我有一个由多个用户远程登录的无头服务器。其他用户都不在 sudoers 文件中,因此他们无法通过sudo. 但是,由于权限su是-rwsr-xr-x没有什么可以阻止他们尝试暴力破解root密码。
有人可能会争辩说,如果用户知道 root 密码,他们无论如何都可以破坏系统,但我认为情况并非如此。OpenSSH 配置了PermitRootLogin no和PasswordAuthentication no,其他用户都没有对服务器的物理访问权限。据我所知,世界执行权限/usr/bin/su是用户试图在我的服务器上获得 root 的唯一途径。
更让我感到困惑的是,它甚至似乎没有用。它允许我su直接运行而不需要 do sudo su,但这并不是什么不便。
我忽略了什么吗?su世界是否出于历史原因对那里执行许可?删除我还没有遇到的权限有什么缺点吗?
我已经设置了shadowsocks-libev并使用以下 systemctl 服务运行它:
[Unit]
Description=Shadowsocks-Libev Manager Service
Wants=network-online.target
After=network-online.target
[Service]
Type=simple
User=nobody
CapabilityBoundingSet=CAP_NET_BIND_SERVICE
ExecStart=/usr/bin/ss-manager -c /etc/shadowsocks/%i.json
[Install]
WantedBy=multi-user.target
我最近注意到我的 shadowsocks 配置文件 ( /etc/shadowsocks/manager.json) 具有全局读取权限,因此我将其更改为 600 并确保所有者是nobody. 由于某种原因,这会导致进程在启动时无法读取配置文件。
systemctl start [email protected]
ss-manager[1357]: 2018-01-05 11:41:00 ERROR: Invalid config path.
这与我撤销该文件的所有读取权限时看到的错误相同。
但是,如果我使用命令行中完全相同的命令启动 shadowsocks,它工作正常:
sudo -u nobody /usr/bin/ss-manager -c /etc/shadowsocks/manager.json
nobody同样,我在使用cator读取文件时也没有问题less。
当我检查由systemctlin启动的进程时,ps它显示它正在运行nobody,并且当进程输出文件时,所有者设置为nobody. 为什么它不能访问这个文件?为什么通过 systemctl 运行它和从终端运行它有区别?
我的问题似乎与这个问题相似,但我的 ExecStart 中没有任何引号,因此该解决方案不适用于我的情况。