/etc/cron.allowおよび/または/etc/cron.denyを設定して、cronジョブをそのユーザーとして実行するようにスケジュールして、crontabを使用できるユーザーを制限できます。少なくとも私のオフィスでは、SAはroot以外のすべてのユーザーにデフォルトでcrontabの使用を拒否します。
私の質問は、これが有用な基本的な動作である理由です。ユーザーとしてタスクをスケジュールするのは便利な機能のようです。特に、これにより、sudo権限を要求したり、必要としなくても、私が担当するプログラムのメンテナンス手順を構成することができます(管理者グループにログインできるため)。より高い権限を得なければならない人。
もしそうなら、一般的にすべてのユーザーがcrontabを使用できないのはなぜですか?特定のユーザーがcrontabの実行を許可することに関連するリスクまたはセキュリティの脅威は何ですか? cronジョブはこれをスケジュールしたユーザーとして実行されるため、特権の昇格の可能性につながりません。毎分プログラムを実行して意図的にリソースを消費できると思いますが、これがすでに保護されている伝統的なフォーク爆弾よりも脅威的な理由を知りません。
もしそうなら、ユーザーがcrontabを使用してタスクをスケジュールするのを防ぐ動機は何ですか?
答え1
一般に、セキュリティの概念は、必要な機能だけを使用するように表面積を減らすこと、つまりすべてをオフにし、必要な機能だけを再びオンにすることです。何が間違っている可能性があるのか... バグや管理エラー以外はあまりありません。