¿El cambio de permiso de / bin y / usr / bin aumentará la seguridad?

Question

¿El cambio de permiso de / bin y / usr / bin aumentará la seguridad?

#1 de Marcus Müller (2 votos)
#2 de Douglas Leeder (0 votos)

2

Normalmente, los permisos de carpetas como /bin & /usr/bin ... son -rwxr-xr-x (755) - ejecutables y legibles por cualquier persona. Así que mi idea aquí es cambiar los permisos a -rwxr-x--- (750) , ya no es ejecutable ni legible por otros.

Quiero limitar los comandos de ejecución dentro de mi sistema (servidor).

(Estaba pensando en un escenario en el que las funciones deshabilitadas de PHP de alguna manera se omiten y la puerta para ejecutar comandos ahora está abierta para un usuario malintencionado o un atacante (en un alojamiento compartido), ¿cómo puedo evitar que ejecute comandos del sistema? en otras carpetas están configuradas para limitar su actividad!))

¿Alguna idea?

linux ubuntu

pregunta Mirsad 15.12.2016 - 15:50

fuente

2 respuestas

0

Los cambios son su intérprete de php en / usr / bin, por lo que sus procesos web deben estar en el grupo que tiene acceso a / usr / bin de todos modos.

respondido por el Douglas Leeder 15.12.2016 - 17:22

fuente

Lea otras preguntas en las etiquetas linux ubuntu

Encabezado de seguridad X-Webkit-CSP en el navegador Spoofing la identidad de otro usuario en Telegram

score 2 · Accepted Answer

Sabotear la usabilidad normal de su sistema probablemente no aumenta la seguridad de su sistema.

Por supuesto, la raíz, y por lo tanto, gran parte del "mantenimiento" y el mecanismo de inicio del sistema todavía podrán funcionar normalmente, pero se encontrará con problemas muy rápidamente, ¿qué sucede si su servidor web escribe registros y utiliza algún comando externo? para rotarlos? Eso conducirá a errores difíciles de predecir, inseguridades potenciales ...

Incluso si ese no fuera el caso, un atacante que puede escapar de su entorno (por ejemplo, el intérprete de PHP) por los archivos exec uting de /bin/ generalmente también tendrá los privilegios para simplemente escribir los binarios que necesita en en algún otro directorio grabable, márquelos como ejecutables y ejecútelos (o simplemente los cargarán como objetos compartidos, o muchas otras cosas. Básicamente, en el momento en que un atacante puede exec cualquier cosa, les ha dado acceso en el nivel en el que se está ejecutando el proceso, ya nada ayuda allí).