আমার ক্রোনট্যাব কাজগুলি মূল হিসাবে চালানো কি সুরক্ষা ঝুঁকি?

8

আমার কিছু ক্রোন জব রয়েছে যা আমি চালাচ্ছি - বেশিরভাগ ব্যাকআপ সম্পর্কিত স্টাফ।

আমি / etc / apache2 / সাইট / উপলভ্য ইত্যাদির মতো আটকে আছে, যার জন্য রুট অ্যাক্সেস দরকার।

আমার কিছু প্রশ্ন আছে:

হেডলেস সার্ভারে চলার সময়:

  1. স্ক্রিপ্টটি কোন ব্যবহারকারীর অধীনে চলছে (ধরে নিলাম ক্রোন জব এন্ট্রিতে আমি কোনও ব্যবহারকারী নির্দিষ্ট করে দিচ্ছি না)?
  2. মূল হিসাবে ব্যাকআপ স্ক্রিপ্টটি চালানো ঠিক আছে - বা এটি কোনও সুরক্ষা প্রশ্ন সৃষ্টি করে?

বিটিডাব্লু, আমার সার্ভারটি উবুন্টু 10.0.4 এলটিএস চালাচ্ছে

linux  ubuntu  security  cron 
user35402
সূত্র

উত্তর:

15

আপনি যদি স্ক্রিপ্টটিতে পর্যাপ্ত অ্যাক্সেস পেয়েছেন এবং বুদ্ধিমান সাবধানতা অবলম্বন করেন তবে শিকড়ের ক্রন্টব থেকে কিছু চালানো সাধারণত সুরক্ষা ঝুঁকি নয়।

তবে কোনও রুটহীন ব্যবহারকারী সম্পাদনা বা ওভাররাইট করতে পারে এমন কোনও স্ক্রিপ্টটিকে রুট হিসাবে চালাবেন না। এটি ক্রোন থেকে ইন্টারেক্টিভভাবে চালিত কাজের ক্ষেত্রে প্রযোজ্য।

যদি সেই স্ক্রিপ্টে অন্যান্য ফাইলও অন্তর্ভুক্ত থাকে তবে সেগুলিও তাদের জন্য প্রযোজ্য।

সন্দেহ থাকলে সর্বদা ন্যূনতম সুবিধার নীতিটি ব্যবহার করুন। আপনি যদি এখনও অনিশ্চিত থাকেন তবে আপনি সর্বদা ফোরাম এবং আইআরসি-তে নির্দিষ্ট প্রশ্ন জিজ্ঞাসা করতে পারেন।

নন রুট ব্যবহারকারী হিসাবে কিছু চালানোর প্রায় সবসময়ই (প্রায়) উপায় থাকে। অন্য সমস্ত যদি sudo ব্যবহার করে কোনও ব্যবহারকারীকে নির্দিষ্ট কমান্ডের মধ্যে সীমাবদ্ধ করতে ব্যর্থ হয় তবে ক্ষতির সম্ভাবনাও সীমাবদ্ধ করে।

সুতরাং আপনি যে উদাহরণস্বরূপ / ইত্যাদি / apache2 / সাইট-উপলব্ধ উপলব্ধ করেছেন, সেই ফাইলটি যে কেউ ডিফল্টরূপে পঠনযোগ্য, যাতে বোঝা যায় যে এটি কেবলমাত্র মূল দ্বারা লেখার যোগ্য গন্তব্যটিতে অ্যাক্সেস।

