systemd init 脚本的文件权限

Question

将 systemd 单元视为配置文件，而不是脚本。它们不由内核运行，没有 shebang#!行，因此不需要可执行。（事实上，如果你做使它们可执行，systemd 将向系统日志打印警告。）

是的，隐藏内容毫无意义（systemctl无论如何都可以通过它检索）。同样，systemd 会警告那些试图将单元设为非公开的无用尝试。

只有当用户完全受信任（即系统管理员）时才可以。想想他们可以实现什么：他们可以将任意命令放入单元文件中，重新启动系统，然后这些命令将以完全信任的方式运行根特权。

因此，如果不受信任的用户可以写入系统 .service 文件，他们很快就能成为 root 用户。

它们是系统配置文件，位于中/etc，因此 root 是自然的选择。（这没那么重要——但是做请参阅上一节有关可写性的内容。）

事实并非如此。你的例子是符号链接，不是文件。符号链接根本没有自己的权限——系统始终返回相同的虚拟值，但从不将其用于任何目的。（顺便说一下，rwx rwx rwx是 0777，而不是 0755。）

如果你看看常规的/etc/systemd/system或中的文件/usr/lib/systemd/system，您将看到几乎所有文件都具有权限 0644（rw- r-- r--）。

Answer 1

将 systemd 单元视为配置文件，而不是脚本。它们不由内核运行，没有 shebang#!行，因此不需要可执行。（事实上，如果你做使它们可执行，systemd 将向系统日志打印警告。）

是的，隐藏内容毫无意义（systemctl无论如何都可以通过它检索）。同样，systemd 会警告那些试图将单元设为非公开的无用尝试。

只有当用户完全受信任（即系统管理员）时才可以。想想他们可以实现什么：他们可以将任意命令放入单元文件中，重新启动系统，然后这些命令将以完全信任的方式运行根特权。

因此，如果不受信任的用户可以写入系统 .service 文件，他们很快就能成为 root 用户。

它们是系统配置文件，位于中/etc，因此 root 是自然的选择。（这没那么重要——但是做请参阅上一节有关可写性的内容。）

事实并非如此。你的例子是符号链接，不是文件。符号链接根本没有自己的权限——系统始终返回相同的虚拟值，但从不将其用于任何目的。（顺便说一下，rwx rwx rwx是 0777，而不是 0755。）

如果你看看常规的/etc/systemd/system或中的文件/usr/lib/systemd/system，您将看到几乎所有文件都具有权限 0644（rw- r-- r--）。

相关内容