/ etc / crontab文件具有以下权限:
-rw-R – R–
我知道这个文件是用于系统cron作业的,其他用户不应该有权修改它.当前权限允许所有用户读取对文件的访问权限,使他们能够查看内容.
是否有必要让所有用户都能读取/ etc / crontab?我相信所有用户都不应该知道一些管理命令,所以将权限更改为-rw-r —–不是更好吗?
我使用了CentOS的权限字符串,并没有在其他发行版上测试它.
解决方法:
这将是默默无闻的安全.通过阻止普通用户读取/ etc / crontab没有任何实际好处.即使用户无法读取文件,仍然可以通过使用ps或通过读取/ proc定期捕获进程列表来收集执行的命令.
除了在命令行中放置凭据之外,根本不需要隐藏一些管理命令.但是你永远不应该在命令行中放置凭据,因为普通用户可以读取命令行,所以没有真正的好处.
procfs有一个mount option/kernel patch用于防止PID泄漏,还有一些内核模块如grsec可以防止PID泄漏.
使文件系统可读的好处是您可以以非root用户的身份查看/调试系统.您不必切换到root用户只是为了检查系统crontabs.
标签:linux,permissions,centos,cron
来源: https://codeday.me/bug/20190810/1640689.html
和打包命令)
...)
)
)
