iT邦幫忙

0

資安稽核要求service不能以root啟動....

non-root user service privilege port
cmwang 2020-08-06 16:45:002756 瀏覽

  • 分享至 

  • xImage

鵝今天被考倒了,user端承辦說資安稽核要求service不能以root啟動....

鵝想到以下幾點....

1:Unix會限制非root user不能bind 1024以下的port,但啟動完會su成一般user或是以一般user的身份fork出實際提供service的process....
2:不是所有程式都可以改startup的user,再說權限和root一樣大的話,那和直接用root啟動根本是一樣的....
3:提供service的程式如果須要access user的homedir的話,正常來說都是轉換成那個user的身份執行,而這一點本來就是root的特權,不然就是程式要suid了....

不過承辦說不管怎麼弄,只要別讓稽核的人看到root就好,請問一下還有啥比較好的說法,可以擺脫這個無釐頭的問題啊/images/emoticon/emoticon06.gif....

看更多先前的討論...收起先前的討論...
froce iT邦大師 1 級 ‧ 2020-08-06 23:11:08 檢舉
1.https://www.geeksforgeeks.org/bind-port-number-less-1024-non-root-access/
sudo setcap CAP_NET_BIND_SERVICE=+eip /path/to/binary

2.包含系統service?很多service是綁死「root」的啊,改root你也得去改程式設定或程式碼甚至重編...
自己架的要做到就比較簡單了。

3.https://serverfault.com/questions/17814/how-can-i-allow-one-user-to-su-to-another-without-allowing-root-access
最後一個回答可以參考。

基本上我會請稽核找作到這點的人來教,或是請他自己來教我怎麼改。
有些稽核是只管建議,做不做的到不關他的事的...
cmwang iT邦大師 1 級 ‧ 2020-08-07 13:44:33 檢舉
謝了,反正稽核的人只負責天馬行空,鵝就回如果對資安有疑慮,應該是盡可能提高提供service的程式的安全性,而不是在service不要以root啟動上打轉了....
zcm iT邦研究生 2 級 ‧ 2020-08-07 15:42:57 檢舉
看起來你們家的稽核是 "看圖說故事"
mytiny iT邦超人 1 級 ‧ 2020-08-07 16:22:17 檢舉
稽核!顧問!
很多都只有紙上理論,沒有實戰經驗
請他改一個做給大家看看
可以的話,你就照辦
不可以的話,請老闆不要付顧問或稽核費用
天兵....
froce iT邦大師 1 級 ‧ 2020-08-07 18:38:32 檢舉
其實1、3還蠻實用的啊,如果服務開在在外網可能真的得這樣玩。
只是如果真的要求連系統service都得改那就真的...
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
新鮮的肝
iT邦新手 5 級 ‧ 2020-08-06 17:24:54

只要別讓稽核的人"""看到""" root就好

所以稽核好像重點不再權限如何
別想太多
2點可能可行?
我的見解 呵呵~

登入發表回應
0
jas8411
iT邦新手 4 級 ‧ 2020-08-18 14:28:38

CHEF Compliance可以幫貴公司做到這件事也可以讓稽核單位一起驗證及使用這一套方案
https://www.chef.io/products/chef-compliance/

若需要更多細節可以聯絡小弟

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22170
完賽人數
597
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