Возможная слабость в разрешении www-data?

сегодня я кое-что тестировал на своем VPS и понял, что пользователь «www-data» имеет доступ для чтения к домашним папкам, а также к внутренним папкам системы, что дает возможному злоумышленнику возможность собирать информацию за пределами каталога /var/www. например RSA_Keys или пакетные файлы в домашнем каталоге.

Сначала я подумал, что ошибся с правами доступа к файлам или что-то в этом роде, но я смог воспроизвести это поведение на свежеустановленной виртуальной машине.

ОС: Ubuntu 20.04 LTS, со всеми примененными обновлениями Веб-сервер: Apache2 со стандартной конфигурацией

Как я тестировал: sudo -u www-данные bash --> нано /home/user/stuff.txt или же нано /папка/rsa.pem

Это ожидаемое поведение? Я что-то пропустил? И как я могу запретить пользователю www-data доступ к определенным папкам?

Заранее спасибо!

В Ubuntu 20.10 и более ранних версиях ожидаемое поведение каталогов /home, доступных для чтения.

Поведение было изменено в 21.04 и более поздних версиях; /home каталоги больше не доступны для глобального чтения.

• Новые установки 21.04 и новее получают новое поведение.
• Новые установки 20.04 и старше получают старое поведение
• Обновления выпуска НЕ ​​меняют поведение. Если вы выпустите обновление с 20.04 до, скажем, 22.04, ваш каталог /home останется доступным для чтения во всем мире.

Еще в тот день вы в розыске люди, чтобы иметь возможность читать (не записывать) файлы в вашем каталоге.Это один из способов обмена информацией в многопользовательской системе. Конечно, вы также знали лучше, чем хранить личные данные в многопользовательской системе.

С точки зрения безопасности это по-прежнему верно: серверы следует рассматривать как многопользовательские системы. Не храните конфиденциальные личные документы 1) в незашифрованном виде и 2) в той же файловой системе, что и общедоступный веб-сервер.