Pi-hole FTL数据库权限安全优化分析

Pi-hole作为一款流行的开源DNS过滤解决方案，其核心组件FTL（Faster Than Light）数据库存储了丰富的DNS查询历史记录和网络活动数据。近期社区发现了一个重要的安全问题：FTL数据库文件默认权限设置过于宽松，可能导致信息泄露。

问题背景

Pi-hole的FTL数据库文件/etc/pihole/pihole-FTL.db默认权限设置为644（-rw-rw-r--），这意味着系统中任何用户都可以读取该数据库内容。这个数据库不仅包含实时DNS查询记录，还长期保存历史数据，比日志文件包含的信息更为全面和持久。

安全风险分析

这种宽松的权限设置带来了几个明显的安全隐患：

1. 隐私风险：任何本地用户都可以查看完整的DNS查询历史，了解网络使用模式
2. 数据分析风险：可以利用这些数据进行网络行为分析
3. 权限不一致：与Pi-hole日志文件（默认640权限）相比，数据库的保护力度不足

解决方案与实现

Pi-hole开发团队在v6.0版本中修复了这个问题，主要改进包括：

1. 将FTL数据库文件权限从644调整为640（-rw-r-----）
2. 确保只有pihole用户和pihole组成员可以访问数据库
3. 保持与日志文件权限策略的一致性

相关安全改进

在v6.0版本中，Pi-hole还针对其他配置文件进行了权限优化：

1. /etc/pihole/setupVars.conf（包含Web界面密码哈希）权限收紧
2. 统一采用pihole组访问控制策略
3. 确保LIGHTTPD用户（Web服务器用户）作为pihole组成员仍能正常访问所需文件

最佳实践建议

对于Pi-hole用户，特别是安全敏感环境中的管理员，建议：

1. 尽快升级到v6.0或更高版本
2. 定期检查Pi-hole相关文件的权限设置
3. 限制服务器上的普通用户数量
4. 考虑使用文件系统ACL进行更精细的访问控制

总结

Pi-hole项目对FTL数据库权限的优化体现了其对安全问题的快速响应能力。通过收紧文件权限，有效降低了数据泄露的风险，同时保持了系统的正常功能。这种改进对于保护用户网络隐私具有重要意义，也展示了开源项目在安全方面的持续进化。