บรรจวบ เข้าสู่ระบบ
Score:1
avatar Ubuntu

จุดอ่อนที่เป็นไปได้ในการอนุญาต www-data?

ธง in
MrAdmin

วันนี้ฉันกำลังทดสอบบางอย่างบน VPS ของฉันและตระหนักว่าผู้ใช้ "www-data" มีสิทธิ์อ่านในโฟลเดอร์โฮมและในโฟลเดอร์ภายในระบบด้วย ซึ่งจะทำให้ผู้โจมตีสามารถรวบรวมข้อมูลภายนอกไดเร็กทอรี /var/www ได้ เช่น. RSA_Keys หรือแบตช์ไฟล์ในโฮมไดเร็กทอรี

อันดับแรก ฉันคิดว่าฉันผิดสิทธิ์อนุญาตไฟล์หรือบางอย่าง แต่ฉันสามารถสร้างพฤติกรรมนี้ซ้ำบนเครื่องเสมือนที่ติดตั้งใหม่ได้

ระบบปฏิบัติการ: Ubuntu 20.04 LTS พร้อมใช้การอัปเดตทั้งหมด เว็บเซิร์ฟเวอร์: Apache2 พร้อมการกำหนดค่ามาตรฐาน

ฉันทดสอบได้อย่างไร: sudo -u www-data ทุบตี --> นาโน /home/user/stuff.txt หรือ นาโน /folder/rsa.pem

นี่เป็นพฤติกรรมที่คาดหวังหรือไม่? ฉันพลาดอะไรไปหรือเปล่า? และฉันจะปฏิเสธไม่ให้ผู้ใช้ www-data เข้าถึงโฟลเดอร์เฉพาะได้อย่างไร

ขอบคุณล่วงหน้า!

35
0 + 0
pLumo avatar
in flag
pLumo
นี่คือการออกแบบ คุณสามารถจำกัดการเข้าถึงได้ง่ายๆ ตรวจสอบ https://askubuntu.com/questions/46501/why-can-other-users-see-the-files-in-my-home-folder และถ้าคุณทำตามคำแนะนำเซิร์ฟเวอร์ Ubuntu คุณจะ [ได้รับการบอก](https://ubuntu.com/server/docs/security-users)
0
ตอบกลับ
pLumo avatar
in flag
pLumo
Btw: Ubuntu > 21.04 [ค่าเริ่มต้นเป็นไดเร็กทอรี `$HOME` ของผู้ใช้ส่วนตัว](https://ubuntu.com/blog/private-home-directories-for-ubuntu-21-04)
2
ตอบกลับ
Score:0
user535733 avatar Ubuntu
ธง cn
user535733

ไดเร็กทอรี /home ที่อ่านได้ Golbally เป็นพฤติกรรมที่คาดหวังใน Ubuntu 20.10 และรุ่นก่อนหน้านี้

ลักษณะการทำงานมีการเปลี่ยนแปลงใน 21.04 และรุ่นที่ใหม่กว่า /home ไดเรกทอรีไม่สามารถอ่านได้ทั่วโลกอีกต่อไป

  • การติดตั้งใหม่ของ 21.04 และใหม่กว่าจะได้รับพฤติกรรมใหม่
  • การติดตั้งใหม่ของ 20.04 และเก่ากว่าจะได้รับพฤติกรรมแบบเก่า
  • การอัปเกรดที่วางจำหน่ายจะไม่เปลี่ยนลักษณะการทำงาน หากคุณปล่อยอัปเกรดจาก 20.04 เป็น 22.04 /home dir ของคุณจะยังคงอ่านได้ทั่วโลก

ย้อนวันวานคุณ ต้องการ คนเพื่อให้สามารถอ่าน (ไม่เขียน) ไปยังไฟล์ในไดเร็กทอรีของคุณนั่นเป็นวิธีหนึ่งที่คุณแบ่งปันข้อมูลในระบบที่มีผู้ใช้หลายคน แน่นอน คุณรู้ดีกว่าการเก็บข้อมูลส่วนตัวไว้ในระบบที่มีผู้ใช้หลายคน

จากมุมมองด้านความปลอดภัย ยังคงเป็นความจริง: เซิร์ฟเวอร์ควรได้รับการปฏิบัติเหมือนระบบที่มีผู้ใช้หลายคน อย่าเก็บเอกสารส่วนตัวที่ละเอียดอ่อน 1) ไม่ได้เข้ารหัส และ 2) ไว้ในระบบไฟล์เดียวกันกับเว็บเซิร์ฟเวอร์สาธารณะ

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา