linux – 在/etc/init.d中保留非root用户脚本的安全性如何？

我有一个作为守护进程运行的应用程序,由/etc/init.d中的脚本控制
有时我们需要更改这些脚本的启动/控制的一些参数,然后重新启动守护程序.这些脚本只具有root用户的写权限,因此在编辑这些脚本时我需要root权限.

我在想的是,我应该让非root用户成为这些脚本的所有者.这样只有root用户和特殊用户才能编辑这些脚本.

在/etc/init.d目录下保留一些非root拥有的文件是否可以接受？
或者这是荒谬的,扰乱了系统的自然秩序？

解决方法:

立即想到的是一个弱势用户能够以root身份在启动时运行,这对于破解者来说是理想的：

>想要升级其他帐户的权限
>想要使用您的服务器来托管流氓服务
>如果服务器重新启动,想要启动IRC / Spam机器人
>想要ping一艘母船说“我又来了”,也许下载一个新的有效载荷
>想要清理他们的踪迹
> ……其他的不好.

如果您的弱势用户以某种方式受到损害,可能是通过其他服务(http / etc),这是可能的.大多数攻击者会快速运行ls或查找/ etc中的所有内容,只是为了看看是否存在这样的可能性,用他们使用的各种语言编写的shell使得这很简单.

如果您主要通过SSH远程管理服务器,除非您检查init脚本,否则很有可能您甚至都看不到它,因为您在启动时看不到输出(但是,您应该使用的是检查这些脚本的散列是否存在已知哈希以查看是否有更改,或版本控制软件等)

你绝对不希望发生这种情况,root真的需要拥有那个init脚本.您可以将开发用户添加到sudoers列表中,以便更新脚本,但我建议不允许对init.d中的任何内容进行低级写入访问.

标签：init-d,linux
来源： https://codeday.me/bug/20190809/1626365.html