我正在尝试在我的 Linux 系统上做一些安全级别。例如,通过将二进制文件的权限限制为 750 可以轻松拒绝对 ping 命令或磁盘实用程序应用程序的访问:
/bin/ping
/usr/bin/gnome 磁盘
用户将无法运行它们。但问题是用户可以以某种方式从外部获取相同的二进制文件并将该二进制文件放置在其主文件夹中。由于无法阻止用户对其自己的文件授予权限,因此他可以运行二进制文件并避免授予系统文件权限。
我怎样才能阻止用户这样做?
答案1
首先,我们将从 $HOME 中的所有文件中删除执行位:
chmod a-x $HOME/*
然后我们确保在 home 中创建的任何新文件都没有设置执行位:
umask 006 $HOME
然而,用户仍然可以手动将某些内容设置为+x,以便他们可以自己手动执行它。阻止他们这样做更加复杂,因为您需要拥有他们创建的任何文件的所有权,然后将它们添加到一个组中,该组授予他们读/写访问权限,但不能更改权限。