阻止 linux 用户 chmod 777

阻止 linux 用户 chmod 777

/etc/login.defs例如,使用或UMASK 007UMASK 027导致创建的文件不具有全局rwx权限。但是用户可以chmod 777正确地归档他们自己的文件吗?另外对于家庭帐户,通常在 下/home,用户可以随时做chmod 777 ~正确的事情吗?这会给他们的主帐户世界写入和执行权限,并且会很糟糕。

假设良好的安全实践是没有家庭帐户drwxrwxrwx

作为管理员,如何chmod 777防止某些文件/文件夹被攻击?

在任何 Linux 中都可以这样做,但我最感兴趣的是RHEL 8.7RHEL 9.x

答案1

文件权限通常由文件所有者决定,我还没有听说任何现有的实现会改变这一点。 (我认为它被称为“自主”访问控制是有原因的。)不过,可能存在用于此目的的构建块,任何类型的系统调用过滤器都可以。

真正的解决方案可能是类似 SELinux 的东西,它提供普通用户无法更改的安全标签。

但如果您愿意,您也许可以用常规文件权限来想出一些东西......考虑如下所示的结构,其中组“john”只有用户“john”作为其唯一成员。

directory         user    group   perms
/home             root    root    0755
/home/john        root    john    0750
/home/john/john   john    john    0777   home directory of john

在这里,john 的主目录位于,/home/john/john但无论它具有什么权限,只有 john 可以访问/home/john,因此/home/john/john(当然还有 root)。 John 不拥有/home/john,因此他们无法放宽在那里设置的权限。

相关内容