Какие права безопасно ставить на корень?

Question

[Twelfth Doctor]

Здравствуйте. По-умолчанию в Ubuntu Linux стоят права 755 на корневую папку (/). Пытался ставить 711, сайты работали, но начинались проблемы с FTP. Безопасны ли те права на корень, которые идут из коробки?
Т.е. мне нужно, чтобы пользователь не смог подняться выше своей домашней директории /home/%username%
На директорию /home стоят права 711
Достаточно ли этого будет?

Answer 1

[Fixid]

Никогда не меняйте права и пользователя на корень ( / )
Для изоляции придумали chroot

Answer 2

[CityCat4]

Безопасны. Не стоит без четкого знания того, что делаешь, менять что-то в корне, системных либах, grub, ядре etc. - можно по самые уши проблем хватануть.
Если FTP через proftpd, там есть вот такой параметр:
DefaultRoot ~ !wheel
Он обрежет всем, кто не входит в локальную группу wheel доступ выше домашки - при попытке выйти выше уровнем ему будет сообщаться, то выше некуда - это корень :)

Comments

[Twelfth Doctor]

Да, только вот у меня у пользователей есть доступ к консоли по SSH, обрубать я его не хочу.
На одном сервере видел следующее:

user@someserv:/ [0] $ ls -l
ls: cannot open directory '.': Permission denied

И права на корень:

getfacl: Removing leading '/' from absolute path names
# file: .
# owner: root
# group: root
user::rwx
group::--x
other::--x

Посмотрел у себя на сервере: при входе в консоль можно перейти в корень, и (по крайней мере) читать системные файлы

webtest@other:/$ ls -l
total 80
drwxr-xr-x    2 root      root       4096 Jul 30 06:45 bin
drwxr-xr-x    2 root      root       4096 Apr 12  2016 boot
drwxr-xr-x   13 root      root       3920 Aug  4 10:07 dev
drwxr-xr-x   95 root      root       4096 Aug  7 10:13 etc

webtest@server:/$ cd /opt
webtest@server:/opt$ ls -l
total 12
drwxrwxr-x 14 root root 4096 Jul 28 09:53 mailcow-0.13.1
drwxr-xr-x  2 root root 4096 Jul 26 16:50 roundcube

[AVKor]

verdex: Настройте правильно sftp, и никуда юзер выше указанного там каталога не выйдет.

[CityCat4]

verdex: man sshd_config на предмет ChrootDirectory - может поможет. Оно вроде как специально для этого, но в мане сказано, что нужно обеспечить файлы, нужные для терминальной сессии внутри пользовательского окружения

Answer 3

[Юрий Чудновский]

мне нужно, чтобы пользователь не смог подняться выше своей домашней директории

А программы из, например, /usr/ пользователи как тогда будут запускать? А временные файлы в /tmp/ как им создавать?
Не трожьте корень, целее будете :)

Comments

[Twelfth Doctor]

Просто у меня пользователи севера могут подниматься в корень (по SSH) и читать системные файлы, видеть структуру каталогов.

[Юрий Чудновский]

verdex: И это нормально.

Answer 4

[Twelfth Doctor]

Проблемы с FTP были только у одного пользователя, домашняя папка которого находилась в корне сервера. Проблема решена предоставлением прав --x данному пользователю на /.