工作中的系统管理员希望我们从特定文件系统中的所有文件和目录中删除所有世界权限。通常,我会同意这种安全做法。但是,我不明白这样做的意义,因为父目录只允许特定组中的用户访问文件系统。
例如,父目录具有以下权限:
drwxr-x--- 5 root group 4096 Apr 7 15:27 /example
并且子目录具有以下权限:
drwxrwxrwx 2 user group 4096 Apr 10 00:34 /example/dir1
drwxrwxrwx 2 user group 4096 Apr 8 12:52 /example/dir2
drwxrwx--- 2 user group 4096 Apr 12 08:13 /example/dir3
注意:/example/dir1和/example/dir2是当前存在的。/example/dir3是我们的系统管理员想要的权限。
当只有用户可以访问这个文件系统时/example/dir1,删除世界权限有什么好处吗?最佳实践是什么?/example/dir2group
问责制:
如果您拥有类似的权限
dir3,您很快就会知道谁有权访问该文件。在另一种情况下,您应该返回直到看到正确的权限。安全:
您可能需要
dir4通过 webbrowser 访问,因此您的系统管理员也需要更改example,但现在他不知道dir1and的正确权限dir2。一般来说和最佳实践:使用最小权限总是更好,所以你知道(通过查看额外权限)额外的要求是什么(这是一种懒惰的男孩文档;但我们都倾向于在文档上懒惰)。
注意:如果某些程序找到“world/all”权限,他们可能会抱怨(并停止):他们通常只检查当前目录权限(为什么要进行复杂检查?并且多次安装卷,可能很难(并且不可移植)发现可能的攻击)