Wazuh服务器证书目录权限问题分析与解决方案

背景介绍

在Wazuh 5.0版本中，安全团队发现了一个关于证书目录权限配置的问题。Wazuh是一款开源的安全监控平台，其服务器组件需要严格的文件系统权限控制来确保系统安全。在最新版本中，/etc/wazuh-server/certs目录的权限设置不符合安全最佳实践。

问题描述

当前版本的Wazuh服务器安装后，/etc/wazuh-server/certs目录的权限被设置为750（rwxr-x---），这意味着：

• 所有者（wazuh-server用户）有读、写、执行权限
• 同组用户有读、执行权限
• 其他用户无任何权限

然而，根据安全规范，这个包含敏感证书文件的目录应该设置为更严格的500（r-x------）权限，即：

• 仅所有者有读和执行权限
• 其他所有用户（包括同组用户）都无任何权限

技术分析

通过深入调查发现，问题根源在于打包过程中的权限设置逻辑：

1. RPM包分析：

   • 在SPEC文件中明确定义了证书目录应具有0500权限
   • 安装日志显示创建目录时确实使用了040500参数
   • 但安装后执行的全局权限修改命令覆盖了这一设置

2. DEB包分析：

   • 安装脚本中使用了find命令批量修改权限
   • 同时Debian的dh_fixperms工具也会自动调整权限

3. 权限冲突：

   • 虽然包内明确定义了目录权限
   • 但安装后执行的全局权限修改命令（find + chmod）覆盖了特定设置
   • 特别是DEB包中的dh_fixperms工具会强制修改权限

解决方案

经过技术团队研究，提出了以下解决方案：

1. RPM包修改：

   • 移除SPEC文件中全局修改权限的命令
   • 为每个目录和文件单独设置精确的权限
   • 保留证书目录的0500特殊权限

2. DEB包修改：

   • 禁用dh_fixperms的自动权限调整
   • 实现细粒度的权限控制脚本
   • 确保安装后证书目录保持500权限

3. 验证方案：

   • 安装后检查目录权限是否符合预期
   • 验证Wazuh服务器能否正常启动和运行
   • 确保所有相关功能不受影响

实施效果

实施上述修改后：

• 证书目录权限严格限制为500
• 其他目录和文件保持适当权限
• 系统安全性得到提升
• 不影响Wazuh服务器的正常运行

安全建议

对于使用Wazuh的安全运维人员，建议：

1. 定期检查关键目录权限
2. 遵循最小权限原则配置
3. 升级到修复后的版本
4. 对于生产环境，建议进行权限变更测试

总结

文件系统权限是安全防护的重要一环。Wazuh团队通过这次权限问题的修复，进一步提升了产品的安全性。这也提醒我们，在软件打包和部署过程中，需要特别注意权限控制的精确性和一致性，避免全局设置覆盖特定需求。