/ Boot Linux содержит ядро и загрузочный материал. Это не те данные, к которым вы хотите, чтобы простой пользователь имел доступ. Так почему же они даже читаются обычными учетными записями? Является ли это каким-то техническим ограничением модели безопасности, или есть действительная логическая причина, по которой она должна быть доступна для чтения во всем мире (Ubuntu1604)? Лично я бы чувствовал себя "безопаснее", если бы вместо этого было 700. Я не могу представить себе никаких сценариев оболочки, кроме установщиков, которым необходим доступ к / boot после загрузки, и установщики все равно запускаются от имени root или sudo.
2 ответа
2
Почему этого не должно быть? Там нет ничего чувствительного в /boot большинства машин Linux. Это то же самое, что позволить всем читать /usr/lib или /bin или любое количество других каталогов в системе.
Я бы беспокоился о том, могут ли непривилегированные пользователи изменять файлы там, так как это даст им более прямой доступ к повышению привилегий через загрузку специального закулисного ядра или еще чего-нибудь.
0
Ответ Сюн Чиамова хороший, но я хотел бы подчеркнуть еще один аспект этой темы. (Мой ответ общий, не ограничиваясь доступом к /boot/ only.)
Это не те данные, к которым вы хотите, чтобы простой пользователь имел доступ.
Ну, часто я бы хотел. Предоставление обычным пользователям возможности читать практически все, что является отличной поддержкой для них, когда они хотят узнать о Linux. Предположим, я вошел в систему как обычный пользователь.
- Даже с возможным доступом с
root(скажем, в моей собственной системе) я могу бродить по каталогам как обычный пользователь, читать конфиги и скрипты, сравнивать их с руководствами или онлайн-статьями. Мне не нужно беспокоиться, я что-то сломаю из-за неправильного нажатия или другого несчастного случая. Если мне нужно что-то изменить в конце, тогда я используюsudoдля этой цели. - Без
rootдоступа (в чужой системе) меня может заинтересовать то, как администратор настроил все так, чтобы они работали таким-то образом.