/Etc/init.d- এ নন-রুটের মালিকানাধীন স্ক্রিপ্টগুলি কতটা সুরক্ষিত?

আমার একটি অ্যাপ্লিকেশন রয়েছে যা ডেমন হিসাবে চলে এবং /etc/init.d এ স্ক্রিপ্ট দ্বারা নিয়ন্ত্রিত হয়
কখনও কখনও আমাদের এই স্ক্রিপ্টগুলির শুরু / নিয়ন্ত্রণের কিছু পরামিতি পরিবর্তন করতে হবে এবং তারপরে ডেমন পুনরায় চালু করতে হবে। এই স্ক্রিপ্টগুলিতে কেবল রুট ব্যবহারকারীর জন্য লেখার অনুমতি রয়েছে, সুতরাং এই স্ক্রিপ্টগুলি সম্পাদনা করার সময় আমার রুট সুবিধাগুলি প্রয়োজন।

আমি যা ভাবছিলাম তা হ'ল আমি কোনও নন-রুট ব্যবহারকারীকে সেই স্ক্রিপ্টগুলির মালিক বানাই। এইভাবে কেবল রুট এবং একটি বিশেষ ব্যবহারকারী এই স্ক্রিপ্টগুলি সম্পাদনা করতে পারবেন।

কিছু নন-রুট মালিকানাধীন ফাইলগুলি /etc/init.d ডিরেক্টরিতে রাখা কি গ্রহণযোগ্য?
বা এটি অযৌক্তিক, সিস্টেমের প্রাকৃতিক শৃঙ্খলা বিঘ্নিত?

অবিলম্বে যা মনে আসে তা হ'ল সুবিধাবঞ্চিত ব্যবহারকারী বুট-এ রুট হিসাবে জিনিস চালাতে সক্ষম হচ্ছেন , যা ক্র্যাকারদের পক্ষে কাম্য:

• অন্যান্য অ্যাকাউন্টগুলির সুবিধাগুলি বাড়িয়ে তুলতে চান
• দুর্বৃত্ত পরিষেবাটি হোস্ট করতে আপনার সার্ভারটি ব্যবহার করতে চান
• সার্ভারটি পুনরায় চালু হলে আইআরসি / স্প্যাম বটগুলি শুরু করতে চান
• "আমি আবার উপরে আছি" এবং সম্ভবত একটি নতুন পেডলোড ডাউনলোড করতে একটি মাদার শিপকে পিং করতে চান
• তাদের ট্র্যাকগুলি পরিষ্কার করতে চান
• ... অন্য খারাপ।

এটি সম্ভব যদি আপনার সুবিধাবঞ্চিত ব্যবহারকারী কোনওরকমভাবে আপস করা হয়, সম্ভবত অন্য কোনও পরিষেবাদির (HTTP / ইত্যাদি) মাধ্যমে। বেশিরভাগ আক্রমণকারী খুব শীঘ্রই সমস্ত কিছু চালাতে lsবা findচালিয়ে যাবেন /etcকেবল এটি দেখার জন্য যে এই ধরনের সম্ভাবনা রয়েছে কি না, তাদের ব্যবহার করা বিভিন্ন ভাষায় শাঁস রয়েছে যা এইটিকে সহজ করে তোলে।

আপনি সার্ভারে দূরবর্তী অবস্থান থেকে পরিচালনা করেন, তাহলে বেশিরভাগ SSH- র মাধ্যমে, একটি খুব ভাল সুযোগ যে আপনি এমনকি হবে দেখতে যদি না আপনি init স্ক্রিপ্ট পরিদর্শন, কারণ আপনি বুটে আউটপুট (যদিও না দেখতে, আপনি যে কিছু ব্যবহার করা উচিত হবে পরিচিত হ্যাশগুলির বিরুদ্ধে sc স্ক্রিপ্টগুলির হ্যাশগুলি পরীক্ষা করে দেখুন কিনা কিছু পরিবর্তন হয়েছে, বা সংস্করণ নিয়ন্ত্রণ সফ্টওয়্যার ইত্যাদি)

আপনি অবশ্যই এমনটি চান না, মূলটি অবশ্যই সেই init স্ক্রিপ্টের মালিক হওয়া দরকার। আপনি বিকাশকারী ব্যবহারকারীকে sudoers এর তালিকায় যোগ করতে পারেন যাতে এটি স্ক্রিপ্টটি আপডেট করার পক্ষে যথেষ্ট সুবিধাজনক তবে আমি আরডি.ডি- তে কোনও সুবিধাবঞ্চিত লেখার অ্যাক্সেস না করার পরামর্শ দেব

টিম পোস্ট দ্বারা তৈরি খুব ভাল পয়েন্ট ছাড়াও, আমি এমন একটি সেটআপ যুক্ত করব যেখানে একাধিক লোককে কোনও সার্ভারের মাধ্যমে পরিবর্তনগুলি ঠেকাতে সক্ষম হতে হবে, আপনার কোনও ধরণের কনফিগারেশন ম্যানেজমেন্ট সিস্টেম ব্যবহার করা উচিত।

যদি আপনি উদাহরণস্বরূপ পুতুল, বা শেফ, বা সিফিনজিন ব্যবহার করেন, তবে আপনি প্রাসঙ্গিক ব্যবহারকারীদের স্থানীয়ভাবে ফাইলগুলি সম্পাদনা করতে পারেন এবং তারপরে কনফিগার ব্যবস্থাপনার সাহায্যে পরিবর্তনগুলি ঠেকাতে পারেন। ঠিক কীভাবে এটি সেট আপ করবেন তা অবশ্যই নির্ভর করবে আপনি কোন সিস্টেমটি ব্যবহার করছেন তার উপর নির্ভর করে, তবে সঠিকভাবে সেট আপ করার সাথে সংস্করণ সফ্টওয়্যার অন্তর্ভুক্ত থাকবে যখন এটি কোনও কনফিগার ফাইলের পূর্ববর্তী সংস্করণে ফিরে যেতে সহজতর হবে (দ্রষ্টব্য: কখন , যদি না তবে !) কারও ভুল হয়েছে। এটি আলাদা টেস্ট সিস্টেম ইত্যাদিতে কনফিগারেশন অনুলিপি করা আপনার পক্ষে আরও সহজ করে তুলবে etc.