Existe uma ferramenta ou fonte compreensível (manual, página da web, ...) que ajuda um usuário moderado * a ser mais sensato sobre as permissões do usuário?
No meu mundo de sonho ideal, eu teria uma ferramenta CLI que permite verificar seu sistema ou diretório para encontrar brechas de segurança e fornecer um feedback sensato e legível sobre como alguém pode melhorar a segurança.
Quero dizer "segurança"no estilo da geração online: como evitar que minha máquina (que está rodando arch aliás) seja infiltrada por um vírus, um worm, ... Não me incomodo com "meu irmão mais novo vai arruinar meu sistema" e problemas tangentes .
Esse tipo de ferramenta existe?
Jeesh: Pareço um usuário do Windows aqui: sendo paranóico com segurança e tudo mais. Acabei de mudar do Mac - onde nunca tive problemas de segurança - para o Linux. Embora eu saiba que a segurança está bastante integrada ao Unix com o conceito de permissões, me sinto um pouco exposto porque não tenho certeza de quanto a segurança que meu Mac me ofereceu fazia parte do Mac em vez do Unix. Deve haver algumas explorações que uma parte maliciosa pode usar no Linux, não?
*um usuário moderado é uma pessoa que sabe usar a CLI (na verdade eu prefiro usar a CLI) etc., mas não é o tipo de pessoa que compila sua própria versão Linux.
Responder1
Obviamente, existem livros típicos sobre administração de sistemas Linux sobre permissões. Mas isso realmente não responde à sua pergunta. Eu recomendaria o seguinte:
- use um
findcomando para procurar por "arquivos graváveis em todo o mundo" - use um
findcomando para procurar por "arquivos setUID e setGID" - use uma ferramenta de verificação ou proteção de segurança do sistema para verificar se há vulnerabilidades em seu sistema, há muitas delas disponíveis, a melhor página que vi listando-as é do YoLinux
Ferramentas de auditoria de segurança YoLinux
Eu recomendaria Bastille-linuxe Nessus. Quanto aos comandos find, uma simples pesquisa na rede irá aumentá-los. Além disso, é uma leitura direta e uma bagunça no seu sistema.
EDITAR:Obviamente, você não deseja necessariamente modificar as permissões nos arquivos legíveis ou graváveis em todo o mundo ou nos binários setUID, GID. Muitos programas precisam disso passwde já estão bloqueados para não serem exploráveis. Você terá que fazer uma pesquisa para ver se o seu sistema precisa deles.
Evite também definir permissões de maneira muito liberal por padrão. Não há necessidade de conceder otherpermissões se não for necessário. Configure grupos e não deixe todo mundo entrar usersse não for necessário. Não exporte compartilhamentos NFS para * e leia root_squashse estiver mexendo com o NFS.