Изменен режим /var на Debian

Question

Это очень распространенная ошибка для людей, использующих ОС, в которых отсутствует концепция разрешений. Многие

sudo chmod -R 777 /

и такие случаи были, возможно, с благими намерениями, но это также более или менее единственная ошибка пользователя, которая могла бы заставить меня порекомендовать «просто переустановить» систему *nix.

Если вы просто chmod -R 755, то вы среди прочего дадите читать иисполнениеразрешение на каждый файл для любого. Если просто удалить выполнение для каждого файла (каталоги должны быть доступны для просмотра), то можно удалить бит выполнения для некоторых файлов, которые былипредполагаемыйбыть исполняемым и т. д.

В этом случае это, возможно, не так серьезно, как -R /, например, но /var/logесть много файлов, которыенетПредполагается, что у него есть разрешение на чтение для всех. Небольшой отрывок:

-rw-r--r-- alternatives.log
drwxr-x--- apache2
drwxr-xr-x apt
-rw-r--r-- aptitude
-rw-r----- auth.log
-rw-r----- boot
-rw-rw---- btmp
drwxr-xr-x ConsoleKit
drwxr-xr-x cups
-rw-r----- daemon.log
drwxr-xr-x dbconfig-common
-rw-r----- debug
-rw-r----- dmesg
-rw-r--r-- dpkg.log
-rw-r--r-- duplicity-backup.0
drwxr-s--- exim4
-rw-r----- fail2ban.log
-rw-r--r-- faillog
-rw-r--r-- fontconfig.log
drwxr-xr-x fsck
drwxr-xr-x hp
drwxr-xr-x installer
-rw-r----- kern.log
-rw-rw-r-- lastlog
-rw-r--r-- lpr.log
-rw-r--r-- mail.err
-rw-r--r-- mail.info
-rw-r--r-- mail.log
-rw-r--r-- mail.warn
-rw-r----- messages
drwxr-x--- mrtg
drwxr-s--- mysql
-rw-r----- mysql.err
-rw-r----- mysql.log
drwxr-sr-x news
-rw-r--r-- popularity-contest
-rw-r--r-- pycentral.log
-rw-r--r-- rssdler.log
drwxr-xr-x samba
-rw-r----- shorewall-init.log
-rw-r----- syslog
drwxr-xr-x unattended-upgrades
-rw-r----- user.log
-rw-rw-r-- wtmp
-rw-r--r-- Xorg.0.log

Это нетривиально восстановить. И это был всего лишь один каталог.

В общем: даже если вы снова заставили SSH работать, у вас была нетривиально исправимая потеря информации о разрешениях. Если это касается строго личного сервера, последствия, вероятно, не такие уж ужасные, но разрешения установлены максимально ограничительными по какой-то причине. Например, в файлах журналов, которые я упомянул выше, может храниться конфиденциальная информация, и теперь достаточно эксплойта с правами обычного пользователя, чтобы узнать об этом и получить еще больше информации для атак с правами root.

В последний раз я видел, как кто-то chmod -R 777вчера на местном форуме дал совет "Сделай!!!". Не доверяйте интернету! :-)

Answer 1

Это очень распространенная ошибка для людей, использующих ОС, в которых отсутствует концепция разрешений. Многие

sudo chmod -R 777 /

и такие случаи были, возможно, с благими намерениями, но это также более или менее единственная ошибка пользователя, которая могла бы заставить меня порекомендовать «просто переустановить» систему *nix.

Если вы просто chmod -R 755, то вы среди прочего дадите читать иисполнениеразрешение на каждый файл для любого. Если просто удалить выполнение для каждого файла (каталоги должны быть доступны для просмотра), то можно удалить бит выполнения для некоторых файлов, которые былипредполагаемыйбыть исполняемым и т. д.

В этом случае это, возможно, не так серьезно, как -R /, например, но /var/logесть много файлов, которыенетПредполагается, что у него есть разрешение на чтение для всех. Небольшой отрывок:

-rw-r--r-- alternatives.log
drwxr-x--- apache2
drwxr-xr-x apt
-rw-r--r-- aptitude
-rw-r----- auth.log
-rw-r----- boot
-rw-rw---- btmp
drwxr-xr-x ConsoleKit
drwxr-xr-x cups
-rw-r----- daemon.log
drwxr-xr-x dbconfig-common
-rw-r----- debug
-rw-r----- dmesg
-rw-r--r-- dpkg.log
-rw-r--r-- duplicity-backup.0
drwxr-s--- exim4
-rw-r----- fail2ban.log
-rw-r--r-- faillog
-rw-r--r-- fontconfig.log
drwxr-xr-x fsck
drwxr-xr-x hp
drwxr-xr-x installer
-rw-r----- kern.log
-rw-rw-r-- lastlog
-rw-r--r-- lpr.log
-rw-r--r-- mail.err
-rw-r--r-- mail.info
-rw-r--r-- mail.log
-rw-r--r-- mail.warn
-rw-r----- messages
drwxr-x--- mrtg
drwxr-s--- mysql
-rw-r----- mysql.err
-rw-r----- mysql.log
drwxr-sr-x news
-rw-r--r-- popularity-contest
-rw-r--r-- pycentral.log
-rw-r--r-- rssdler.log
drwxr-xr-x samba
-rw-r----- shorewall-init.log
-rw-r----- syslog
drwxr-xr-x unattended-upgrades
-rw-r----- user.log
-rw-rw-r-- wtmp
-rw-r--r-- Xorg.0.log

Это нетривиально восстановить. И это был всего лишь один каталог.

В общем: даже если вы снова заставили SSH работать, у вас была нетривиально исправимая потеря информации о разрешениях. Если это касается строго личного сервера, последствия, вероятно, не такие уж ужасные, но разрешения установлены максимально ограничительными по какой-то причине. Например, в файлах журналов, которые я упомянул выше, может храниться конфиденциальная информация, и теперь достаточно эксплойта с правами обычного пользователя, чтобы узнать об этом и получить еще больше информации для атак с правами root.

В последний раз я видел, как кто-то chmod -R 777вчера на местном форуме дал совет "Сделай!!!". Не доверяйте интернету! :-)

Изменен режим /var на Debian

решение1

Связанный контент