chmod 777でLinuxユーザーをブロックする

chmod 777でLinuxユーザーをブロックする

/etc/login.defsたとえば、またはを使用すると、グローバル権限を持たないファイルが作成されますUMASK 007。しかし、ユーザーは自分のファイルを適切にアーカイブできますか?また、通常、以下の家族アカウントの場合、ユーザーは常に正しい操作を実行できますか?これはデフォルトのアカウントの世界に書き込みと実行の権限を与え、悪くはありません。UMASK 027rwxchmod 777/homechmod 777 ~

良いセキュリティ慣行を想定して、自宅のアカウントを持ってはいけません。drwxrwxrwx

管理者は、chmod 777特定のファイル/フォルダが攻撃されるのをどのように防止しますか?

どのLinuxでもこれを行うことができますが、私が最も興味を持っているのは次のとおりです。RHEL 8.7そしてRHEL 9.x

答え1

ファイル権限は通常、ファイル所有者によって決定されます。これを変更する既存の実装については聞いたことがありません。 (私はこれを「ランダム」アクセス制御と呼ぶ理由があると思います。)この目的のためのコンポーネントがあるかもしれませんが、どのようなシステムコールフィルタでも可能です。

実際のソリューションは、一般ユーザーが変更できないセキュリティラベルを提供するSELinuxのようなものです。

しかし、必要に応じて、一般的なファイル権限を持つ何かを思い出すこともできます。

directory         user    group   perms
/home             root    root    0755
/home/john        root    john    0750
/home/john/john   john    john    0777   home directory of john

これにはJohnのホームディレクトリがありますが、/home/john/johnそのディレクトリにどんな権限があってもJohnだけが/home/johnここにアクセスできます/home/john/john(もちろんルートも同様です)。 Johnはそれを所有していないので、/home/johnそこに設定されている権限を軽減することはできません。

関連情報