Существуют ли какие-либо проблемы безопасности с тем, чтобы сделать мои /etc/sudoers общедоступными для чтения?
Недавно я начал использовать свою учетную запись GitHub для синхронизации различных файлов конфигурации на разных компьютерах, включая мои /etc/sudoers. Есть ли какие-либо уязвимости безопасности, которые это выставляет?
Изменить: Если это имеет значение, я на 14.10.
2 ответа
Моей первоначальной реакцией было сказать, что это плохая идея. Однако, посмотрев на ваш личный файл sudoers, я бы сказал, нет; это выглядит довольно стандартно для системы Ubuntu. Вы не выставляете ни одного из
- определенные версии программного обеспечения (которые могут иметь уязвимости)
- нестандартные имена пользователей (хотя, если бы я был плохим парнем, я бы попробовал "Джош" или "Джошуа"
Я быстро посмотрел на другие файлы конфигурации в вашем репозитории GitHub, и они кажутся хорошими - на данный момент! В будущем вы должны быть очень осторожны при изменении файлов конфигурации, всегда помня о том, что такие изменения будут общедоступными.
В целом, я бы предпочел использовать частное репо, чтобы избавить от необходимости думать о возможных последствиях каждого изменения, которое совершается. По этой причине на моем личном сервере Ubuntu установлены мои собственные удаленные репозитории, но AIUI, Bitbucket, предоставляют бесплатные частные репозитории.
Управление / и т. Д.
Я на самом деле не храню /etc файлы в моих репозиториях. Для повторного запуска изменений в файлах конфигурации, я делаю эти изменения, используя sed Команды, например, для автоматического изменения объема информации, сообщаемой logwatch, я запускаю:
sudo sed -i.bak "s/^Detail.*$/Detail = High/" /usr/share/logwatch/default.conf/logwatch.conf
Чтобы добавить псевдоним электронной почты для веб-мастера, если он еще не существует, я запускаю:
grep -i webmaster /etc/aliases || sudo sed -i.bak '1 a\webmaster:\troot' /etc/aliases
Я также использую пакет etckeeper для отслеживания всех изменений в /etc Дерево каталогов с помощью Git. Тем не менее, до сих пор я использовал его только в качестве исторической записи для рассматриваемой системы и в качестве средства отката любых изменений в /etc которые не работают. У него есть возможность отправить свой коммит в удаленное хранилище, но он еще не использовал его.
Другими более сложными решениями (о которых я пока не догадывался) являются инструменты управления конфигурациями, такие как Chef или Puppet, которые можно использовать для быстрого воссоздания конфигурации системы.
Я бы посоветовал вам не публиковать что-либо в публичном хранилище, которое находится в /etc каталог. Эта информация сделает вас уязвимым в худшем случае. Риск того, что вы пропустите файл, содержащий конфиденциальные данные, слишком велик.
Может быть, этого достаточно, если вы только фиксируете данные, но не нажимаете. Затем изменения сохраняются локально.