Debian 和其他 linux 系统通常带有世界可读的日志/配置/目录。例如,在新的 Debian 安装中,这些文件是世界可读的:
尽管能够读取这些文件并不直接构成威胁,但在所有用户都不可信的系统中,将系统可见性降至最低是明智之举。
是否有一种 linux 风格/标准工具可以避免新用户可以收集有关他们正在使用的服务器的许多详细信息的情况?理想情况下,它们应该仅限于自己的目录。
我过去已经设置了 chroot jail,但我正在寻找替代解决方案或技巧,你们中的一些人可能有。
谢谢!
小智 5
在“修复”这个问题之前,您可能需要更深入地挖掘,并确保您的更改经过深思熟虑。在您提到的文件中:
我碰巧知道 /etc/passwd 必须对任意数量的程序 (ls) 可读才能访问标准配置中的用户名信息。/etc/passwd 中的任何内容在任何现代机器上都不是秘密或特权,因为这就是影子文件的用途,或者秘密通过 LDAP、Kerberos 或其他类似的东西托管在网络上。
我不太确定另外两个。cron 作为正在执行其作业的用户运行,因此它可能需要能够像任何可以运行 cron 的用户一样读取该文件。普通系统上的任何用户都可以运行 last,w 来查看最近和当前的登录(从 lastlog 和 wtmp 中读取),因此这些文件是可读的。您当然可以删除这些命令或用户对它们的访问权限,然后您可能希望更改文件的权限或完全删除它们,一旦您确定它们未被使用。
The Securing Debian Manual或许能够为您回答更多这些问题或更好地解释事情。虽然它没有得到积极维护,但它仍然相当不错。其他发行版也有类似的资源。
| 归档时间: |
|
| 查看次数: |
1128 次 |
| 最近记录: |