Pes*_*hke 3 filesystems security permissions chmod
工作中的系统管理员希望我们从特定文件系统中的所有文件和目录中删除所有世界权限。通常,我会同意这种安全做法。但是,我不明白这样做的意义,因为父目录只允许特定组中的用户访问文件系统。
例如,父目录具有以下权限:
drwxr-x--- 5 root group 4096 Apr 7 15:27 /example
并且子目录具有以下权限:
drwxrwxrwx 2 user group 4096 Apr 10 00:34 /example/dir1
drwxrwxrwx 2 user group 4096 Apr 8 12:52 /example/dir2
drwxrwx--- 2 user group 4096 Apr 12 08:13 /example/dir3
注意:/example/dir1和/example/dir2是当前存在的。/example/dir3是我们的系统管理员想要的权限。
有来自世界上删除权限的任何好处/example/dir1,并/example/dir2在当时只有用户group可以访问此文件系统?最佳做法是什么?
问责制:
如果您拥有类似 的权限dir3,您很快就会知道谁有权访问该文件。在另一种情况下,您应该返回,直到看到正确的权限。
安全:
您可能需要dir4通过网页浏览器访问的,因此系统管理员需要也随之变化example,但现在他不知道是正确的权限dir1和dir2。
一般来说和最佳实践:使用最小权限总是更好,所以你知道(通过查看额外的权限)什么是额外的要求(这是一种懒惰的男孩文档;但我们都倾向于在文档上懒惰)。
注意:如果某些程序找到“world/all”权限,它们可能会抱怨(并停止):它们通常只检查当前目录权限(为什么要进行复杂检查?并且多次安装卷,可能很难(且不可移植)寻找可能的攻击)