Este recomandat să schimbați permisiunea directorului rădăcină pentru a îmbunătăți securitatea?

Am un computer care rulează Ubuntu 20.04 Server. Mi-am cumpărat serverul din Digital Ocean în urmă cu 1 an (mai mult sau mai puțin) și în fiecare lună încerc să-i îmbunătățesc securitatea și sunt din plin. Dar despre organizarea utilizatorilor am mereu îndoieli.

Acesta este un server personal, așa că, într-adevăr, cer să îmi îmbunătățesc înțelegerea, pentru proiecte viitoare care ar putea implica mai mulți utilizatori.

Permisiunile mele pentru directorul rădăcină sunt:

 0 lrwxrwxrwx 1 root root 7 mai 14 2020 bin -> usr/bin
 4 drwxr-xr-x 4 root root 4096 Feb 10 06:59 boot
 0 drwxr-xr-x 16 root root 3820 Oct 12 02:34 dev
12 drwxr-xr-x 110 root root 12288 Feb 16 18:11 etc
 4 drwxr-xr-x 4 root root 4096 3 aprilie 2021 acasă
 0 lrwxrwxrwx 1 root root 7 mai 14 2020 lib -> usr/lib
 0 lrwxrwxrwx 1 root root 9 14 mai 2020 lib32 -> usr/lib32
 0 lrwxrwxrwx 1 root root 9 14 mai 2020 lib64 -> usr/lib64
 0 lrwxrwxrwx 1 root root 10 mai 14 2020 libx32 -> usr/libx32
16 drwx------ 2 root root 16384 14 mai 2020 pierdut+găsit
 4 drwxr-xr-x 2 root root 4096 14 mai 2020 media
 4 drwxr-xr-x 2 root root 4096 14 mai 2020 mnt
 4 drwxr-xr-x 3 root root 4096 Dec 18 13:48 opt
 0 dr-xr-xr-x 197 root root 0 iunie 12 2021 proc
 4 drwx------ 10 rădăcină rădăcină 4096 6 februarie 19:31 rădăcină
 0 drwxr-xr-x 31 root root 1040 16 februarie 13:04 rulare
 0 lrwxrwxrwx 1 root root 8 mai 14 2020 sbin -> usr/sbin
 4 drwxr-xr-x 8 root root 4096 16 februarie 17:56 snap
 4 drwxr-xr-x 3 rădăcină rădăcină 4096 3 aprilie 2021 srv
 0 dr-xr-xr-x 13 root root 0 iunie 12 2021 sys
 4 drwxrwxrwt 20 rădăcină rădăcină 4096 16 februarie 18:39 tmp
 4 drwxr-xr-x 15 root root 4096 Aug 6 2021 usr
 4 drwxr-xr-x 16 rădăcină rădăcină 4096 4 decembrie 18:50 var

Puteți vedea câte fișiere au alte grupuri permisiuni de execuție, dar este chiar necesar? X permisiunea înseamnă că orice utilizator poate face

 cd/boot

Sau ceva de genul ăsta. Știu că nu pot edita sau elimina nimic acolo, dar dacă pot intra în director și scrie ls, acel utilizator aleatoriu poate obține informații pe care s-ar putea să nu vreau să le obțină utilizatorul. Odată, un prieten care știa mai mult Linux decât mine mi-a spus că dacă vrei să dai peste cap un server Ubuntu, o poți face schimbând permisiunile fișierelor. Deci nu vreau să-l testez.

Scopul meu este ca fiecare utilizator să nu poată face nimic cu putere suplimentară (introduceți /dev sau /boot), doar chestii de utilizator..

Dar mi-e teamă să sparg ceva schimbând permisiunile.

Ideea mea este: sunt proprietarul serverului și pot obține root, așa că primul meu pas:

În directorul rădăcină aș face sudo chown root:power , Unde putere este un grup in care pot pune niste utilizatori care pot face mai mult decat in mod normal, atunci chmod 750 în total (temperatură mai mică de exemplu)

Dar am auzit că dacă faci chestii de genul ăsta, de exemplu www-data nu am putut gestiona serviciile Apache sau schimba ceva.

Așa că va trebui să adaug putere grupează utilizatorul www-data, ok, atunci își poate gestiona lucrurile, dar cred că există o mulțime de alți utilizatori/grupuri de sistem care ar avea nevoie de ajustări similare pe care nu le cunosc momentan.

Sper că puteți înțelege mai mult sau mai puțin ce vreau să fac și care este scopul meu: modificarea serverului pentru a gestiona mai bine utilizatorii, limitând prin roluri de exemplu.Dar sunt puțin pierdut în ceea ce privește cum să încep.

Și vă mulțumesc tuturor.

Nu.

Permisiunile și dreptul de proprietate asupra fișierelor de sistem sunt deja configurate pentru a fi sigure.

Defectarea sistemului este singurul lucru pe care îl veți obține prin schimbarea proprietății și a permisiunilor asupra fișierelor de sistem.

Acesta este un proces de gândire foarte periculos, mai ales dacă nu sunteți familiarizat cu utilizarea Linux. În general, reparația este bine, dacă știi ce faci. Dar să faci tot posibilul să încerci să îmbunătățești lucrurile care nu sunt stricate, în general, nu este o idee bună.

Dezvoltatorii Ubuntu au petrecut zeci de ani reglarea fină și îmbunătățirea software-ului pentru a-l face mai curat și mai sigur.

Dacă credeți că ați găsit o modalitate de a face sistemul mai bun sau mai sigur, vă rugăm să luați în considerare contribuind la dezvoltarea Ubuntu. Contribuind la dezvoltare, mulți alți oameni vor revizui și audita modificările propuse înainte ca acestea să devină parte a sistemului de operare.

Unix security, and later Linux security, has always defaulted to being as open as possible. Things are closed when they need to be closed and open otherwise.

This means that if you try to do something out of the ordinary, but not really dangerous, there is a good chance you allowed to do so.

Security specialists don't like this approach. They want things to be closed as possible and only open when they have to be. Less nasty surprises that way. It seems your instincts are in this camp.

In a closed system you have permission to do your job and nothing more. Whenever you want to do something that is even the slightest outside your box, you need to obtain permission. Developers hate working in a system like that.

It is difficult to take a old open system like Ubuntu and try to close it up. You will find that there are undocumented dependencies where seemingly unrelated programs stop working with odd error messages when an access is closed.

So, it is a choice of priorities, what is more important to you, security or usability? There are Unix versions that are more close-minded than Ubuntu. These are made by security experts that have done the hard work of tracking down those undocumented dependencies.

All that being said, Nmath's answer is also correct. A lot of very smart people have looked at Ubuntu security and found it adequate. The odds of you being hit by a unknown security hole is very very low.