誰でも読める/ rootディレクトリが悪い理由の例は何ですか?

誰でも読める/ rootディレクトリが悪い理由の例は何ですか?

私がしている議論に重みを加えるために/ rootディレクトリを読むことができるようにすることは、セキュリティの観点からなぜ悪いのかについての具体的な例を見つけようとしています。

私は人々が/ root 755権限を与えることが本当に悪いという真言を繰り返しますが、追加の証拠がない多くの例をオンラインで見つけました。

この場合、システムセキュリティが損なわれる可能性があるシナリオを提供できる人はいますか?人為的ではないほど良いです。たとえば、/rootに755の権限がある場合、新しくインストールされたCentosシステムはどのように影響しますか?

編集 - 返信ありがとうございます。しかし、まだ具体的な例はありません。つまり、システムを破損するために/ rootが表示されるという事実をどのように活用しますか?誰もが/rootにアクセスできないと仮定してインストールされるプログラムの例はありますか?

編集2 - これまでの合意は、誰かが権限を確認せずにディレクトリをまるでルートにプライベートであるかのように使用する以外は、これが大きなセキュリティリスクではないということです。

答え1

これは、本質的に、他のユーザーが他のユーザーのホームディレクトリを読み取らないようにする推奨事項と変わりません。

すべての人が既定の設定を読むことができる場合は、非公開にしたい新しいファイルを保存する機会があります。コピーする前に誰かがコピーする可能性が常にありますchmod go-r

答え2

基本的にコア開発者の選択にかかっていると思います。なぜ?基本的に.netのほとんどすべては誰にも価値がないからです/root。一般的なタスクを実行するために、誰もrootとしてログインしてはいけません。

たとえば、FreeBSDでは誰でも読むことができます/root/rootセキュリティ上の理由から、一部のファイルは読み取れませんが、まだファイルが存在することを「見る」ことができますls(読み取ることはできません)。たとえば、.history設定されていますが-rw-------.login-rw-r--r--

セキュリティに対するFreeBSDのアプローチは、Linuxとは少し異なります。歴史的に、FreeBSDはサーバー用に使用されており、デスクトップとして実行することもできますが、(デフォルトでは)サーバーとして使用する方がはるかに優れています。

個人的には、私はこの設定に問題がないと思います(/root読むことができます)。

FreeBSD には/root構成以外にはほとんど何もありません。電子メールは実際のユーザーに転送する必要があります。誰もrootとしてログインしないでください。このアカウントは、ソフトウェアのインストールと構成、およびメンテナンス作業にのみ使用できます。私の考えでは、FreeBSDでは、.historyいくつかのセキュリティに敏感なファイル(たとえば)を除いて隠すことは何もありません。/root

これについて詳しくは、以下を試してください。FreeBSD マニュアルのセキュリティセクション。私は彼らがクイックスキャンで読んで選択したものを見ていませんが、/rootそこには多くの情報があります。

答え3

不注意な管理者が簡単に復号化されたパスワードを検索し、結果をそのまま残すことができます(正しい呼び出しではないかもしれませんが、アイデアは得られます)。

# john-the-ripper /etc/shadow > ~/cracked-passwords.txt

答え4

書き込み可能な場合は、~rootすべてのユーザーにSSHキーを追加して~root/.ssh/authorized_keysからssh root@some-host

~root「読み取り専用」の場合は、コマンドラインに入力したパスワードやその他の資格情報を含む可能性があるrootユーザーファイルに引き続きアクセスできます。.bash_historyまたは、誤ってコマンドプロンプトに入力または貼り付けました。

もちろん、コマンドラインからセキュリティデータを渡すべきではありませんが、この警告はすぐに見つけやすく、とにかく他のユーザーが環境変数を読み取れないようにするため、通常はリスクが低いと見なされます。rootファイルへのアクセス権がある場合は、誤って入力したり、誤って入力した可能性のある機密データに.bash_historyアクセスできます。root

rootもちろん、キー認証を使用してもSSHログインを許可しないなど、これらの問題を軽減する方法があります。または、シェル履歴を無効にします。または一生懸命清掃してください。しかし、これらは緩和策;彼らはセキュリティ玉ねぎの層です。

0700は~rootセキュリティ玉ねぎの別の層です。泣きたくない場合は、玉ねぎの皮をむかないでください。

関連情報