chmod 700を使用すると、私のサーバーの最上位ディレクトリはより安全になりますか?

chmod 700を使用すると、私のサーバーの最上位ディレクトリはより安全になりますか?

、、、Ubuntu 17.04およびを含むコンピュータにDjango / Pythonサーバーを展開しようとしています。 PostgresとRedisは、TCPポートではなくUnixソケットを介してのみリッスンします。私のサーバーを私のクラウドディレクトリに同期するオプションを使用しており、安全であることを望む設定を設定しました。PostgresRedisNginxuwsgiExim4-avPhomeiptables

上記の情報は質問とあまり関係がないかもしれませんが、私の環境に関するいくつかの詳細を提供したいと思いました。サーバールートの権限を変更すると700セキュリティが強化されますか?開発コンピュータで一部のファイルを変更したり、新しいファイルを追加した後に同期した場合は.pyどうなりますか?自動的に変更されますか、それとも700各タスクの後に再度変更する必要がありますか?chmodrsync

答え1

Unixファミリーシステムのすべてのファイルにアクセスするには、次のものが必要です。探すそのコンポーネントにつながるすべてのディレクトリコンポーネントに対する権限。

たとえば、読み取り用に開くには、検索権限(出力のビット)と検索権限(出力のビット)が/a/b/c必要です。xls -l//a/a/breadr/a/b/c

したがって、検索権限を制限すると、/実際には各ファイルへのアクセスが制限されます。

通常、/所有者IDは0で、700の権限は、ルート以外のユーザーはどのファイルにもアクセスできないことを意味します。権限に関係なく、すべてのファイルにアクセスできますroot

これは、このシステムがすべてのタスクを実行できるようにするには(ほとんどのタスクが1つのファイルまたは別のファイルを開くことに関連しているため)、すべてのタスクはユーザー、つまりすべてのrootタスクを実行できるユーザーとして実行する必要があることを意味します。 。

したがって、事実上、ユーザーアクセス制御のセキュリティ上の利点を放棄することです。 0700権限を変更するのではなく、すべてがrootとして実行され、0700権限で使用できるように/システムを変更するだけです。/

答え2

はい、どういう意味ですかchmod 700 --recursive /?これは問題を引き起こすだけです。サーバーが共有されていないと言われたため、フォルダの権限はそれほど重要ではありません。アプリケーションのセキュリティは重要です。確認してくださいSELinux。高度な機能ですが。

rsync権限を処理するスイッチがあります。--chmod=CHMOD affect file and/or directory permissions同期中にターゲットに適切な権限を適用できます。

関連情報