.service作为符号链接创建的世界可写 systemd 文件是否会/etc/systemd/system造成安全威胁?
是否可以以某种方式修改.service系统上任意文件的链接,并使 systemd 以 root 身份执行这些文件?
该目录的权限/etc/systemd/system如下:
drwxr-xr-x. 11 root root 4096 Aug 30 12:57 /etc/systemd/system/
该目录中的全局可写链接是:
1050594 0 lrwxrwxrwx 1 root root 9 Apr 9 11:53 /etc/systemd/system/ctrl-alt-del.target -> /dev/null
1050595 0 lrwxrwxrwx 1 root root 9 Apr 9 11:54 /etc/systemd/system/sensu-server.service -> /dev/null
1052003 0 lrwxrwxrwx 1 root root 9 Apr 9 11:54 /etc/systemd/system/sensu-api.service -> /dev/null
1052037 0 lrwxrwxrwx 1 root root 9 Apr 9 11:55 /etc/systemd/system/dataeng.service -> /dev/null
答案1
在 Linux 下,符号链接实际上没有单独的权限;考虑的权限是目标文件及其包含目录的权限。由于包含目录只能由 root 写入,因此只有 root 可以在其中创建或删除符号链接。目标文件大概也只能由 root 写入,这可以保护其内容。