/etc/login.defs例如,使用或UMASK 007将UMASK 027导致创建的文件不具有全局rwx权限。但是用户可以chmod 777正确地归档他们自己的文件吗?另外对于家庭帐户,通常在 下/home,用户可以随时做chmod 777 ~正确的事情吗?这会给他们的主帐户世界写入和执行权限,并且会很糟糕。
假设良好的安全实践是没有家庭帐户drwxrwxrwx
作为管理员,如何chmod 777防止某些文件/文件夹被攻击?
在任何 Linux 中都可以这样做,但我最感兴趣的是RHEL 8.7和RHEL 9.x
答案1
文件权限通常由文件所有者决定,我还没有听说任何现有的实现会改变这一点。 (我认为它被称为“自主”访问控制是有原因的。)不过,可能存在用于此目的的构建块,任何类型的系统调用过滤器都可以。
真正的解决方案可能是类似 SELinux 的东西,它提供普通用户无法更改的安全标签。
但如果您愿意,您也许可以用常规文件权限来想出一些东西......考虑如下所示的结构,其中组“john”只有用户“john”作为其唯一成员。
directory user group perms
/home root root 0755
/home/john root john 0750
/home/john/john john john 0777 home directory of john
在这里,john 的主目录位于,/home/john/john但无论它具有什么权限,只有 john 可以访问/home/john,因此/home/john/john(当然还有 root)。 John 不拥有/home/john,因此他们无法放宽在那里设置的权限。