授予所有人对此设置的读取权限有哪些安全风险?
What are the security risks of giving everyone read permission on this setup?
我们有一个名为 distributors 的文件夹。在该文件夹下,有子文件夹作为 ftp 用户的主目录。
示例:
distributors/a w/c 作为 ftp 用户的主目录 a
distributors/b w/c 作为 ftp 用户的主目录 b
那些 ftp 用户是我们分销商的 ftp 帐户,他们正在将库存(csv 文件)上传到他们的主目录。
我们的 cron 作业 w/c 是一个 rake 任务,需要能够读取 csv 文件。当ftp用户上传文件时,文件的所有者和所属组默认为ftp用户的名称。为了让我们的cron作业能够读取文件,我们计划将正在上传的文件的默认权限设置为a+r w/c 让每个人都能够读取文件。
现在的问题是,让每个人都能够读取文件的安全风险是什么?
我假设 ftp 用户 a 将无法进入用户 b 的文件夹,因为 ftp 用户 a 可以't out on user's a home directory w/c is distributors/a
这里有多项选择。关于安全风险,如果文件内容敏感,我建议不要给它们其他读取权限,因为每个在主机上有用户的用户都可以读取它们。
您可以将玉米工作的用户 运行 添加到 ftp 用户的组中。
但它会给该用户额外的权限来读取或可能修改 ftp 相关文件。最好像您提到的那样授予其他读取权限,
但是我会为此使用 ACL(访问控制列表),它管理起来有点困难,但提供了更多的自由来制定严格的安全措施。您可以让用户 运行 corn job 可以读取您喜欢的每个文件,而无需更改当前权限。
setfacl -Rm "u:user:r" ./dirNfile # add user read permission to directory tree
setfacl -dRm "u:user:r" ./dirNfile # Make default for the further created files on all sub directory R stand for recursive
getfacl ./dirNfile # Check acl config on a file
setfacl -x "u:user" ./fileNdir # remove entry
setfacl -b ./fileNdir # remove all ACL entry from a file or dir
有acl条目的目录或文件将在权限末尾用ls命令显示+标记drwxr-x---+
查看https://wiki.archlinux.org/index.php/Access_Control_Lists了解更多信息
我们有一个名为 distributors 的文件夹。在该文件夹下,有子文件夹作为 ftp 用户的主目录。
示例:
distributors/a w/c 作为 ftp 用户的主目录 a
distributors/b w/c 作为 ftp 用户的主目录 b
那些 ftp 用户是我们分销商的 ftp 帐户,他们正在将库存(csv 文件)上传到他们的主目录。
我们的 cron 作业 w/c 是一个 rake 任务,需要能够读取 csv 文件。当ftp用户上传文件时,文件的所有者和所属组默认为ftp用户的名称。为了让我们的cron作业能够读取文件,我们计划将正在上传的文件的默认权限设置为a+r w/c 让每个人都能够读取文件。
现在的问题是,让每个人都能够读取文件的安全风险是什么?
我假设 ftp 用户 a 将无法进入用户 b 的文件夹,因为 ftp 用户 a 可以't out on user's a home directory w/c is distributors/a
这里有多项选择。关于安全风险,如果文件内容敏感,我建议不要给它们其他读取权限,因为每个在主机上有用户的用户都可以读取它们。
您可以将玉米工作的用户 运行 添加到 ftp 用户的组中。 但它会给该用户额外的权限来读取或可能修改 ftp 相关文件。最好像您提到的那样授予其他读取权限,
但是我会为此使用 ACL(访问控制列表),它管理起来有点困难,但提供了更多的自由来制定严格的安全措施。您可以让用户 运行 corn job 可以读取您喜欢的每个文件,而无需更改当前权限。
setfacl -Rm "u:user:r" ./dirNfile # add user read permission to directory tree
setfacl -dRm "u:user:r" ./dirNfile # Make default for the further created files on all sub directory R stand for recursive
getfacl ./dirNfile # Check acl config on a file
setfacl -x "u:user" ./fileNdir # remove entry
setfacl -b ./fileNdir # remove all ACL entry from a file or dir
有acl条目的目录或文件将在权限末尾用ls命令显示+标记drwxr-x---+
查看https://wiki.archlinux.org/index.php/Access_Control_Lists了解更多信息