Я хотел бы узнать, если кто-то получит доступ к моему серверу, используя учетную запись без прав root, какой ущерб он может нанести?
После этого su someuserя использовал эту команду, чтобы найти все файлы и папки, доступные для записи.
find / -writable >> list.txt
Вот результат. Это в основном /dev/something и /proc/something и эти
/var/lock
/var/run/mysqld/mysqld.sock
/var/tmp
/var/lib/php5
Безопасна ли моя система? /var/tmp имеет смысл, но я не уверен, почему у этого пользователя есть доступ на запись в эти папки. Стоит ли мне их изменить?
stat /var/lib/php5выдает мне 1733, что странно. Почему доступ на запись? почему нет доступа на чтение? это какое-то странное использование временного файла?
решение1
Пользователям потребуется доступ к определенным областям системного уровня для запуска определенного программного обеспечения. Например, /var/run/mysqld/mysqld.sockони должны быть доступны для взаимодействия с базами данных.
/var/run в целом содержит данные времени выполнения, такие как файлы unix-сокетов и pid.
/var/lock содержит файлы блокировки, позволяющие программному обеспечению предотвращать конфликты чтения/записи и т. д., а также разрешать эксклюзивное открытие файлов (блокировка файлов и т. д.).
/var/lib/php5 имеет особый режим доступа к файлам - 1733 - цифра 1 в начале имеет значение:
Отman chmod
1000 (the sticky bit). See chmod(2) and sticky(8).
Итак, отсюда man stickyполучаем:
STICKY DIRECTORIES
A directory whose `sticky bit' is set becomes an append-only directory,
or, more accurately, a directory in which the deletion of files is
restricted. A file in a sticky directory may only be removed or renamed
by a user if the user has write permission for the directory and the user
is the owner of the file, the owner of the directory, or the super-user.
This feature is usefully applied to directories such as /tmp which must
be publicly writable but should deny users the license to arbitrarily
delete or rename each others' files.
Это означает, что это особый режим безопасности, который позволяет пользователю создавать или редактировать файлы в каталоге, но удалить его может только владелец самого файла.