Ask*_*arn 5 security permissions ssh-agent setgid
试图理解为什么 ssh-agent 有 sgid 位并发现这篇文章ssh-agent has sgid
我还有一个问题,为什么ssh-agent的组所有权是nobody not root?背后的原因是什么?如果组所有权是根,它仍然有效吗?
如果它是 setgid root 那么代理将作为 group 运行root,它可能比它启动的用户具有更广泛的权限。这可能是一个安全风险;至少,不必要地以 root 身份运行某些东西是一个危险信号(甚至是组)并且需要额外的注意力。
将组所有权设置为nobody,这是一个不应附加任何有意义的权限或文件的组,意味着ssh-agent它不会获得比用户开始时更多的权限。正如链接的问题所说,首先设置它的原因是为了防止跟踪程序,而不是因为它实际上需要不同的权限。在从另一个问题链接的讨论线程中,其中一位开发人员指出:
看来这个团体没有任何意义。重要的是二进制文件是 setgid anygroup 的事实。
nobody 当您只想要 setgid 的副作用而不是行为本身时,这是一个方便的组。
我想它仍然可以与 setgid root 一起使用。我只是在这里尝试过,它根本没有抱怨,似乎在粗略的测试中工作。也就是说,我想不出任何将其更改为的实际理由 - 每个人似乎都以 group 运行而nobody不是 group更好root。
无论如何,我不建议更改包管理器安装的文件的权限,因为他们往往会对对其控制的文件的任何修改感到不安。
| 归档时间: |
|
| 查看次数: |
1351 次 |
| 最近记录: |