我收到了这个漏洞报告,上面说我Remove world write permissions。
write因此我尝试使用以下命令查找具有权限的文件:
find / -perm -0002 -type f
我的输出如下所示(我删除了大部分输出,但所有这些输出都是针对两个目录/proc和/sys
...
/proc/235399/attr/fscreate
/proc/235399/attr/keycreate
/proc/235399/attr/sockcreate
/proc/235399/timerslack_ns
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/[email protected]/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/[email protected]/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/session-5.scope/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/cgroup.event_control
/sys/fs/cgroup/memory/cgroup.event_control
/sys/fs/cgroup/memory/init.scope/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/rngd.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/irqbalance.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/systemd-update-utmp.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/system-systemd\x2dfsck.slice/systemd-fsck@dev-disk-by\x2duuid-B055\x2dF6D2.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/system-systemd\x2dfsck.slice/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/var-log.mount/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/systemd-udevd-control.socket/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/lvm2-monitor.service/cgroup.event_control
...
我的问题是,删除writable这些文件的权限是一种好的做法吗?这不会影响任何正在运行的程序失败吗?
答案1
删除这些权限是完全没用的。/proc并且/sys不是永久的文件系统,下次重启后它们将再次变为相同状态。
答案2
这些是内核伪文件系统(procfs 和 sysfs)上的文件,用于控制不同的内核行为。
要使用的命令是,chmod o-w <filename>但我怀疑它是否适用于上述文件。即使它有效 - 在这种特定情况下,它可能会对系统稳定性产生负面影响。