Tingkat Risiko
Ada beberapa risiko keamanan yang melekat dalam penggunaan find , xargs , dan (pada tingkat lebih rendah) locate . Tingkat keparahan risiko tergantung pada apa jenis sistem yang Anda gunakan:
Berisiko tinggi
find Multi-user sistem di mana Anda tidak mengontrol (atau kepercayaan) pengguna lain, dan di mana Anda mengeksekusi find , termasuk daerah di mana para pengguna lainnya dapat memanipulasi filesystem (misalnya di bawah / home atau / tmp).
Sedang Risiko
find Sistem di mana tindakan pengguna lain dapat membuat nama file yang dipilih oleh mereka, namun yang mereka tidak memiliki akses sementara find sedang dijalankan. atcron Akses ini mungkin termasuk meninggalkan program yang berjalan (pekerjaan shell latar belakang, at atau cron tugas, misalnya). Pada jenis ini sistem, perintah ditulis dengan cermat (menghindari penggunaan '-print' misalnya) tidak menghadapkan Anda pada tingkat resiko yang tinggi. Kebanyakan sistem termasuk dalam kategori ini.
Rendah Risiko
Sistem mana pihak untrusted tidak memiliki akses, tidak dapat membuat nama file pilihan mereka sendiri (bahkan jauh) dan yang mengandung kelemahan keamanan tidak ada yang bisa memungkinkan pihak ketiga yang dipercaya untuk mendapatkan akses. Kebanyakan sistem tidak termasuk dalam kategori ini karena ada banyak cara di mana pihak eksternal dapat mempengaruhi nama file yang dibuat pada sistem Anda. Sistem yang saya menulis ini misalnya otomatis men-download pembaruan perangkat lunak dari Internet, nama-nama file di mana pembaruan ini ada yang dipilih oleh pihak ketiga 1 .
findxargslocate Dalam pembahasan di atas, "resiko" menunjukkan kemungkinan bahwa seseorang dapat menyebabkan find , xargs , locate atau beberapa program lain yang dikendalikan oleh mereka untuk melakukan sesuatu yang tidak anda inginkan. Tingkat risiko menyarankan tidak tidak memperhitungkan konsekuensi semacam ini acara. Artinya, jika Anda mengoperasikan "risiko rendah" sistem tipe, tetapi konsekuensi dari masalah keamanan bencana, maka Anda masih harus memberikan pemikiran serius untuk semua masalah keamanan mungkin, banyak yang tentu saja tidak akan dibahas di sini - ini bagian dari buku panduan ini dimaksudkan untuk menjadi informatif, tetapi tidak komprehensif atau lengkap.
Jika Anda bertanggung jawab untuk pengoperasian suatu sistem di mana konsekuensi dari masalah keamanan bisa menjadi sangat penting, Anda harus melakukan dua hal: -
1. Menentukan kebijakan keamanan yang mendefinisikan siapa yang diizinkan untuk melakukan apa pada sistem Anda.
2. Carilah saran yang kompeten tentang cara untuk menegakkan kebijakan Anda, mendeteksi pelanggaran kebijakan itu, dan mempertimbangkan setiap potensi masalah yang mungkin berada di luar lingkup kebijakan Anda.
http://translate.google.co.id/translate?hl=id&langpair=en%7Cid&u=http://www.gnu.org/software/findutils/manual/html_node/find_html/Levels-of-Risk.html&ei=2MyfUJ-wH4vOrQf-8oDQBg
Tidak ada komentar:
Posting Komentar