/etc/login.defs
たとえば、またはを使用すると、グローバル権限を持たないファイルが作成されますUMASK 007
。しかし、ユーザーは自分のファイルを適切にアーカイブできますか?また、通常、以下の家族アカウントの場合、ユーザーは常に正しい操作を実行できますか?これはデフォルトのアカウントの世界に書き込みと実行の権限を与え、悪くはありません。UMASK 027
rwx
chmod 777
/home
chmod 777 ~
良いセキュリティ慣行を想定して、自宅のアカウントを持ってはいけません。drwxrwxrwx
管理者は、chmod 777
特定のファイル/フォルダが攻撃されるのをどのように防止しますか?
どのLinuxでもこれを行うことができますが、私が最も興味を持っているのは次のとおりです。RHEL 8.7そしてRHEL 9.x
答え1
ファイル権限は通常、ファイル所有者によって決定されます。これを変更する既存の実装については聞いたことがありません。 (私はこれを「ランダム」アクセス制御と呼ぶ理由があると思います。)この目的のためのコンポーネントがあるかもしれませんが、どのようなシステムコールフィルタでも可能です。
実際のソリューションは、一般ユーザーが変更できないセキュリティラベルを提供するSELinuxのようなものです。
しかし、必要に応じて、一般的なファイル権限を持つ何かを思い出すこともできます。
directory user group perms
/home root root 0755
/home/john root john 0750
/home/john/john john john 0777 home directory of john
これにはJohnのホームディレクトリがありますが、/home/john/john
そのディレクトリにどんな権限があってもJohnだけが/home/john
ここにアクセスできます/home/john/john
(もちろんルートも同様です)。 Johnはそれを所有していないので、/home/john
そこに設定されている権限を軽減することはできません。