Шаги для взятия для взятия для безопасного совместного использования моего небольшого сервера с одноклассниками

Question 1

Моя школа недавно дала каждому студенту Chromebook. Они очевидно довольно заблокированы вниз и ограничены, но они действительно поддерживают SSH. Некоторые мои друзья и я интересуюсь программированием, и я думал, что это будет забава для всех нас иметь учетную запись на моем небольшом поле Ubuntu (преобразованный компьютер Windows Vista от ~2007) только для экспериментирования и тестирования целей так, чтобы они могли все иметь случайную игру вокруг в Python, C++, администрировать сервер Minecraft, обойти фильтр Chromebook и т.д.

Я обычно доверяю парням, и компьютер не очень важен ни для одной из наших ежедневных операций, но я задавался вопросом, были ли какие-либо определенные соображения безопасности, я должен взять прежде, чем позволить им созданные учетные записи. Если один из них должен был сделать некоторую программу жулика, как я мог удостовериться, что это не удаляет ни одного из файлов на моей учетной записи?

Question 2

Не давать sudo/root доступ. Безотносительно серверов, которые Вы создаете, гарантируют, что сервер работает своим собственным доступом в своем собственном пространстве. Например, при выполнении веб-сервера он работал бы как пользователь www-data. www-data может внести изменения в его области, но не может внести изменения за пределами, он - управление доступом.

Так проверьте название userid и groupid из рабочего сервера, чтобы проверить, что это работает в своем собственном пространстве.

Большинство серверов будет уже идти с этим дизайном.

Кроме того, Вы сами могли бы рассмотреть быть осторожным когда выполнение поднятый sudo команды. Это примет поднятое управление для внесения изменений в масштабе всей системы. Таким образом, если, поскольку Вы заинтересованы один из Вашего guru студенты хотели попытаться получить контроль над Вашим сервером, они могли бы попытаться заставить Вас запускать скрипт или проблему, которая включит поднятый доступ к нему или одной из его программ. При выполнении тестовых программ как обычный пользователь Вы не могли бы внести непреднамеренные вредные изменения.

Только выполненный sudo команды, когда Вы намеренно знаете о специфических особенностях, которые Вы хотите установить или настроить.

Ваше личное пространство

По умолчанию Ваш корневой каталог является браузером и читаемый миром. Вы в разрешении управляете, чтобы это было O для других. x на каталоге разрешение ввести его. r на каталоге или файле означает разрешение считать содержание.

Ваша домашняя папка выглядит примерно так, если Вы не изменили ее:
(Вывод ls ~/ который является Вашим корневым каталогом),

$ ls -l ~/
drwxr-xr-x 24 apollo apollo 4096 Sep 25 18:03 apollo

В этом случае apollo идентификатор пользователя groupid. Полномочия находятся в группах трех, uuugggooo. Первые три - Вы пользователь. Вторые три являются разрешением группы, и последние три являются другими или всеми.

Биты полномочий:

r - Read
w - write
x - execute (or for a directory enter)

Таким образом, если Вы смотрите на разрешение по умолчанию выше Вас, видят, что все могут прочитать и ввести каталог. Это может быть изменено с командой chown. Например:

$ chmod go-rx ~/

Та команда сделала бы определенный каталог недоступным группам и другим. Домашняя папка была бы затем похожа на это:

drwxr----- 24 apollo apollo 4096 Sep 25 18:03 apollo

Имея тот тип разрешения, никто не может просмотреть Ваше личное пространство. Конечно, если бы это было что-то, что Вы хотели совместно использовать, то Вы могли бы выполнить ту команду на Вашем ~/Documents папка или любая другая папка, что Вы хотите быть уверенными, что никто не может просмотреть.

В то время как по умолчанию многие Ваши папки могут быть просмотрены, они не могут быть изменены другими.

Вы могли бы полагать, что создание тестового счета на себя и использование его протестировало то, что доступно студентам.

У Вас, скорее всего, есть хорошие студенты, но большинство детей, а также большинство людей, будет любопытно и попытается перейти к месту, где они могли бы чувствовать, от предела из любопытства. Кроме того, Ваш студент, в то время как они не были должны, мог, вероятно, совместно использовать пароль с друзьями и братьями, которые могли бы быть более любознательными.

L. D. James · Accepted Answer · 2 December 2019 в 04:53

Не давать sudo/root доступ. Безотносительно серверов, которые Вы создаете, гарантируют, что сервер работает своим собственным доступом в своем собственном пространстве. Например, при выполнении веб-сервера он работал бы как пользователь www-data. www-data может внести изменения в его области, но не может внести изменения за пределами, он - управление доступом.

Так проверьте название userid и groupid из рабочего сервера, чтобы проверить, что это работает в своем собственном пространстве.

Большинство серверов будет уже идти с этим дизайном.

Кроме того, Вы сами могли бы рассмотреть быть осторожным когда выполнение поднятый sudo команды. Это примет поднятое управление для внесения изменений в масштабе всей системы. Таким образом, если, поскольку Вы заинтересованы один из Вашего guru студенты хотели попытаться получить контроль над Вашим сервером, они могли бы попытаться заставить Вас запускать скрипт или проблему, которая включит поднятый доступ к нему или одной из его программ. При выполнении тестовых программ как обычный пользователь Вы не могли бы внести непреднамеренные вредные изменения.

Только выполненный sudo команды, когда Вы намеренно знаете о специфических особенностях, которые Вы хотите установить или настроить.

Ваше личное пространство

По умолчанию Ваш корневой каталог является браузером и читаемый миром. Вы в разрешении управляете, чтобы это было O для других. x на каталоге разрешение ввести его. r на каталоге или файле означает разрешение считать содержание.

Ваша домашняя папка выглядит примерно так, если Вы не изменили ее:
(Вывод ls ~/ который является Вашим корневым каталогом),

$ ls -l ~/
drwxr-xr-x 24 apollo apollo 4096 Sep 25 18:03 apollo

В этом случае apollo идентификатор пользователя groupid. Полномочия находятся в группах трех, uuugggooo. Первые три - Вы пользователь. Вторые три являются разрешением группы, и последние три являются другими или всеми.

Биты полномочий:

r - Read
w - write
x - execute (or for a directory enter)

Таким образом, если Вы смотрите на разрешение по умолчанию выше Вас, видят, что все могут прочитать и ввести каталог. Это может быть изменено с командой chown. Например:

$ chmod go-rx ~/

Та команда сделала бы определенный каталог недоступным группам и другим. Домашняя папка была бы затем похожа на это:

drwxr----- 24 apollo apollo 4096 Sep 25 18:03 apollo

Имея тот тип разрешения, никто не может просмотреть Ваше личное пространство. Конечно, если бы это было что-то, что Вы хотели совместно использовать, то Вы могли бы выполнить ту команду на Вашем ~/Documents папка или любая другая папка, что Вы хотите быть уверенными, что никто не может просмотреть.

В то время как по умолчанию многие Ваши папки могут быть просмотрены, они не могут быть изменены другими.

Вы могли бы полагать, что создание тестового счета на себя и использование его протестировало то, что доступно студентам.

У Вас, скорее всего, есть хорошие студенты, но большинство детей, а также большинство людей, будет любопытно и попытается перейти к месту, где они могли бы чувствовать, от предела из любопытства. Кроме того, Ваш студент, в то время как они не были должны, мог, вероятно, совместно использовать пароль с друзьями и братьями, которые могли бы быть более любознательными.

Шаги для взятия для взятия для безопасного совместного использования моего небольшого сервера с одноклассниками

1 ответ

Другие вопросы по тегам:

Похожие вопросы: