo de acesso a arquivos muito especial - 1733 - o 1 no início é importante:

Deman chmod

       1000    (the sticky bit).  See chmod(2) and sticky(8).

Então, man stickyobtemos:

STICKY DIRECTORIES
     A directory whose `sticky bit' is set becomes an append-only directory,
     or, more accurately, a directory in which the deletion of files is
     restricted.  A file in a sticky directory may only be removed or renamed
     by a user if the user has write permission for the directory and the user
     is the owner of the file, the owner of the directory, or the super-user.
     This feature is usefully applied to directories such as /tmp which must
     be publicly writable but should deny users the license to arbitrarily
     delete or rename each others' files.

O que isso significa é que é um modo de segurança especial que permite ao usuário criar ou editar arquivos em um diretório, mas apenas o proprietário do arquivo pode excluí-lo.

informação relacionada