为什么 chmod 777 -R / 会导致系统无法使用?

为什么 chmod 777 -R / 会导致系统无法使用?

我只是授予所有人执行任何操作的权限,但为什么仅授予权限会导致系统崩溃?我只是修改了权限,而不是更改文件。

答案1

有几个原因。

首先,除了通常的读/写/执行权限之外,文件权限还包含其他一些位。最值得注意的是setuidsetgid。当设置了这些权限位之一的程序运行时,它会获得程序所有者的“有效 UID”和/或“有效 GID”,而不是运行它的用户的权限。这允许程序以比运行它们的用户更多的权限运行。它被许多重要的系统实用程序使用,包括susudo。您的chmod命令会清除这些位,从而使实用程序无法使用。

其次,一些程序(尤其是ssh)会对文件权限进行健全性检查,并拒绝使用它们认为权限不安全的文件。这降低了粗心的管理员意外留下安全漏洞的风险,但这使得处理被清除的文件权限变得更加痛苦。

答案2

简短的回答。

Linux 系统需要某些程序具有特定的权限,例如sudo,等等。

运行时,chmod 777 -R /您将清除所有权限并将其替换为777。除非您手动恢复所有权限,否则系统将无法使用。

实际上,重新安装要快得多,也容易得多。

问题在于,许多系统程序的设计方式是,如果它们“不喜欢”权限,则无法启动。这是出于安全原因。

我认为解释如何在实践中处理系统设计比解释为什么每个程序在错误的权限下无法运行更重要。

如果您确实希望所有用户在 Ubuntu 中都拥有无限权限,您可以将所有用户添加到组中,sudo而不是更改文件和目录权限。这将产生相同的效果,但不会破坏系统。

另一种方法(非常糟糕的方法)是激活 root 帐户并允许每个人以 root 身份登录。

答案3

chmod有微妙的差别。

chmod 0777chmod u+rwx,g+rwx,o+rwx表现不同于设置用户标识设置组ID由第一个将其归零,并由后者保存。

这就是系统无法使用的原因。您删除了必要的设置用户标识来自一些程序。

以下是我的 Linux Fedora 23 笔记本电脑上的 setuid 或 setgid 文件列表:

[root@fedora23lnvr61]# find / -perm /g+s,u+s
/var/log/journal
/var/log/journal/75e870eb13c74fbf97556a32ecf80ea2
/opt/google/chrome/chrome-sandbox
/usr/bin/rogue
/usr/bin/gnuchess
/usr/bin/locate
/usr/bin/umount
/usr/bin/lbrickbuster2
/usr/bin/gpasswd
/usr/bin/crontab
/usr/bin/fusermount
/usr/bin/su
/usr/bin/at
/usr/bin/newuidmap
/usr/bin/sudo
/usr/bin/pkexec
/usr/bin/mount
/usr/bin/chsh
/usr/bin/newgrp
/usr/bin/passwd
/usr/bin/chage
/usr/bin/chfn
/usr/bin/write
/usr/bin/newgidmap
/usr/sbin/mount.nfs
/usr/sbin/lockdev
/usr/sbin/netreport
/usr/sbin/userhelper
/usr/sbin/usernetctl
/usr/sbin/unix_chkpwd
/usr/sbin/pam_timestamp_check
/usr/libexec/kde4/kdesud
/usr/libexec/kde4/kpac_dhcp_helper
/usr/libexec/dbus-1/dbus-daemon-launch-helper
/usr/libexec/qemu-bridge-helper
/usr/libexec/openssh/ssh-keysign
/usr/libexec/spice-gtk-x86_64/spice-client-glib-usb-acl-helper
/usr/libexec/utempter/utempter
/usr/libexec/abrt-action-install-debuginfo-to-abrt-cache
/usr/libexec/Xorg.wrap
/usr/lib/polkit-1/polkit-agent-helper-1
/usr/lib64/vte-2.90/gnome-pty-helper
/usr/lib64/virtualbox/VBoxSDL
/usr/lib64/virtualbox/VirtualBox
/usr/lib64/virtualbox/VBoxNetNAT
/usr/lib64/virtualbox/VBoxHeadless
/usr/lib64/virtualbox/VBoxNetDHCP
/usr/lib64/virtualbox/VBoxNetAdpCtl
/usr/lib64/virtualbox/VBoxVolInfo
/usr/lib64/vte/gnome-pty-helper
[root@fedora23lnvr61]# 

我删除了缓存和日志中的数十个噪音条目。

答案4

除了其他答复之外:您还从(通常具有权限 1777)中删除了“粘滞位” /tmp,这可能会导致其他意外问题,因为程序将能够写入或删除彼此的临时文件。

粘滞位是一种特殊权限,它允许任何人在 中创建文件/tmp,但只允许创建文件的人移动或删除它。

相关内容