Я хотел знать, получил ли кто-нибудь доступ к моему серверу, используя учетную запись не-root, какой ущерб он может нанести?

После su someuser я использовал эту команду, чтобы найти все файлы и папки, доступные для записи.

find / -writable >> list.txt

Вот результат. Его большинство /dev / что-то и / proc / что-то и эти

/var/lock
/var/run/mysqld/mysqld.sock
/var/tmp
/var/lib/php5

Безопасна ли моя система? /var /tmp имеет смысл, но я не уверен, почему у этого пользователя есть права на запись в эти папки. Должен ли я изменить их?

stat /var/lib/php5 дает мне 1733, что странно. Зачем писать доступ? почему не читаешь? это какое-то странное использование временного файла?

1 ответ1

0

Пользователям потребуется доступ к определенным областям системного уровня для запуска определенного программного обеспечения. Например, /var/run/mysqld/mysqld.sock должен быть доступен , чтобы они могли взаимодействовать с базами данных.

В общем случае /var /run содержит данные времени выполнения, такие как сокеты Unix и файлы pid.

/var/lock содержит файлы блокировки, позволяющие программному обеспечению предотвращать конфликты при чтении / записи и т. д., а также разрешать эксклюзивное открытие файлов (блокировка файлов и т. д.).

/ Var / lib / php5 имеет очень специальный режим доступа к файлам - 1733 - важна 1 в начале:

От man chmod

       1000    (the sticky bit).  See chmod(2) and sticky(8).

Итак, от man sticky мы получаем:

STICKY DIRECTORIES
     A directory whose `sticky bit' is set becomes an append-only directory,
     or, more accurately, a directory in which the deletion of files is
     restricted.  A file in a sticky directory may only be removed or renamed
     by a user if the user has write permission for the directory and the user
     is the owner of the file, the owner of the directory, or the super-user.
     This feature is usefully applied to directories such as /tmp which must
     be publicly writable but should deny users the license to arbitrarily
     delete or rename each others' files.

Это означает, что это особый режим безопасности, который позволяет пользователю создавать или редактировать файлы в каталоге, но удалить его может только владелец самого файла.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .