Score:0

Server

จะสร้างผู้ใช้และให้สิทธิ์ในการอ่านไฟล์ / etc / shadow ได้อย่างไร

Nebek

31/12/22 15:24

ฉันต้องการให้ผู้ใช้เว็บเซิร์ฟเวอร์ของฉัน (nginx) เข้าถึงการอ่านไฟล์ /etc/shadow และฉันต้องการยืนยันขั้นตอนที่ฉันกำลังทำอยู่ ระบบที่ฉันใช้คือ CentOS 7

ก่อนอื่นฉันสร้างกลุ่มชื่อ shadow: กลุ่มเพิ่มเงา
จากนั้นฉันเพิ่มผู้ใช้เว็บเซิร์ฟเวอร์ (nginx) ในกลุ่มเงา: usermod -aG เงา nginx
จากนั้นฉันเปลี่ยนเจ้าของเป็นรูทและเปลี่ยนเจ้าของกลุ่มไฟล์เป็นกลุ่มเงา: chown รูท: เงา / etc / shadow
จากนั้นฉันอนุญาตให้สิทธิ์การอ่านสำหรับผู้ใช้ทั้งหมดในกลุ่มเงาเพื่ออ่านไฟล์ /etc/shadow: chmod g+r /etc/shadow

หลังจากทำตามขั้นตอนเหล่านั้นแล้วฉันก็วิ่ง ls -l /etc/shadow และฉันเห็นผลลัพธ์ต่อไปนี้

----ร-----. 1 เงารูท 1390 30 ส.ค. 12:51 /etc/shadow

ขั้นตอนเหล่านี้ที่ฉันกำลังทำตามถูกต้องหรือไม่ โปรดแจ้งให้เราทราบ และฉันสามารถให้ข้อมูลเพิ่มเติมได้หากจำเป็น

277

2 + 0

ลินุกซ์

Score:3

Server

Nikita Kipriyanov

31/12/22 17:25

การเปลี่ยนกลุ่มเจ้าของไฟล์สำคัญดังกล่าวอาจทำให้บางสิ่งเสียหาย ซึ่งก็คือ อันตราย.

วิธีที่ปลอดภัยที่เหมาะสมเพื่อให้บรรลุเป้าหมายนั้นคือการใช้ POSIX ACL:

setfacl -m u:special_user:r /etc/shadow.setfacl

ปัญหาอีกอย่างคือคุณให้สิทธิ์นี้แก่ งินซ์เว็บเซิร์ฟเวอร์ ซึ่งฉันคิดว่าเรียกใช้เว็บแอปพลิเคชันบางอย่าง และเป็นความคิดที่ดีที่จะเข้าถึงโดยตรง / etc / เงา จากเว็บแอพพลิเคชั่น

สิ่งนี้อาจดูไม่เกิดผล แต่นี่เป็นวิธีที่ระบบที่ร้ายแรงทั้งหมดทำสิ่งเหล่านี้ รวมถึง บริการพร็อกซีที่ปลอดภัยส่วนตัว ซึ่งตรวจสอบความปลอดภัยทั้งหมดและส่วนหน้าของเว็บเท่านั้นที่สามารถพูดคุยกับบริการพร็อกซีนี้เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อนหรือทำสิ่งที่ละเอียดอ่อนอื่น ๆ ตัวอย่างเช่น นี่เป็นวิธีสร้าง Proxmox VE: มี pvedaemon ซึ่งทำสิ่งที่อันตราย และ pveproxy (เว็บเซิร์ฟเวอร์) จะคุยกับ pvedaemon เมื่อจำเป็นต้องทำสิ่งนั้นเท่านั้น

ปัญหาที่สามคือคุณเข้าถึงไฟล์นี้ได้เลย คุณตั้งใจจะทำอะไร? ไฟล์นี้เป็นส่วนหนึ่งของชุดโปรแกรม PAMจะเกิดอะไรขึ้นหากมีการแก้ไขการรับรองความถูกต้องของระบบเพื่อไม่ให้ใช้ไฟล์เงาหรือถูกย้าย คุณควรใช้การเรียกใช้ไลบรารี PAM ซึ่งจะทำทุกสิ่งให้คุณ

