Có nên thay đổi quyền thư mục gốc để cải thiện bảo mật không?

Tôi có một máy tính chạy Ubuntu 20.04 Server. Tôi đã mua máy chủ của mình ở Digital Ocean cách đây 1 năm (ít nhiều) và mỗi tháng tôi đều cố gắng cải thiện tính bảo mật của nó và tôi đang gặp khó khăn. Nhưng về tổ chức người dùng, tôi luôn nghi ngờ.

Đây là một máy chủ cá nhân, vì vậy tôi thực sự yêu cầu nâng cao hiểu biết của mình, cho các dự án trong tương lai có thể liên quan đến nhiều người dùng hơn.

Quyền thư mục gốc của tôi là:

 0 lrwxrwxrwx 1 root root 7 Ngày 14 tháng 5 năm 2020 bin -> usr/bin
 4 drwxr-xr-x 4 root root 4096 10 tháng 2 06:59 khởi động
 0 drwxr-xr-x 16 gốc gốc 3820 ngày 12 tháng 10 02:34 nhà phát triển
12 drwxr-xr-x 110 gốc gốc 12288 ngày 16 tháng 2 18:11, v.v.
 4 drwxr-xr-x 4 root root 4096 Ngày 3 tháng 4 năm 2021 về nhà
 0 lrwxrwxrwx 1 root root 7 Ngày 14 tháng 5 năm 2020 lib -> usr/lib
 0 lrwxrwxrwx 1 gốc gốc 9 Ngày 14 tháng 5 năm 2020 lib32 -> usr/lib32
 0 lrwxrwxrwx 1 gốc gốc 9 Ngày 14 tháng 5 năm 2020 lib64 -> usr/lib64
 0 lrwxrwxrwx 1 gốc gốc 10 Ngày 14 tháng 5 năm 2020 libx32 -> usr/libx32
16 drwx ------ 2 root root 16384 Ngày 14 tháng 5 năm 2020 bị mất+tìm thấy
 4 drwxr-xr-x 2 root root 4096 14 Tháng Năm 2020 media
 4 drwxr-xr-x 2 root root 4096 14 tháng năm 2020 mnt
 4 drwxr-xr-x 3 gốc gốc 4096 ngày 18 tháng 12 13:48 chọn
 0 dr-xr-xr-x 197 root root 0 ngày 12 tháng 6 năm 2021 proc
 4 drwx ------ 10 gốc gốc 4096 ngày 6 tháng 2 19:31 gốc
 0 drwxr-xr-x 31 gốc gốc 1040 ngày 16 tháng 2 13:04 chạy
 0 lrwxrwxrwx 1 root root 8 Ngày 14 tháng 5 năm 2020 sbin -> usr/sbin
 4 drwxr-xr-x 8 gốc gốc 4096 ngày 16 tháng 2 17:56 chụp nhanh
 4 drwxr-xr-x 3 gốc gốc 4096 Ngày 3 tháng 4 năm 2021 srv
 0 dr-xr-xr-x 13 gốc gốc 0 ngày 12 tháng 6 năm 2021 sys
 4 drwxrwxrwt 20 gốc gốc 4096 ngày 16 tháng 2 18:39 tmp
 4 drwxr-xr-x 15 root root 4096 Ngày 6 tháng 8 năm 2021 usr
 4 drwxr-xr-x 16 gốc gốc 4096 ngày 4 tháng 12 18:50 var

Bạn có thể xem có bao nhiêu tập tin có nhóm khác quyền thực thi, nhưng nó có thực sự cần thiết không? x quyền có nghĩa là bất kỳ người dùng nào cũng có thể làm

 cd/khởi động

Hay đại loại thế. Tôi biết họ không thể chỉnh sửa hoặc xóa bất cứ thứ gì ở đó nhưng nếu họ có thể vào bên trong thư mục và viết ls, người dùng ngẫu nhiên đó có thể nhận được thông tin mà tôi có thể không muốn người dùng đó nhận được. Một lần, một người bạn biết nhiều về Linux hơn tôi đã nói với tôi rằng nếu bạn muốn làm hỏng máy chủ Ubuntu, bạn có thể làm điều đó bằng cách thay đổi quyền của các tệp. Vì vậy, tôi không muốn kiểm tra nó.

