工作中的系统管理员希望我们删除特定文件系统中所有文件和目录的所有全局权限。通常情况下,我会同意这种安全做法。但是,我不明白这样做的意义,因为父目录只允许特定组内的用户访问文件系统。
例如,父目录具有如下权限:
drwxr-x--- 5 root group 4096 Apr 7 15:27 /example
并且子目录具有如下权限:
drwxrwxrwx 2 user group 4096 Apr 10 00:34 /example/dir1
drwxrwxrwx 2 user group 4096 Apr 8 12:52 /example/dir2
drwxrwx--- 2 user group 4096 Apr 12 08:13 /example/dir3
注:/example/dir1和/example/dir2是当前存在的。/example/dir3是我们的系统管理员想要的权限。
/example/dir1当/example/dir2只有其中的用户group可以访问该文件系统时,删除全局权限有什么好处吗?最佳实践是什么?
答案1
责任:
如果您拥有类似 的权限dir3,您很快就会知道谁有权访问该文件。在其他情况下,您应该返回,直到看到正确的权限。
安全:
您可能需要dir4通过网络浏览器访问,因此您的系统管理员也需要更改,但现在他不知道和example的正确权限。dir1dir2
一般来说,最佳实践:使用最小权限总是更好,这样你就知道(通过查看附加权限)附加要求是什么(这是一种懒惰的男孩文档;但我们都倾向于懒惰文档) )。
注意:如果某些程序找到“world/all”权限,它们可能会抱怨(并停止):它们通常只检查当前目录权限(为什么要进行复杂的检查?并且多次安装卷,可能很难(并且不可移植)找出可能的攻击)