0 + 2

Nebek

31/12/22 17:58

ขอบคุณนิกิตา ฉันทราบปัญหาด้านความปลอดภัยของไฟล์ /etc/shadow เหตุผลที่ฉันปล่อยให้ Nginx มีสิทธิ์อ่านไฟล์ /etc/shadow คือฉันต้องการตรวจสอบสิทธิ์โดยใช้ PAM เพื่อเข้าสู่เว็บแอปพลิเคชันที่ฉันใช้งานอยู่ นี่เป็นเพียงการยืนยันว่าฉันได้ผสานรวม PAM และ Nginx อย่างถูกต้อง ต่อไปฉันจะใช้ BoK

ตอบกลับ

Nikita Kipriyanov

31/12/22 18:01

จากนั้นไม่จำเป็นต้องอนุญาตให้เข้าถึงไฟล์เงาโดยตรง PAM มีอยู่ในส่วนนี้โดยไม่จำเป็น

ตอบกลับ

Score:0

Server

BitGen01100000

31/12/22 15:54

ดูเหมือนว่าผลลัพธ์ของ

chmod g=r /etc/shadow

และไม่

chmod g+r /etc/shadow

อาคา ดูเหมือนว่าคุณบังเอิญใช้เครื่องหมายเท่ากับแทนเครื่องหมายบวก

แก้ไข: ฉันเพิ่งตรวจสอบระบบและสิทธิ์ของฉันอีกครั้ง / etc / เงา ไฟล์มีลักษณะดังนี้:

`----------. 1 รูท 1183 20 ส.ค. 54.53 /etc/shadow`

ดูเหมือนว่าการอนุญาตของคุณจะได้รับการคาดหวัง!

0 + 7

Nebek

31/12/22 16:01

น่าสนใจ ฉันได้ตรวจสอบประวัติคำสั่งที่ฉันเรียกใช้แล้ว และฉันใช้คำสั่งที่ถูกต้อง 'chmod g+r /etc/shadow'

ตอบกลับ

BitGen01100000

31/12/22 16:08

@Nebek คุณเห็นการแก้ไขของฉันหรือไม่? :)

ตอบกลับ

Nebek

31/12/22 16:46

โอ้ ขอโทษ เพิ่งเห็น ขอบคุณ!

ตอบกลับ

djdomi

1/1/23 04:45

ที่จริงแล้ว `ls -la /etc/shadow -rw-r----- 1 root shadow 1,050 ส.ค. 28 18:14 /etc/shadow` เป็นค่าเริ่มต้นบน Debian

ตอบกลับ

BitGen01100000

1/1/23 07:19

@djdomi ฉันตรวจสอบสิ่งนี้ในระบบ CentOS (เวอร์ชัน 7.7.1908) ที่ฉันใช้งานอยู่ และฉันไม่ได้ทำการเปลี่ยนแปลงใดๆ กับไฟล์นี้ ดังนั้นถ้าคุณไม่เปลี่ยนแปลงอะไร ดูเหมือนว่าจะเป็นความแตกต่างระหว่าง distros อย่างไรก็ตาม OP ระบุว่าเขา/เธอใช้ CentOS ดังนั้นฉันขอแนะนำให้เขา/เธอใช้การกำหนดค่ามาตรฐานสำหรับ distro นั้นเป็นการกำหนดค่าพื้นฐานแทนการผสมและจับคู่ระหว่าง distros ต่างๆ :)

ตอบกลับ

djdomi

2/1/23 04:29

@ BitGen01100000 มันไม่สำคัญ มันเป็นแนวคิดเดียวกันที่อยู่เบื้องหลัง ยิ่งกว่านั้น ผู้ร่วมให้ข้อมูลสามารถดำเนินการต่อได้: [คำถามที่ตอบคำถามนี้แล้ว](https://unix.stackexchange.com/questions/549464/etc-shadow-permissions-security- แนวปฏิบัติที่ดีที่สุด-000-vs-600-vs-640)

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: How to create a user and give it read permission to /etc/shadow file?

TH: จะสร้างผู้ใช้และให้สิทธิ์ในการอ่านไฟล์ / etc / shadow ได้อย่างไร

RO: Cum să creez un utilizator și să îi dai permisiunea de citire pentru fișierul /etc/shadow?

RU: Как создать пользователя и дать ему право на чтение файла /etc/shadow?

VI: Làm cách nào để tạo người dùng và cấp quyền đọc cho tệp/etc/shadow?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา