我们有一个自动基线检查,如果权限/etc/shadow未设置为 000 ,则会发出警报。
收到这些警报的员工已经开始质疑 000 的完整性,因为 root 可以随心所欲地读写(所有文件自动至少为 600 为 root)但 root 不能执行没有执行权限集的文件(没有root 的自动 700 文件权限)。
/etc/shadow在许多基线中将权限设置为 000,例如官方 Red Hat GitHub 存储库中的 Ansible playbook(用于 PCI DSS、CJIS、NIST、CCE)。
为什么/etc/shadow应该是 000 而不是例如看似功能相同的 600背后是否有起源故事?或者我关于 Linux 对 root 用户的限制/宽容程度的假设是错误的吗?