我们有一个自动基线检查,如果权限/etc/shadow未设置为 000,则会发出警报。
收到这些警报的工作人员已经开始质疑 000 的合理性,因为 root 可以在任何它想读写的地方读写(所有文件自动为 root 至少 600)但是 root 不能在没有执行权限集的情况下执行文件(没有root 的自动 700 文件权限)。
将/etc/shadow权限设置为 000 是在许多基线中,例如官方 Red Hat GitHub 存储库中的 Ansible 剧本(用于 PCI DSS、CJIS、NIST、CCE)。
为什么/etc/shadow应该是 000 而不是例如看似功能相同的 600 背后是否有起源故事?还是我对 Linux 对 root 用户的限制/许可程度的假设是错误的?