/boot/grub/grub.cfg は、一般ユーザーに対して読み取り保護されています。なぜ?

/boot/grub/grub.cfg は、一般ユーザーに対して読み取り保護されています。なぜ?

/boot/grub/grub.cfgファイルが読み取り保護されている理由を知りたいです。私の心に浮かぶ唯一のことは、grubをpasswdで使用するとパスワードのハッシュを含めることができるということです。

しかし、私はその機能を使用していないので、世界中(または少なくとも私のユーザー)に読み取りアクセスを提供することは問題になるとは思わない。スクリプトを簡素化し、スーパーユーザー権限を処理する必要がないようにsudoなしで読むことができることを願っています。

現実的に誰もこのように私のPCを攻撃しませんが、私は良いセキュリティ慣行に固執したいと思います。

答え1

私は2つの異なるLinuxバージョンでファイルを確認しましたが、どちらもファイルが読み取り保護されていません。どのOSを使っているのか言及していないので比較できません。

これらの特徴の少なくとも1つは、パスワードハッシュを別々のファイルに分割する。特に grub.cfg にハッシュがないので、誰でも読めるようにすることができます。

提案されたパスワードハッシュに加えて、このファイルには、root以外のユーザーが読み取れない他の(起動可能な)パーティションの内容に関する情報も含まれています。しかし、これらの情報はあまり秘密ではなく、Guessedで確認できます。次の出力:とにかく、lsblk(無許可)。

そのため、妄想や存在する場合もあれば、存在しない可能性があるハッシュパスワードを保護するための単純なデザイン以外に、grub.cfgを読むことができない理由はありません。

答え2

機密性とパスワードに対するあなたの推測が正しいようです。回答この問題に関する CVE レポート、 2021年からアップストリームこれで077、出力ファイルを生成する前にumaskが設定されます。これが役に立つかどうかはあなたの視点に依存していると思います。間違いは気をつけたほうが良さそうだが、まあ

関連情報