Temos uma verificação de linha de base automatizada que gera um alerta se as permissões /etc/shadownão estiverem definidas como 000.
A equipe que recebe esses alertas começou a questionar a sanidade de 000, já que o root pode ler e escrever onde quiser (todos os arquivos são automaticamente pelo menos 600 para root) mas o root não pode executar um arquivo sem o conjunto de permissões de execução (não permissão automática de 700 arquivos para root).
Definir /etc/shadowpermissões para 000 está em várias linhas de base, por exemplo, os playbooks Ansible no repositório oficial do Red Hat GitHub (para PCI DSS, CJIS, NIST, CCE).
Existe uma história de origem por trás de por que /etc/shadowdeveria ser 000 e não, por exemplo, a funcionalidade aparentemente idêntica 600? Ou minhas suposições estão erradas sobre o quão restritivo / permissivo o Linux é para o usuário root?