《Sendmail安装和操作指南》(第1.3.1节)断言:
出于安全原因,/,/ usr和/ usr / sbin目录应该是root,模式0755 2
[...]
2 有些厂商把它们运归仓; 这将创建一个实际上与 sendmail 无关的安全漏洞 。[...]
为什么这是一个安全漏洞?是否有以用户bin身份运行进程的系统?
不管“组”和“其他”权限,root
只有根用户拥有的东西才能完全控制文件/目录。
另一个用户拥有的东西意味着除root用户外,该用户还拥有对该文件的完全控制权。现在,您拥有两个完全控制该文件/目录的实体,而之前只有一个。
这对于放置在标准位置的可执行文件特别不利,因为系统上的其他用户可能会调用它,并且拥有用户可以按自己的意愿替换可执行文件,可能将其用于恶意手段。希望在该系统上,可以防止用户“ bin”通过空shell或类似的交互式登录/etc/passwd
。我敢打赌,这样做是为了使程序包管理器不必以root用户身份运行。这本身可能带来其他好处。
但是,如果只有目录/ usr / sbin是bin所拥有的,而不是其中的可执行文件,那么它还不错。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句