ファイル/etc/crontab
には次の権限があります。
-rw-r--r--
私が理解したのは、このファイルはシステムcron
作業用であるため、他のユーザーはそれを変更する権限を持ってはいけません。現在の権限は、すべてのユーザーがファイルを読み取り、内容を表示できるようにします。
すべてのユーザーが読めるようにする必要がありますか/etc/crontab
?すべてのユーザーが知る必要がある管理コマンドがあると思いますが、権限をに変更する方が良いでしょうか-rw-r-----
?
CentOSの権限文字列を使用しましたが、まだ他のディストリビューションではテストしていません。
答え1
あいまいな場所では安全でしょう。一般ユーザーが/etc/crontab
。ユーザーがファイルを読み取ることができなくても、定期ps
的にプロセスリストをキャプチャしたり読み取ったりして実行されたコマンドを収集することは可能です/proc
。
持っていなければならないいいえ資格情報をコマンドラインに入力しない限り、一部の管理コマンドを非表示にする必要はありません。ただし、とにかく一般ユーザーがコマンドラインを読み取ることができるため、資格情報をコマンドラインに入力しないでください。したがって、実質的な利点はない。
一つあるマウントオプション/カーネルパッチprocfs は PID リークを防ぎ、一部のgrsec
カーネルモジュールは PID リークを防ぎます。
ファイルシステムを読み取り可能にすることで、root以外のユーザーとしてシステムを表示してデバッグできるという利点があります。システムcrontabを確認するためにrootに切り替える必要はありません。
答え2
/etc/crontab
主な項目crontabは、cron.daily、Weekly、...をトリガーする役割を果たします。
したがって、ユーザーが毎日/週間などの実行時間を知りたい場合(CentOSでは固定時間、SLESではシステム起動の相対時間)、確認できなければなりません。
ただし、実際のルートジョブはに配置する必要があり、/etc/cron.d/specialtime_user
そうで/etc/cron.daily/*
ない場合は配置されます/var/spool/cron/root
。前者は時々少し奇妙です。アクセス権に関して(ファイルに対してより厳格な権限を設定しようとしたSLESで偶然これを発見しました)、後者はrootでのみ読み取ることができなければなりません。