该/etc/crontab文件具有以下权限:
-rw-r--r--
据我了解,该文件用于系统cron作业,其他用户不应有权修改它。当前权限允许所有用户读取该文件,从而使他们能够查看内容。
是否有必要让所有用户都能阅读/etc/crontab?我相信所有用户都不应该知道一些管理命令,所以将权限更改为 不是更好吗-rw-r-----?
我使用了 CentOS 的权限字符串,尚未在其他发行版上进行测试。
答案1
这将是默默无闻的安全。阻止普通用户阅读并没有真正的好处/etc/crontab。即使用户无法读取该文件,仍然可以通过定期捕获进程列表ps或通过读取来收集已执行的命令/proc。
应该有不根本不需要隐藏一些管理命令,除非您将凭据放入命令行中。但无论如何,您都不应该将凭据放入命令行中,因为普通用户可以读取命令行,因此没有真正的好处。
有一个挂载选项/内核补丁用于防止 PID 泄漏的 procfs 以及一些grsec防止 PID 泄漏的内核模块。
使文件系统可读的好处是您可以以非 root 用户身份查看/调试系统。您不必切换到 root 用户来检查系统 crontab。
答案2
/etc/crontab是主要的 - crontab - 负责触发 cron.daily、weekly、...
因此,如果用户想知道每日/每周等运行时间,他/她应该能够检查(CentOS 上的固定时间,SLES 中系统启动的相对时间)。
但实际的根作业应放置在/etc/cron.d/specialtime_user,/etc/cron.daily/*依此类推,或者将放置在/var/spool/cron/root。前者有时有点奇怪 - 关于访问权限(我在 SLES 上偶然发现了这一点,我试图在那里的文件上设置更严格的权限) - 后者应该只能由 root 读取。