Kök sahip olmayan komut dosyalarını /etc/init.d içinde tutmak ne kadar güvenlidir?

Bir daemon olarak çalışan ve /etc/init.d içinde bir komut dosyası tarafından denetlenen bir uygulama var.
Bazen bu komut dosyalarının başlatma / denetiminin bazı parametrelerini değiştirmeniz ve ardından daemon'u yeniden başlatmamız gerekir. Bu komut dosyaları yalnızca kök kullanıcı için yazma iznine sahiptir, bu nedenle bu komut dosyalarını düzenlerken kök ayrıcalıklarına ihtiyacım var.

Düşündüğüm şey, root olmayan bir kullanıcıyı bu betiklerin sahibi yapmam gerektiğidir. Bu şekilde yalnızca root ve özel bir kullanıcı bu komut dosyalarını düzenleyebilir.

Kök olmayan bazı dosyaların /etc/init.d dizinleri altında tutulması kabul edilebilir mi?
Yoksa sistemin doğal düzenini bozan saçma mı?

Hemen akla gelen şey, kısıtlı bir kullanıcının önyüklemede bir şeyleri kök olarak çalıştırabilmesidir ;

• Diğer hesapların ayrıcalıklarını artırmak istiyor
• Bir hileli hizmet barındırmak için sunucunuzu kullanmak istiyorum
• Sunucu yeniden başlatılırsa IRC / Spam botlarını başlatmak istiyorum
• Bir anne gemisine "Tekrar kalktım" demek için ping atmak ve belki yeni bir yük indirmek
• İzlerini temizlemek istiyorum
• ... diğer kötülükler.

Bu, kısıtlı kullanıcınızın bir şekilde ele geçirilmesi durumunda, belki de başka bir hizmet (http / etc) yoluyla mümkündür. Çoğu saldırganlar hızla bir çalışacak lsveya findher şeyin / 'üzerine/etc bu tür olasılıkların var olup olmadığını görmek için koşacaktır, kullandıkları çeşitli dillerde yazılmış mermiler bunu basitleştirir.

Uzaktan sunucu yönetmek ise çoğunlukla SSH üzerinden, hatta olmayacağını çok iyi bir şans var bakın init betiği incelemek sürece, o şey kullanıyor olmalıdır (gerçi açılışta çıktı görmezsiniz çünkü bu bir şeylerin değişip değişmediğini veya sürüm kontrol yazılımı vb.

Kesinlikle bunun olmasını istemezsiniz, root'un gerçekten bu init betiğine sahip olması gerekir. Senaryoyu güncellemek için yeterince uygun olması için geliştirme kullanıcısını sudoers listesine ekleyebilirsiniz, ancak init.d'deki herhangi bir şeye ayrıcalıklı yazma erişimine izin vermemenizi tavsiye ederim.

Tim Post tarafından yapılan çok iyi noktalara ek olarak, birden çok kişinin bir sunucuya değişiklik yapabilmesi gereken bir kurulum için, bir tür yapılandırma yönetim sistemi kullanmayı düşünmelisiniz.

Örneğin, kukla, şef veya cfengine kullanıyorsanız, ilgili kullanıcıların dosyaları yerel olarak düzenlemesini sağlayabilir ve ardından yapılandırma yönetimi ile değişiklikleri dışarı aktarabilirsiniz. Bunun nasıl kurulacağı elbette hangi sistemi kullandığınıza bağlı olarak değişecektir, ancak düzgün bir şekilde ayarlandığında, bir yapılandırma dosyasının önceki bir sürümüne geri dönmeyi kolaylaştıran sürümleme yazılımı içerecektir (not: ne zaman , eğer !) birisi hata yaptı. Ayrıca yapılandırmayı ayrı bir test sistemine vb. Kopyalamanızı da kolaylaştıracaktır.