Linux: Permessi file errati-Rilevare e correggere errori

Prefazione

I permessi errati sui file in Linux rappresentano una delle principali fonti di vulnerabilità e malfunzionamenti nei sistemi operativi Unix-like. Questo problema può compromettere l’accesso ai dati, esporre il sistema a escalation di privilegi o impedire l’esecuzione di servizi fondamentali. La comprensione di come funzionano i permessi, come vengono impostati e quando risultano errati, è essenziale per ogni System Administrator Linux. Spesso, questi errori emergono in seguito a migrazioni, script mal scritti, errori umani o automatismi mal configurati.

---

Domande e Risposte

---

Che cosa causa i permessi file errati in Linux?
Errori umani (chmod o chown impropri), script automatici difettosi, aggiornamenti non compatibili, estrazioni da archivi tar/zip senza conservazione permessi.

Come si manifestano i permessi errati?
Accessi negati a file o directory, esecuzioni fallite, log di sistema con messaggi di permission denied, vulnerabilità di sicurezza nei log audit.

Dove si verifica più spesso il problema?
In directory di sistema (/etc, /var, /usr), directory home, directory temporanee (/tmp, /var/tmp) e cartelle condivise (/srv, /mnt).

Quando si presenta più frequentemente?
Dopo restore da backup, upgrade di distribuzione, montaggi NFS, o durante l’esecuzione di script personalizzati o cronjob.

Perché è un problema critico?
Perché può compromettere la sicurezza, impedire l’accesso legittimo o esporre file a utenti non autorizzati, rendendo il sistema vulnerabile a exploit.

---

Soluzioni

---

Analisi dei permessi

Visualizzare i permessi attuali:

bash
ls -l /percorso/del/file

---

Verificare ricorsivamente permessi errati:

bash
find /percorso -type f ! -perm 644
find /percorso -type d ! -perm 755

Correzione con chmod

Impostare permessi standard consigliati:

bash
chmod 644 /percorso/file.conf
chmod 755 /percorso/directory

Modifica ricorsiva:

bash
find /percorso -type f -exec chmod 644 {} \;
find /percorso -type d -exec chmod 755 {} \;

Correzione proprietà con chown

Controllare il proprietario:

bash
ls -l /percorso/file

Correggere proprietario:

bash
chown utente:gruppo /percorso/file

Ricorsivamente:

bash
chown -R utente:gruppo /percorso/directory

Controllo con Access Control Lists (ACL)

Visualizzare ACL:

bash
getfacl /percorso/file

Rimuovere ACL errate:

bash
setfacl -b /percorso/file

---

Esempio PowerShell equivalente (per sistemi Linux gestiti via WSL o Samba)

---

Visualizzazione permessi di file remoti montati:

powershell
Get-Acl "\\server\share\file.txt"

Impostazione ACL:

powershell
$acl = Get-Acl "\\server\share\file.txt"
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule("domain\user","ReadData","Allow")
$acl.SetAccessRule($rule)
Set-Acl "\\server\share\file.txt" $acl

---

Due consigli per risolvere più velocemente

1. Usa auditd per tracciare modifiche sospette ai permessi: bash auditctl -w /etc/passwd -p wa
2. Salva una copia dei permessi con getfacl prima di modificare: bash getfacl -R /etc > /backup/permessi_etc.acl

---

Best Practice

• Esegui backup regolari dei permessi con getfacl o stat.
• Utilizza umask corretta nei profili utente.
• Automatizza il controllo periodico con cron e find.
• Non assegnare mai 777 ai file se non strettamente necessario.
• Centralizza i log di permission denied con rsyslog o journalctl.
• Imposta script con set -e per fermare modifiche errate.
• Limita l’uso di chmod -R se non in ambienti testati.
• Valida i permessi dopo restore/backup o decompressioni.
• Usa strumenti come rkhunter o chkrootkit per sicurezza avanzata.
• Implementa controllo versioni e auditing con Git per file di configurazione.

---

Conclusione

I permessi errati su file e directory in Linux sono una minaccia silenziosa ma potenzialmente devastante. Conoscere le cause, identificare i segnali e applicare correzioni mirate è essenziale per mantenere l’integrità e la sicurezza del sistema. Adottare best practice e strumenti di auditing aiuta a prevenire queste anomalie prima che causino danni gravi.