Рекомендуется ли изменить права доступа к корневому каталогу для повышения безопасности?

У меня есть компьютер с Ubuntu 20.04 Server. Я купил свой сервер в Digital Ocean 1 год назад (более или менее) и каждый месяц я пытаюсь улучшить его безопасность, и я получаю удовольствие. А вот насчёт организации пользователей у меня всегда есть сомнения.

Это персональный сервер, поэтому я действительно прошу улучшить мое понимание для будущих проектов, в которых может участвовать больше пользователей.

Мои права доступа к корневому каталогу:

 0 lrwxrwxrwx 1 root root 7 14 мая 2020 г. bin -> usr/bin
 4 drwxr-xr-x 4 root root 4096 10 февраля 06:59 загрузка
 0 drwxr-xr-x 16 root root 3820 12 окт 02:34 dev
12 drwxr-xr-x 110 root root 12288 16 февраля 18:11 и т. д.
 4 drwxr-xr-x 4 root root 4096 3 апреля 2021 г. главная
 0 lrwxrwxrwx 1 root root 7 14 мая 2020 г. lib -> usr/lib
 0 lrwxrwxrwx 1 root root 9 14 мая 2020 г. lib32 -> usr/lib32
 0 lrwxrwxrwx 1 root root 9 14 мая 2020 г. lib64 -> usr/lib64
 0 lrwxrwxrwx 1 root root 10 14 мая 2020 г. libx32 -> usr/libx32
16 drwx------ 2 root root 16384 14 мая 2020 потерян+найден
 4 drwxr-xr-x 2 root root 4096 14 мая 2020 г. носитель
 4 drwxr-xr-x 2 root root 4096 14 мая 2020 г.
 4 drwxr-xr-x 3 root root 4096 18 дек. 13:48 опт.
 0 dr-xr-xr-x 197 root root 0 12 июня 2021 г. proc
 4 drwx------ 10 root root 4096 6 фев 19:31 root
 0 drwxr-xr-x 31 root root 1040 16 февраля 13:04 запуск
 0 lrwxrwxrwx 1 root root 8 14 мая 2020 г. sbin -> usr/sbin
 4 drwxr-xr-x 8 root root 4096 16 фев 17:56 snap
 4 drwxr-xr-x 3 root root 4096 3 апреля 2021 г. srv
 0 dr-xr-xr-x 13 root root 0 12 июня 2021 г. sys
 4 drwxrwxrwt 20 root root 4096 16 февраля 18:39 tmp
 4 drwxr-xr-x 15 root root 4096 6 августа 2021 usr
 4 drwxr-xr-x 16 root root 4096 4 декабря 18:50 переменная

Вы можете видеть, сколько файлов другие группы разрешения на выполнение, но действительно ли это необходимо? Икс разрешение означает, что любой пользователь может сделать

 компакт-диск / загрузка

Или что-то подобное. Я знаю, что они не могут ничего редактировать или удалять там, но если они могут войти в каталог и написать лс, этот случайный пользователь может получить информацию, которую я не хочу, чтобы пользователь получал. Однажды друг, который знал Linux лучше меня, сказал мне, что если вы хотите испортить сервер Ubuntu, вы можете сделать это, изменив права доступа к файлам. Поэтому я не хочу его тестировать.

Моя цель состоит в том, чтобы каждый пользователь не мог ничего делать с дополнительной мощностью (введите в /dev или же /ботинок), только пользовательские вещи..

Но боюсь что-то сломать сменой разрешений.

Моя идея такова: я владелец сервера и могу получить root права, поэтому мой первый шаг:

В корневом каталоге я бы сделал sudo chown корень: мощность , куда сила это группа, в которую я могу поместить некоторых пользователей, которые могут делать больше, чем обычно, тогда чмод 750 всего (например, меньше температуры)

Но я слышал, что если вы делаете такие вещи, например, www-данные не мог управлять службами apache или что-то изменить.

Так что мне придется добавить к сила сгруппировать пользователя www-данные, хорошо, тогда он может управлять своим материалом, но я думаю, что есть много других системных пользователей/групп, которым потребуются аналогичные настройки, о которых я пока не знаю.

Я надеюсь, вы можете более или менее понять, что я хочу сделать, и какова моя цель: изменить сервер, чтобы лучше управлять пользователями, ограничивая роли Например.Но я немного потерял, как начать.

И спасибо всем.

Нет.

Разрешения и права собственности на системные файлы уже настроены для обеспечения безопасности.

Поломка вашей системы — это единственное, чего вы добьетесь, изменив владельца и права доступа к системным файлам.

Это очень опасный мыслительный процесс, особенно если вы не знакомы с Linux. Мастерить, как правило, нормально, если вы знаете, что делаете. Но пытаться изо всех сил пытаться улучшить то, что не сломано, как правило, не очень хорошая идея.

Разработчики Ubuntu десятилетиями настраивали и совершенствовали программное обеспечение, чтобы сделать его чище и безопаснее.

Если вы считаете, что нашли способ сделать систему лучше или безопаснее, рассмотрите вклад в развитие Ubuntu. Внося свой вклад в разработку, многие другие люди будут просматривать и проверять предложенные вами изменения, прежде чем они станут частью ОС.

Unix security, and later Linux security, has always defaulted to being as open as possible. Things are closed when they need to be closed and open otherwise.

This means that if you try to do something out of the ordinary, but not really dangerous, there is a good chance you allowed to do so.

Security specialists don't like this approach. They want things to be closed as possible and only open when they have to be. Less nasty surprises that way. It seems your instincts are in this camp.

In a closed system you have permission to do your job and nothing more. Whenever you want to do something that is even the slightest outside your box, you need to obtain permission. Developers hate working in a system like that.

It is difficult to take a old open system like Ubuntu and try to close it up. You will find that there are undocumented dependencies where seemingly unrelated programs stop working with odd error messages when an access is closed.

So, it is a choice of priorities, what is more important to you, security or usability? There are Unix versions that are more close-minded than Ubuntu. These are made by security experts that have done the hard work of tracking down those undocumented dependencies.

All that being said, Nmath's answer is also correct. A lot of very smart people have looked at Ubuntu security and found it adequate. The odds of you being hit by a unknown security hole is very very low.