Существуют ли какие-либо проблемы безопасности с тем, чтобы сделать мои / etc / sudoers общедоступными для чтения?

Question 1

Недавно я начал использовать свою учетную запись GitHub как способ синхронизации моих различных файлов конфигурации между компьютерами, включая мои / etc / sudoers. Есть ли какие-либо уязвимости безопасности, которые это выставляет?

Редактировать: Если это что-то меняет, я на 14.10.

Question 2

Моя первоначальная реакция должна была сказать, что это - плохая идея. Однако посмотревший на Ваш определенный персональный sudoers файл, я сказал бы, нет; это выглядит довольно стандартным для системы Ubuntu. Вы не выставляете ни одного из

определенные версии программного обеспечения (который может иметь уязвимости),
нестандартные имена пользователей (хотя, если бы я был плохим парнем, я попробовал бы 'добродушную шутку' или 'joshua'

Я быстро посмотрел на другие файлы конфигурации в Вашем GitHub repo, и они кажутся прекрасными - в настоящий момент! Для будущего Вы имели бы к очень осторожному, изменяя Ваши файлы конфигурации, всегда оставаясь сознательными, что такие изменения будут общедоступны.

В целом я предпочел бы использовать частный repo для сохранения необходимости думать о возможных разветвлениях каждого фиксировавшего изменения. У меня есть свой собственный удаленный repos, настроенный на моем персональном сервере Ubuntu поэтому, но AIUI, Битоприемник обеспечивает свободный частный repos.

Управление / и т.д.

Я на самом деле не храню /etc файлы в моем repos. Для повторного выполнения изменений в конфигурационных файлах я делаю те изменения использованием sed команды, например, для автоматического изменения объема информации, сообщаемого logwatch, я работаю:

sudo sed -i.bak "s/^Detail.*$/Detail = High/" /usr/share/logwatch/default.conf/logwatch.conf

Для добавления дополнительного адреса электронной почты для веб-мастера, если Вы уже не существуете я работаю:

grep -i webmaster /etc/aliases || sudo sed -i.bak '1 a\webmaster:\troot' /etc/aliases

Я также использую пакет, названный etckeeper для отслеживания все изменения в /etc дерево каталогов с помощью мерзавца. Однако до сих пор я только когда-либо использовал его в качестве хронологической записи для рассматриваемой системы и как средство откатывать любые изменения в /etc которые не удаются. Это имеет опцию продвинуть ее фиксацию к удаленному repo, но еще не использовало его.

Другими более сложными решениями (который я еще не нашел время для изучения) являются инструменты управления конфигурацией, такие как Шеф-повар или Марионетка, которая может использоваться для того, чтобы быстро воссоздать конфигурации системы.

Question 3

Question 4

Я советовал бы Вам не публиковать что-либо в общедоступном репозитории, который расположен в /etc каталог. Эта информация сделает Вас уязвимыми в худшем случае. Риск, что Вы пропускаете файл, содержащий уязвимые данные, является слишком большим.

, Возможно, это достаточно, если Вы только фиксируете данные, но не продвигаете. Затем изменения сохраняются локально.

Anthony Geoghegan · Accepted Answer · 21 April 2015 в 03:53

Моя первоначальная реакция должна была сказать, что это - плохая идея. Однако посмотревший на Ваш определенный персональный sudoers файл, я сказал бы, нет; это выглядит довольно стандартным для системы Ubuntu. Вы не выставляете ни одного из

определенные версии программного обеспечения (который может иметь уязвимости),
нестандартные имена пользователей (хотя, если бы я был плохим парнем, я попробовал бы 'добродушную шутку' или 'joshua'

Я быстро посмотрел на другие файлы конфигурации в Вашем GitHub repo, и они кажутся прекрасными - в настоящий момент! Для будущего Вы имели бы к очень осторожному, изменяя Ваши файлы конфигурации, всегда оставаясь сознательными, что такие изменения будут общедоступны.

В целом я предпочел бы использовать частный repo для сохранения необходимости думать о возможных разветвлениях каждого фиксировавшего изменения. У меня есть свой собственный удаленный repos, настроенный на моем персональном сервере Ubuntu поэтому, но AIUI, Битоприемник обеспечивает свободный частный repos.

Управление / и т.д.

Я на самом деле не храню /etc файлы в моем repos. Для повторного выполнения изменений в конфигурационных файлах я делаю те изменения использованием sed команды, например, для автоматического изменения объема информации, сообщаемого logwatch, я работаю:

sudo sed -i.bak "s/^Detail.*$/Detail = High/" /usr/share/logwatch/default.conf/logwatch.conf

Для добавления дополнительного адреса электронной почты для веб-мастера, если Вы уже не существуете я работаю:

grep -i webmaster /etc/aliases || sudo sed -i.bak '1 a\webmaster:\troot' /etc/aliases

Я также использую пакет, названный etckeeper для отслеживания все изменения в /etc дерево каталогов с помощью мерзавца. Однако до сих пор я только когда-либо использовал его в качестве хронологической записи для рассматриваемой системы и как средство откатывать любые изменения в /etc которые не удаются. Это имеет опцию продвинуть ее фиксацию к удаленному repo, но еще не использовало его.

Другими более сложными решениями (который я еще не нашел время для изучения) являются инструменты управления конфигурацией, такие как Шеф-повар или Марионетка, которая может использоваться для того, чтобы быстро воссоздать конфигурации системы.

A.B. · Answer 2 · 21 April 2015 в 03:53

Я советовал бы Вам не публиковать что-либо в общедоступном репозитории, который расположен в /etc каталог. Эта информация сделает Вас уязвимыми в худшем случае. Риск, что Вы пропускаете файл, содержащий уязвимые данные, является слишком большим.

, Возможно, это достаточно, если Вы только фиксируете данные, но не продвигаете. Затем изменения сохраняются локально.

Существуют ли какие-либо проблемы безопасности с тем, чтобы сделать мои / etc / sudoers общедоступными для чтения?

2 ответа

Управление / и т.д.

Другие вопросы по тегам:

Похожие вопросы: