同様の問題があります基本ソフトウェア構成。私はこの質問をしたいです。
どのディレクトリ/ファイル権限を設定する必要がありますか?
まもなく一日に何百もの侵入試行が起こるのは正常ですか?。だから確認してみたroot以外のユーザーが書き込むことができるファイルとフォルダ。みんな大丈夫です。これでパスワードなどを保護する必要があるため、読み取り権限を確認しました。
少し怖いです。デフォルトでは、私のLinuxディストリビューションは/ rootを読むことができます。 mysqlのルートパスワードはどこで設定できますか?しかし、私は/ etcを読むことができることがわかりました。すべてのユーザーは/etc/ssmtp/ssmtp.confに行き、私がメールに使用するログイン/パスワード(cronが私に連絡するために使用しました)を見つけて、それを使用してすべての人にスパムを送信するか、サーバーまたはドメインをブラックリストに入れます。に上げることができます。 / etcを750に設定しましたが、問題がありますか?
読み取りアクセスが原因で他の脆弱性があると確信しています。どのファイル/ディレクトリを読み書きできないようにする必要がありますか?
-編集-わかりました。待ち時間をもう一度755に変更します。ただし、まだ一部のフォルダを読み取れないことを確認する必要があります。 Apacheとssmtpを変更しました。他人を知りたいです。
答え1
パスワードまたはパスワードフレーズを含むすべてのファイルは、パスワードにアクセスする必要があるユーザー(該当する場合はグループ)のみを読むことができる必要があります。他の種類の機密情報を含むファイルも同様です。
ほとんどのファイルは/etc誰でも読むことができなければなりません。ファイルは、/etc/fstabなどの一般的なシステム構成ファイルまたは/etc/passwdアプリケーション固有の構成ファイルです。いくつかの例外は、/etc/shadow(ユーザーパスワード)、/etc/sudoers(特別な権限を持つユーザー)、/etc/ppp/chap-secrets(PPPパスワード)、または/etc/ssl/private(個人のSSL証明書を含むディレクトリ)などのファイルであり、通常は適切な権限を持つボックスにあります。世界を読めないようにする技術用語/etcは、足に銃を撃つことです。そうしないでください、痛いです。
電子メールパスワードはシステム構成にほとんど含まれていません。通常、Mailはユーザーを認証するためにシステムではなくパスワードを使用するため、パスワードはホームディレクトリのどこかに配置されます。珍しい機能を使用するときは、その機能を安全に使用していることを確認する必要があります(この場合、その作業に適したツールを使用していないと思われます)。
答え2
私はこれが基本的に他の質問に対する答えと同じであることを知っていますが、Gilesが言ったことに加えて、自動化されたセキュリティ監査ツールを使用する必要があります。虎。
ディストリビューションがデフォルトで設定を提供し、Tigerがこれについて警告しない場合、設定は問題ありません。自分で作成したファイルやフォルダについて自分で決定を下す必要があります。私の経験と意見によれば、誰もが読めないファイルやフォルダは実際にはほんの一握りで、誰もが書くことができるものを持つ理由はほとんどありません。