Что полномочия каталогов/файла должны я гарантировать быть установленным?
Если можно использовать anacron в системе вещи будут намного более простыми. Использовать anacron необходимо было установить его, и также у Вас должен быть корневой доступ. Это не работает над более старыми системами (т.е. RHEL 5.x), более старые версии ancron, на котором ТОЛЬКО работают, загружаются. Это действительно работает с более новыми системами (т.е. RHEL 6.x).
С anacron, можно запланировать задания более гибким способом, например, выполнить X заданий один раз в неделю. Также anacron задания выполнений, когда компьютер становится доступным, т.е. Вы не должны рассматривать, когда система произошла или вниз.
Для запущения скрипта раз в две недели необходимо добавить строку, подобную следующему к/etc/anacrontab:
14 5 myScript script.sh
Смотрите на страницу справочника для деталей.
Любой файл, который содержит пароль или пароль, должен быть читаемым только пользователем (пользователями) (и группа (группы) если применимо), который должен получить доступ к этому паролю. То же идет для файлов, содержащих любой другой вид конфиденциальной информации.
Большинство файлов в /etc потребность быть читаемым миром: они - любой общие файлы конфигурации системы такой как /etc/fstab и /etc/passwd, или конфигурационные файлы определенного приложения. Несколькими исключениями являются файлы как /etc/shadow (пароли пользователя), /etc/sudoers (пользователи, имеющие специальные полномочия), /etc/ppp/chap-secrets (Пароли PPP), или /etc/ssl/private (каталог, содержащий частные сертификаты SSL), и они обычно выходят с верными полномочиями. Технический термин для того, чтобы сделать /etc non-world-readable стреляет себе в ногу. Не делайте этого, это причиняет боль.
Редко иметь почтовый пароль в конфигурации системы. Обычно, почта использует пароли для аутентификации пользователей, не систем, так, чтобы пароль был бы где-нибудь в корневом каталоге. Когда Вы используете необычные функции, действительно необходимо проверить использование их надежно (в этом случае, я подозреваю, что Вы не используете правильный инструмент для задания).
-
1Из памяти ssmtp является минимальным передающим только почтовым 'сервером', обычно устанавливают для использования smarthost. Таким образом, пароль, к которому он обращается, является, вероятно, его smarthost информацией – Arrowmaster 09.03.2011, 01:07
-
2@Arrowmaster об аутентификации: Для моего образования smarthost действительно ли на самом деле свойственно потребовать аутентификации по паролю? В моем ограниченном опыте они обычно требуют, чтобы Вы были на правой стороне брандмауэра или иногда имели утвержденный сертификат SSL. – Gilles 'SO- stop being evil' 09.03.2011, 01:10
-
3я даже не знал, что сертификаты SSL были опцией для любых 'потребительских' учетных записей, которые могли бы использоваться в качестве smarthost. У меня нет опыта с 'предприятием' smarthosts. Недавно я использовал учетную запись Google, какой автор требуемого пароля я не использовал свои главные американские серверы ISPs в таком длинном, который я не могу помнить, была ли у них какая-либо аутентификация вообще, но это - единственный случай, где 'правая сторона брандмауэра' могла бы использоваться. корректный – Arrowmaster 09.03.2011, 01:25
-
4, я использую приложения Google для поставки почты. Я не полагаю, что существует способ установить подлинный ключ. Но так или иначе, ssmtp не сделал setitself к 750, таким образом, это - что-то, что я должен изменить. – 09.03.2011, 01:37
-
5+1. Существует ли приложение в качестве примера, которое я могу запустить так, я вижу, что он приводит к сбою и понимает, что я должен изменить это? ATM, действительно эта учетная запись пользователя делает, изменяют файлы на моем веб-сервере. Все приложения, которые я должен запустить, обычно автоматически или сделаны через мою корневую учетную запись как обычно, чтобы перезапустить сервисы, создать пользователей и установить полномочия. – 09.03.2011, 01:43
Я знаю, что это - в основном тот же ответ, который я дал Вашему другому вопросу, но в дополнение к тому, что сказал Gilles, необходимо использовать автоматизированный инструмент проверки защиты как тигр.
Если Ваш дистрибутив поставляет установку по умолчанию, и тигр не предупреждает об этом, то установка должна быть прекрасной. Для файлов и папок Вы создаете себя, Вы можете и должны использовать свое собственное усмотрение. По моему опыту, и мнение, существует действительно только несколько файлов и папок, которые не должны быть читаемыми миром, и почти никогда нет серьезного основания иметь что-либо мировое записываемое.
-
1+1, но мне нравится упоминать тигра, не взял мой корень, являющийся читаемым, и это определенно не взяло/root/.my.cnf быть читаемым. который имел мой корень mysql пароль. – 10.03.2011, 05:18
-
2, но
/rootбыть читаемым миром является не обязательно отдельно проблемой безопасности, и если Вы создаете файл сами и помещаете уязвимые данные в них, действительно необходимо взять на себя ответственность за блокировку их вниз сами. Можно, конечно, отредактировать правила тигра для будущих проверок/развертывания, который является чем-то, что я делаю. – simon 10.03.2011, 07:33