Eu realmente preciso do chmod recursivo para restringir o acesso a uma pasta?

Para um diretório, o acesso de "leitura" permite listar o conteúdo e o acesso de "execução" permite percorrer o diretório para abrir um de seus filhos (arquivo ou subdiretório). Portanto, se você remover:

• apenas o acesso de leitura, as pessoas ainda podem acessar subdiretórios adivinhando seus nomes
• apenas o sinalizador de execução, as pessoas ainda podem listar os nomes dos conteúdos, mesmo que não possam acessá-los, e isso ainda pode ser revelador
• privilégios de leitura e execução em um diretório, qualquer coisa abaixo dele se torna inacessível e você não precisa fazer uma alteração recursiva.

Obviamente, se você fizer uma alteração recursiva, uma reinicialização não recursiva acidental dos direitos de acesso ao diretório principal terá menos consequências.

Nem é preciso dizer que, se você criou um arquivo há dois dias (com um modo de leitura pública) e alguém leu o arquivo ontem ou fez uma cópia dele, não há nada que você possa fazer hoje para tornar esse arquivo privado.

xenoid diz (um tanto simplista) que, se você remover o grupo e outras permissões do seu diretório (hoje, agora), “qualquer coisa abaixo dele se tornará inacessível e você não precisará fazer uma alteração recursiva”. Concordo que, se você usar chmodseu diretório (de nível superior) adequadamente, ninguém além de você ¹ poderá acessá-lo no futuro (ou seja, de agora em diante). Mas há algumas pegadinhas.

Links físicos

Lembra daquele arquivo que você criou há dois dias? Suponha que seu adversário tenha feito um link físico para esse arquivo ontem (em vez de copiá-lo). Se você usar chmodapenas seu diretório (de nível superior), esse arquivo continuará a ter as permissões publicamente legíveis que você atribuiu ao criá-lo e, portanto, o criminoso ainda poderá lê-lo no futuro - (potencialmente), mesmo se você posteriormente o modifica. Se você fizer um recursive chmod, isso protegerá as permissões no arquivo, o que afetará o link.   O bandido ainda poderá fazer ls -lisso, então eles poderão ver quando você o alterar e quão grande é, mas não poderão lê-lo novamente.

Diretório de trabalho

Suponha que, em seu secretdiretório, você tenha um  plansdiretório e também seja legível publicamente. E suponha que, cinco minutos atrás, o bandido abriu uma janela de terminal e disse

cd /home/clemisch/secret/planos

Agora, depois de fazer o chmodon secret, o diretório de trabalho do bandido ainda é  /home/clemisch/secret/plans, e eles podem continuar a listar esse diretório e acessar os arquivos lá, potencialmente para sempre. Claro, uma vez que eles cdestejam em outro lugar, ou fechem aquela janela, ou saiam, ou a máquina seja reiniciada, eles perderão o acesso.

Se você fizer um recursive chmod, isso garantirá as permissões em todos os arquivos e todos os diretórios, fazendo com que o invasor perca o acesso imediatamente.

Isso pode não ser um risco muito grande se a máquina for um computador pessoal acessado apenas pelo console. Mas, se o bandido tiver deixado uma  sessão screenou  em segundo plano, ele poderá usar esse ataque. tmuxE, se a máquina suportar ssh (ou outro acesso remoto; talvez até FTP seja suficiente), esse ataque pode ser usado.

Erro humano

Como o xenóide apontou em sua resposta: Se você fizer um recursivo hoje e depois de amanhã acidentalmente chmod( apenas) o diretório de nível superior voltar para 755, ainda estará protegido pelo recursivo de hoje - todos os arquivos e os diretórios abaixo ainda estarão ilegíveis. (Claro, se você criar um novo arquivo amanhã e permitir que ele seja lido publicamente, ele será exposto quando você abrir as permissões no diretório. Mas isso seria verdade, independentemente de o arquivo de hoje ser recursivo ou não. )secretchmodchmodsecretsecretsecretchmod

mazunki fez um comentário : “Acredito que cpcarrega permissões”. Não tenho certeza do que eles queriam dizer, mas considere este cenário. Você quer fazer um diffentre dois arquivos:

• secret/plans/the/quick/brown/fox/file1
• secret/jumps/over/the/lazy/dog/file2

Mas você não tem certeza exatamente de onde estão esses arquivos e precisa vasculhar para encontrá-los. Você pode ser tentado a fazer

cd plans
cd the/quick                            # looking for file1
cd brown/fox                            # found it!
cp file1 /tmp
cd ../../../../..
cd jumps/over
cd the                                  # looking for file2
cd lazy/dog                             # found it!
diff /tmp/file1 file2

Se você fizer isso, /tmp/file1terá a mesma proteção que secret/plans/the/quick/brown/fox/file1- então esse é outro motivo para fazer o recursivo chmodhoje.