আপনি এটি দ্বারা ঠিক করতে পারে

  • ব্যাকআপ্যাডমিনস নামে একটি গোষ্ঠী তৈরি করুন (উদাহরণস্বরূপ)
  • গন্তব্য ডিরেক্টরিতে গ্রুপটিকে ব্যাকআপএডমিনে সেট করুন set
  • ব্যাকআপ ইউজার নামে একটি ব্যবহারকারী যুক্ত করুন (উদাহরণস্বরূপ)
  • গ্রুপ ব্যাকআপআডমিনগুলিতে ব্যবহারকারী ব্যাকআপ ব্যবহারকারীকে যুক্ত করুন।
  • ব্যাকআপএডমিনস গোষ্ঠী দ্বারা ডিরেক্টরিটি লিখনযোগ্য করে তুলুন
  • ব্যাকআপউজারের ক্রন্টব থেকে ক্রোন জব চালান।
রিচার্ড হলোয়ে
সূত্র
দরকারী জন্য +1, ধাপে ধাপে নির্দেশাবলী। আপনার উত্তর অত্যন্ত সহায়ক হয়েছে। আমি যাইহোক যাইহোক এই পথে নামতে চাইছিলাম, তবে যেহেতু এটিই আমি প্রথম করছিলাম তাই এটি এখানে সুপারিশ করা হচ্ছে তা নিশ্চিত করে আশ্বাস দেওয়া হচ্ছে (এবং বেশ কয়েকটি লোক আপনার সুপারিশের সাথে একমত বলে মনে হচ্ছে)।
ব্যবহারকারী 35402
বিটিডাব্লু, যদি আমি আপনার পরামর্শ অনুসারে ব্যবহারকারীর গোষ্ঠী এবং ব্যবহারকারী তৈরি করি, তবে আমি কি কেবলমাত্র রুট অ্যাক্সেসের মধ্যে সীমাবদ্ধ / (ইত্যাদি) সঠিকভাবে / etc / অ্যাপাচি / সাইটগুলি উপলব্ধ এবং অন্যান্য ফোল্ডারগুলি অ্যাক্সেস করতে সক্ষম হব? আমি কীভাবে এই সমস্যাটি পেতে পারি?
ব্যবহারকারী 35402
3

এটি স্ক্রিপ্টগুলি কী করছে তা নির্ভর করে। যদি তারা স্টাফ ব্যাক আপ করে থাকে তবে এটি সম্ভবত তাদের মূলের হিসাবে ভাল হবে - যদি কোনও দূষিত ব্যবহারকারী এই স্ক্রিপ্টগুলি ওভাররাইট করে তবে আপনার সম্ভবত যে কোনও সমস্যা হতে পারে।

যদি তারা ডিরেক্টরিগুলিতে পাওয়া ফাইলগুলি নির্বাহ করার মতো মূর্খ কাজগুলি করে বা ওয়েব ডিরেক্টরিগুলির বিষয়বস্তু দ্বারা প্রভাবিত হতে পারে এমন কোনও কিছু করে থাকে, তবে সম্ভবত আপনাকে বিকল্পগুলির দিকে তাকাতে হবে।

জেমস এল
সূত্র
2

সারা পৃথিবীতে কয়েক মিলিয়ন ক্রোন জব প্রতিদিন প্রতিদিন চালানো হচ্ছে (বা যে কোনও সময়কালে তারা চালানোর জন্য নির্ধারিত হয়েছে)।

গুরুত্বপূর্ণ বিষয় হ'ল যথাযথ অনুমতি সেট করা আছে। যদি আপনি এমন কোনও কিছু চালাচ্ছেন যা প্রত্যেকের দ্বারা লিখিত হয়, তবে কোনও ক্ষতিকারক ব্যবহারকারী বা প্রক্রিয়া যা করছে তা পরিবর্তন করতে পারে।

ক্রোন জবগুলি ক্রন্টাবের মালিক দ্বারা চালিত হয়, সাধারণত বলা যায়। /var/spool/cron/crontabs/usernameউদাহরণস্বরূপ কোনও ব্যবহারকারী ক্রন্টাব থাকতে পারে । Cronjobs যে হয় /etc/crontab, /etc/cron.d/বা /etc/cron.hourly(দৈনিক, সাপ্তাহিক, মাসিক) রুট দ্বারা চালানো হবে। এই ক্রন্টব ফাইলগুলির জন্যও মালিকানা এবং অনুমতিগুলি সঠিক হওয়া গুরুত্বপূর্ণ।

পরবর্তী বিজ্ঞপ্তি না হওয়া পর্যন্ত বিরতি দেওয়া হয়েছে।
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.