내 Linux 시스템에서 일부 보안 레벨링을 수행하려고 합니다. 예를 들어, 바이너리의 권한을 750으로 제한하면 ping 명령이나 디스크 유틸리티 응용 프로그램에 대한 액세스가 쉽게 거부될 수 있습니다.
/빈/핑
/usr/bin/gnome 디스크
사용자는 이를 실행할 수 없습니다. 그러나 문제는 사용자가 외부에서 동일한 바이너리를 가져와서 자신의 홈 폴더에 넣을 수 있다는 것입니다. 사용자가 자신의 파일에 권한을 부여하는 것을 막을 수 없으므로 바이너리를 실행하고 시스템 파일 권한 부여를 피할 수 있습니다.
사용자가 이 작업을 수행하지 못하도록 하려면 어떻게 해야 합니까?
답변1
먼저 $HOME의 모든 파일에서 실행 비트를 제거합니다.
chmod a-x $HOME/*
그런 다음 집에서 생성된 새 파일에 실행 비트가 설정되어 있지 않은지 확인합니다.
umask 006 $HOME
그러나 사용자는 수동으로 +x로 설정하여 스스로 수동으로 수행할 수 있습니다. 이러한 작업을 중지하는 것은 더 복잡합니다. 사용자가 생성한 모든 파일의 소유권을 가져온 다음 읽기/쓰기 권한은 부여하지만 권한은 변경할 수 없는 그룹에 추가해야 하기 때문입니다.