Я знаю, что 1777 - это режим по умолчанию /tmp во многих дистрибутивах Linux.
Я не смог найти много онлайн, но мне интересно, действительно ли необходимо сделать /tmp доступным для чтения в группах и / или мире.
Кто-нибудь может предложить причину, по которой использование режима 1733 (drwx-wx-wt) может быть неприемлемым?
Для временных файлов, созданных приложениями, это не будет иметь большого значения: они почти всегда используют защищенный подкаталог с 0700 или, по крайней мере, сгенерированное mktemp имя файла. Но для временных файлов, созданных пользователем, это является большим неудобством - вы больше не знаете, что вы там поместили, даже если хотите просто удалить его.
Если вы действительно хотите изолировать файлы разных пользователей в /tmp, сделайте это с помощью пространств имен: pam_namespace.so может создать полностью отдельное представление /tmp для каждого пользователя, а PrivateTmp = может сделать то же самое для служб, управляемых системой. (Специальная файловая система, похожая на bindfs, также может обеспечить это, особенно для операционных систем, отличных от Linux.)
