Uprawnienia na /srv

Wojciech Błaszkowski wojciech w blaszkowski.com
Czw, 13 Lis 2008, 22:15:36 CET


Dnia czwartek 13 listopad 2008, Tomasz Pala napisał:
> > Dlatego jeszcze raz zapytam: podasz przyklad ilustrujacy dziure w
> > bezpieczenstwie wynikajaca z a+r /srv ?
>
> Halo! Słychać mnie? Puk puk! Haaaalooooo!
>
> Naruszeniem zasad bezpieczeństwa będzie to, że ktoś w ogóle zobaczy
> jakie wirtualki hostuję.
pff.. ja swoje hostuję w /home/virtualki/$NAZWA_DOMENY/ - wgląd ma apacz, dany 
user poprzez ftp, całość "zakrywa" AppArmor. DZIAŁA, zapewniam.

Pamiętaj, że jak ktoś będzie chciał wiedzieć czy hostujesz daną stronę, jakie 
strony hostujesz albo ile ich masz - sprawdzi to tak, czy inaczej. 
Np. dzwoniąc do BOK ;)

> Osobiście mam jedną wirtualkę, która nie ma nawet wpisów w DNS-ach i
> trzeba sobie samemu do hosts dopisać jej nazwę i adres IP. Nie będzie mi
> się podobało, jak ktoś zobaczy jej nazwę, a nadawanie losowych nazw
> podkatalogom /srv też niezbyt mi odpowiada.

To (IMHO) nie rozwiązanie.
Hint: przenieś wirtualki poza /srv, poczytaj o AppArmor :)

> > Problem jest, ze ktos moze chciec, zeby inni mieli do niego pelny dostep.
> > A skoro nalezy do FHS, to uprawnieniami do niego powinien zarzadzac rpm a
> > nie admin. Jak chcesz ukryc dane, to umiesc je w go=x /srv/tajne i nikomu
> > to nie bedzie przeszkadzac.
> > Security by obscurity tak naprawde wcale nie zwieksza bezpieczenstwa a
> > jedynie ukrywa jego brak. I bylo to juz w wielu miejscach wielokrotnie
> > walkowane.
>
> A chwalisz się na lewo i prawo ile zarabiasz i ile masz na koncie?
> Przecież bank masz bezpieczny, nikt nie ukradnie mając wiedzę jedynie o
> kwotach.
> Jakieś wypasione konfiguracje też ot-tak udostępnisz każdemu userowi
> systemu? Bo dla mnie bezpieczeństwo nie znaczy tylko 'nikt nie narobi
> bagna', ale również 'nikt mi nie podbierze klienta/wiedzy'.

Eh. Po prostu sobie przenieś wirtualki do innego katalogu, poza /srv 
czy /home/services/ czy HGW gdzie indziej - jeśli już patrzymy takimi 
kategoriami.

-- 
Pozdrawiam, Best regards, Mit freundlichen Grüßen,

Wojciech "Wojtosz" Błaszkowski


Więcej informacji o liście dyskusyjnej pld-devel-pl