Существует ли инструмент или понятный источник (руководство, веб-страница, ...), который поможет умеренному* пользователю более разумно относиться к правам пользователя?
В идеальном мире моей мечты я бы хотел иметь инструмент командной строки, который позволяет сканировать вашу систему или каталог, чтобы находить лазейки в системе безопасности, и дает вам разумную, понятную обратную связь о том, как можно улучшить безопасность.
Я имею в виду "безопасность"в духе поколения Интернета: как защитить мою машину (на которой, кстати, установлена Arch) от проникновения вирусов, червей, ... Меня не волнуют проблемы типа "мой младший брат испортит мою систему" и сопутствующие проблемы.
Существует ли такой инструмент?
Jeesh: Я звучу как пользователь Windows: параноидально настроенный по поводу безопасности и всего такого. Я только что перешел с Mac, где у меня никогда не было проблем с безопасностью, на Linux. Хотя я знаю, что безопасность довольно сильно встроена в Unix с концепцией разрешений, я чувствую себя немного уязвимым, потому что не совсем уверен, насколько безопасность, которую мне предлагал Mac, была частью Mac, а не Unix. Должны же быть какие-то эксплойты, которые злоумышленник может использовать в Linux, не так ли?
*Умеренный пользователь — это человек, который знает, как использовать CLI (на самом деле я предпочитаю использовать CLI) и т. д., но не относится к тому типу людей, которые компилируют свою собственную версию Linux.
решение1
Очевидно, есть типичные книги по администрированию систем Linux, касающиеся разрешений. Но это не совсем ответ на ваш вопрос. Я бы рекомендовал следующее:
- используйте
findкоманду для поиска «файлов, доступных для записи всем» - используйте
findкоманду для поиска «файлов setUID и setGID» - используйте средство сканирования или усиления безопасности системы, чтобы проверить ее на наличие уязвимостей. Существует множество таких средств, лучшая страница с их перечнем, которую я видел, — это YoLinux.
Инструменты аудита безопасности YoLinux
Я бы рекомендовал Bastille-linuxи Nessus. Что касается команд поиска, то простой сетевой поиск их выявит. Дальше это простое чтение и возня с вашей системой.
РЕДАКТИРОВАТЬ:Очевидно, вам не нужно обязательно изменять разрешения на файлы, доступные для чтения или записи, или двоичные файлы setUID,GID. Многим программам они нужны, passwdи они уже заблокированы, чтобы их нельзя было эксплуатировать. Вам придется провести исследование, чтобы узнать, нужны ли они вашей системе.
Также избегайте слишком либеральной установки разрешений по умолчанию. Не нужно давать otherразрешения, если это не нужно. Настройте группы и не добавляйте в них всех, usersесли в этом нет необходимости. Не экспортируйте общие папки NFS в * и прочтите, root_squashесли вы возитесь с NFS.