Мне ясно, что

CHMOD 777

Команда сделает любой файл, теоретически, доступным / доступным для чтения / записи / исполняемым / любым пользователем.

Но есть ли случаи, когда даже для файла, доступного для записи / чтения, нам все еще нужно реализовать CHOWN, чтобы файл мог использоваться системными процессами?

Или мы можем предположить, что, пока разрешения широко открыты, команда chown не влияет на поведение шаблона доступа к файлу.

Я спрашиваю это в отношении некоторых многопоточных / кластерных процессов, которые, по-видимому, дают сбой при запуске от имени другого пользователя из-за ошибок ENOENT, которые, по-видимому, возникают в файле с широко открытыми (777) разрешениями.

|источник

1 ответ1

2

С сценарием setuid/setgid, что означает, что он выполняется как пользователь или группа, которой принадлежит файл, это может быть проблемой.

Теоретически программа может проверять владение файлом перед использованием, защищенные инструменты, такие как ssh, отказываются выполнять с глобальными разрешениями, но afaik не проверяет владения. Кроме того, это может также быть проблемой с программами, которые устанавливают свое собственное владение, такими как почтовые серверы, которые также обычно проверяют разрешения перед переходом на идентификатор пользователя почты.

С точки зрения безопасности это считается очень плохой практикой.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .