înregistrare Logare
Puncte:1
avatar Ubuntu

Posibilă slăbiciune în permisiunea www-data?

drapel in
MrAdmin

astăzi testam ceva pe VPS-ul meu și mi-am dat seama că utilizatorul „www-data” are acces la citire în folderele Home și în folderele interne ale sistemului, ceea ce ar oferi unui posibil atacator posibilitatea de a aduna informații în afara directorului /var/www. de exemplu. RSA_Keys sau fișiere lot în directorul principal.

Mai întâi am crezut că am greșit permisiunile de fișiere sau ceva de genul, dar aș putea reproduce acest comportament pe o mașină virtuală proaspătă instalată.

OS: Ubuntu 20.04 LTS, cu toate actualizările aplicate Server web: Apache2 cu configurație standard

Cum am testat: sudo -u www-data bash --> nano /home/user/stuff.txt sau nano /folder/rsa.pem

Este acesta un comportament așteptat? imi scapa ceva? Și cum pot refuza accesul utilizatorului www-data la anumite foldere?

Mulțumesc anticipat!

35
0 + 0
pLumo avatar
drapel in
pLumo
Aceasta este prin proiectare. Puteți restricționa cu ușurință accesul, verificați https://askubuntu.com/questions/46501/why-can-other-users-see-the-files-in-my-home-folder. Și dacă urmați ghidul Ubuntu Server, vi se va spune (https://ubuntu.com/server/docs/security-users).
0
Răspunde
pLumo avatar
drapel in
pLumo
Btw: Ubuntu > 21.04 [implicit pentru directoarele private `$HOME` ale utilizatorilor](https://ubuntu.com/blog/private-home-directories-for-ubuntu-21-04).
2
Răspunde
Puncte:0
user535733 avatar Ubuntu
drapel cn
user535733

Directorele/home care pot fi citite în gol este un comportament așteptat în Ubuntu 20.10 și versiunile anterioare.

Comportamentul a fost schimbat în 21.04 și versiunile mai noi; directoarele /home nu mai pot fi citite la nivel global.

  • Noile instalări din 21.04 și mai noi primesc noul comportament.
  • Noile instalări de la 20.04 și mai vechi capătă vechiul comportament
  • Actualizările de lansare NU schimbă comportamentul. Dacă lansați upgrade de la 20.04 la, să zicem, 22.04, directorul dvs. /home va rămâne lizibil la nivel global

Pe vremuri, tu dorit oameni buni să poată citi (nu scrie) în fișierele din directorul dvs.Acesta este o modalitate prin care ați partajat informații pe un sistem multi-utilizator. Desigur, ați știut și mai bine decât să păstrați datele private pe un sistem multi-utilizator.

Din punct de vedere al securității, este încă adevărat: serverele ar trebui tratate ca sisteme multi-utilizator. Nu păstrați documente private sensibile 1) Necriptate și 2) Pe același sistem de fișiere ca un server web public.

0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.