Руководство NSA по безопасной настройке Red Hat Enterprise Linux 5 рекомендует ограничивать владение устройством только root.
Поэтому мой вопрос: почему мы должны ограничивать владение устройством root? И что в любом случае означает владение устройством в Linux?
Владение файлом устройства означает то же самое, что и владение любым файлом; владелец пользователя может получить доступ через биты прав доступа пользователя (например, -rwx------) и может изменять права доступа к файлу, владелец группы - через биты прав доступа группы (например, ----rwx---) и всех остальных через биты прав доступа "другие" (например, -------rwx).
Вы ограничиваете владение правами root чтобы в случае компрометации процесса без полномочий root злоумышленник не смог получить доступ к файлу устройства или изменить его биты разрешений, что снизит риск для безопасности.
Целесообразно ограничить владение файлами устройств root, поскольку файлы устройств обеспечивают относительно неограниченный доступ к оборудованию. Примеры мест, где неограниченный доступ к оборудованию не подходит:
Существуют и другие причины для ограничения доступа, но в основном доступ к оборудованию ограничен, потому что вы цените оборудование, потому что реальный мир, к которому оборудование предоставляет доступ, является более ценным, чем биты, а также потому, что ядро часто относительно доверяет ядру. ,
В некоторых случаях системы настроены так, что физический доступ к машине (например, вход в локальную консоль) означает, что вы получаете расширенный доступ к некоторым устройствам (например, устройство чтения / записи CD). Документ АНБ может оспаривать эту конфигурацию неявно.
