xinetd服务:可以更改用户吗?(cvs pserver)
xinetd服务:可以更改用户吗?(cvs pserver)
提问于 2013-09-09 14:50:56
遗留系统源代码管理: xinetd
下的CVS
我们有一个使用遗留源代码管理的团队: cvs。我们在xinetd (下面的配置文件)下运行cvs pserver。
审计旗帜
一个安全审计发出了一个标志:“确保cvs服务器没有在root下运行”。
问题:
我能否通过将"user=root“替换为"user=cvs”来安全地锁定“cvs pserver”?有什么有害的副作用或“抓到”吗?
注意:用户"cvs“拥有”cvs根目录"/var/cvs/cvs“中的所有文件。
我之所以这样问,是因为我已经搜索了所有已有十年历史的文档,所有的例子都有'user=root‘,没有人建议更改"user=“参数来增加安全性。
更新:我试过了。啊,真灵。没问题。
谢谢
示例: cvspserver配置文件
# Begin /etc/xinetd.d/cvspserver
service cvspserver
{
port = 2401
socket_type = stream
protocol = tcp
wait = no
user = root
passenv = PATH
server = /usr/bin/cvs
server_args = -f --allow-root=/var/cvs/cvs pserver
}
# End /etc/xinetd.d/cvspserver回答 1
Server Fault用户
回答已采纳
发布于 2013-09-10 23:48:23
你绝对应该听从他们的建议。这是非常好的建议。
通常,在执行此操作时,您将需要确保守护进程有足够的权限来执行它所做的工作。在这种特殊情况下,这很可能只是指它已经拥有的所有权。我的建议是备份存储库,然后继续进行更改。
其工作方式是,xinetd (通常以root形式运行)将放弃特权,然后使用stdin和stdout执行/usr/bin/cvs,指向xinetd管理的套接字。它真的什么都没有。CVS非常简单,除了能够操作根目录下的文件之外,不需要任何权限。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/537505
复制相关文章
相似问题
腾讯云开发者
