Asegure el archivo de configuración de un servicio

Navega tus respuestas
2

Tengo un servicio que se ejecuta en una caja de Linux, que comenzó con upstart, que se ejecuta como usuario "the_user", tiene que leer un archivo de configuración. Tener el archivo propiedad de root haría las cosas más seguras, pero evitaría que el servicio lea el archivo.

Sé que nginx puede leer un archivo de certificado privado propiedad de root mientras se ejecuta como un usuario no root.

Leí sobre el enfoque o la fuente de un script que establece las variables de entorno sensibles que se leen de un archivo de propiedad raíz, y luego inicio el proceso de servicio como usuario del servicio, que luego "hereda" de las variables de entorno.

¿Cuál es el mejor enfoque?

    
pregunta Max L. 01.04.2015 - 17:41
fuente

1 respuesta

2

No estoy seguro si este es el enfoque "correcto", pero cambiaría los permisos del archivo a propiedad de root, pero también de otro grupo que solo tiene acceso de lectura. Asegúrate de que tu usuario upstart esté en este grupo compartido. 

# groupadd upstart
# usermod -G upstart the_user
# chown root:upstart the_file.conf
# chmod 740 the_file.conf

Lo anterior agrega un nuevo grupo "upstart" en el que el usuario "the_user" se agrega. La propiedad del archivo se cambia al usuario "grupo raíz" "upstart" y los permisos se establecen en "raíz" de lectura, escritura, ejecución; y el grupo "upstart" leer.

    
respondido por el Ajaxasaur 01.04.2015 - 18:08
fuente

Lea otras preguntas en las etiquetas

Obteniendo acceso de root en Ubuntu 14.04 [cerrado] Reduciendo la longitud de salida del hash [duplicado]