Mais uma coisa

Se o bandido abriu um de seus arquivos secretos cinco minutos atrás e o mantém aberto, ele poderá lê-lo no futuro – potencialmente mesmo que você o modifique. A boa notícia é que este é um ataque um tanto complicado de executar - o bandido deve ter pensado nisso, antes de você fazer o chmod. A má notícia é que esse ataque é muito difícil de se defender — um chmod recursivo não ajudará.
__________
¹ e, claro, usuários/processos privilegiados

PS Você pode encurtar um pouco o seu comando: chmod go=é equivalente a chmod g=,o=. (Isso não tornará o recursivo chmodmais rápido, é claro.)

Recursive chmodafeta todos os subdiretórios e pastas também, não apenas a própria pasta.

.:
total 16
drwxrwxr-x  4 mazunki mazunki 4096 april 15 11:42 .
drwxr-xr-x 35 mazunki mazunki 4096 april 15 11:42 ..
d---------  3 mazunki mazunki 4096 april 15 11:46 a
d---------  2 mazunki mazunki 4096 april 15 11:42 b

./a:
total 12
d--------- 3 mazunki mazunki 4096 april 15 11:46 .
drwxrwxr-x 4 mazunki mazunki 4096 april 15 11:42 ..
-----w---- 1 mazunki mazunki    0 april 15 11:42 a
dr-xr-xr-x 2 root    root    4096 april 15 11:46 aa
-----w---- 1 mazunki mazunki    0 april 15 11:42 b

./a/aa:
total 8
dr-xr-xr-x 2 root    root    4096 april 15 11:46 .
d--------- 3 mazunki mazunki 4096 april 15 11:46 ..

./b:
total 8
d--------- 2 mazunki mazunki 4096 april 15 11:42 .
drwxrwxr-x 4 mazunki mazunki 4096 april 15 11:42 ..
-----w---- 1 mazunki mazunki    0 april 15 11:42 a
-----w---- 1 mazunki mazunki    0 april 15 11:42 b
[] ~:~/test ▶ 
[] ~:~/test ▶ 
[] ~:~/test ▶ sudo chmod -R +w a
[] ~:~/test ▶ 
[] ~:~/test ▶ 
[] ~:~/test ▶ sudo ls -alR 
.:
total 16
drwxrwxr-x  4 mazunki mazunki 4096 april 15 11:42 .
drwxr-xr-x 35 mazunki mazunki 4096 april 15 11:42 ..
d-w-------  3 mazunki mazunki 4096 april 15 11:46 a
d---------  2 mazunki mazunki 4096 april 15 11:42 b

./a:
total 12
d-w------- 3 mazunki mazunki 4096 april 15 11:46 .
drwxrwxr-x 4 mazunki mazunki 4096 april 15 11:42 ..
--w--w---- 1 mazunki mazunki    0 april 15 11:42 a
drwxr-xr-x 2 root    root    4096 april 15 11:46 aa
--w--w---- 1 mazunki mazunki    0 april 15 11:42 b

./a/aa:
total 8
drwxr-xr-x 2 root    root    4096 april 15 11:46 .
d-w------- 3 mazunki mazunki 4096 april 15 11:46 ..

./b:
total 8
d--------- 2 mazunki mazunki 4096 april 15 11:42 .
drwxrwxr-x 4 mazunki mazunki 4096 april 15 11:42 ..
-----w---- 1 mazunki mazunki    0 april 15 11:42 a
-----w---- 1 mazunki mazunki    0 april 15 11:42 b

Se você não conceder acesso explicitamente a ., não poderá ler o conteúdo da pasta.

[] ~:~/test ▶ ls -l
total 8
drwxr-xr-x 3 mazunki mazunki 4096 april 15 11:46 a
d--------- 2 mazunki mazunki 4096 april 15 11:42 b
[] ~:~/test ▶ 
[] ~:~/test ▶ 
[] ~:~/test ▶ sudo chmod +xxx b
[] ~:~/test ▶ cd b
[] ~:~/test/b ▶ ls
ls: cannot open directory '.': Permission denied
[] ~:~/test/b ▶ sudo chmod +xxx .
[] ~:~/test/b ▶ ls
ls: cannot open directory '.': Permission denied
[] ~:~/test/b ▶ sudo chmod +rrr .
[] ~:~/test/b ▶ ls
a  b
[] ~:~/test/b ▶ 

Da mesma forma, você não poderá cdentrar nos subdiretórios da referida pasta, a menos que os explicitamente +x.