Mục tiêu của tôi là mọi người dùng không thể làm bất cứ điều gì với sức mạnh bổ sung (nhập vào / nhà phát triển hoặc /khởi động), chỉ nội dung người dùng ..

Nhưng tôi sợ phá vỡ điều gì đó bằng cách thay đổi quyền.

Ý tưởng của tôi là: Tôi là chủ sở hữu máy chủ và tôi có thể root, vì vậy bước đầu tiên của tôi:

Trong thư mục gốc tôi sẽ làm sudo chown root:power , ở đâu sức mạnh là một nhóm mà tôi có thể đặt một số người dùng có thể làm được nhiều việc hơn bình thường, sau đó mod 750 trong tất cả (ví dụ ít nhiệt độ hơn)

Nhưng tôi đã nghe nói rằng nếu bạn làm những việc như thế chẳng hạn dữ liệu www không thể quản lý dịch vụ apache hoặc thay đổi điều gì đó.

Vì vậy, tôi sẽ phải thêm vào sức mạnh nhóm người dùng dữ liệu www, ok, sau đó nó có thể quản lý nội dung của nó, nhưng tôi nghĩ rằng có rất nhiều nhóm/người dùng hệ thống khác sẽ cần những điều chỉnh tương tự mà tôi không biết vào lúc này.

Tôi hy vọng bạn có thể hiểu ít nhiều những gì tôi muốn làm và mục tiêu của tôi là gì: sửa đổi máy chủ để quản lý người dùng tốt hơn, giới hạn bởi vai trò Ví dụ.Nhưng tôi hơi lạc lõng không biết bắt đầu như thế nào.

Và cảm ơn tất cả các bạn.

Không.

Quyền và quyền sở hữu các tệp hệ thống đã được thiết lập để bảo mật.

Phá vỡ hệ thống của bạn là điều duy nhất bạn đạt được bằng cách thay đổi quyền sở hữu và quyền đối với các tệp hệ thống.

Đây là một quá trình suy nghĩ rất nguy hiểm, đặc biệt nếu bạn không quen sử dụng Linux. Tinkering nói chung là tốt, nếu bạn biết những gì bạn đang làm. Nhưng cố gắng cải thiện những thứ không bị hỏng nói chung không phải là một ý kiến ​​​​hay.

Các nhà phát triển của Ubuntu đã dành nhiều thập kỷ để tinh chỉnh và cải thiện phần mềm để làm cho nó sạch hơn và an toàn hơn.

Nếu bạn nghĩ rằng bạn đã tìm ra cách để làm cho hệ thống tốt hơn hoặc an toàn hơn, vui lòng xem xét đóng góp cho sự phát triển của Ubuntu. Bằng cách đóng góp vào quá trình phát triển, nhiều người khác sẽ xem xét và kiểm tra các thay đổi được đề xuất của bạn trước khi nó trở thành một phần của Hệ điều hành.

Unix security, and later Linux security, has always defaulted to being as open as possible. Things are closed when they need to be closed and open otherwise.

This means that if you try to do something out of the ordinary, but not really dangerous, there is a good chance you allowed to do so.

Security specialists don't like this approach. They want things to be closed as possible and only open when they have to be. Less nasty surprises that way. It seems your instincts are in this camp.

In a closed system you have permission to do your job and nothing more. Whenever you want to do something that is even the slightest outside your box, you need to obtain permission. Developers hate working in a system like that.

It is difficult to take a old open system like Ubuntu and try to close it up. You will find that there are undocumented dependencies where seemingly unrelated programs stop working with odd error messages when an access is closed.

So, it is a choice of priorities, what is more important to you, security or usability? There are Unix versions that are more close-minded than Ubuntu. These are made by security experts that have done the hard work of tracking down those undocumented dependencies.

All that being said, Nmath's answer is also correct. A lot of very smart people have looked at Ubuntu security and found it adequate. The odds of you being hit by a unknown security hole is very very low.