试图了解为什么ssh-agent有sgid位并发现此帖子ssh-agent有sgid
我还有一个问题,为什么ssh-agent的组所有权不是root?背后的原因是什么?如果组所有权是root,它仍然可以工作吗?
如果它是setgid root,则该代理将作为group运行root,它的权限可能比它作为其开始的用户更大。那可能是安全隐患;至少,不必要地以root身份运行某些东西是一个危险信号(甚至是该组),并且需要额外的关注。
将群组所有权设置为nobody,这是一个不应具有任何有意义的权限或附件的群组,这意味着所ssh-agent获得的权限不会超过以开头的用户。就像链接的问题所说的那样,首先设置它的原因是为了防止对程序进行追踪,而不是因为它实际上需要不同的权限。在与另一个问题相关的讨论线程中,一位开发人员指出:
看来该小组没有任何影响。事实是二进制文件对任何组都是重要的。
nobody 是仅在需要setgid的副作用而不是行为本身的副作用时使用的方便组。
我想它仍然可以和setgid root一起使用。我只是在这里尝试过,它一点也没有抱怨,似乎可以在粗略的测试中工作。就是说,我想不出任何将其更改为该名称的实际原因-与group一起运行似乎每个人nobody都比它更好root。
在任何情况下,我都不建议更改包管理器安装的文件的权限,因为它们可能会使对它们所控制的文件的任何修改都不高兴。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句