직장의 시스템 관리자는 특정 파일 시스템의 모든 파일과 디렉터리에 대한 모든 전역 권한을 제거하기를 원합니다. 일반적으로 나는 이 안전한 접근 방식에 동의합니다. 그러나 상위 디렉터리에서는 특정 그룹 내의 사용자만 파일 시스템에 액세스할 수 있도록 허용하므로 이렇게 할 필요가 없습니다.
예를 들어 상위 디렉터리에는 다음과 같은 권한이 있습니다.
drwxr-x--- 5 root group 4096 Apr 7 15:27 /example
하위 디렉터리에는 다음과 같은 권한이 있습니다.
drwxrwxrwx 2 user group 4096 Apr 10 00:34 /example/dir1
drwxrwxrwx 2 user group 4096 Apr 8 12:52 /example/dir2
drwxrwx--- 2 user group 4096 Apr 12 08:13 /example/dir3
참고: /example/dir1및 /example/dir2현재 존재합니다. /example/dir3우리 시스템 관리자가 원하는 권한입니다.
/example/dir1/example/dir2그 안에 있는 사용자 만 해당 파일 시스템에 액세스할 수 있는 group경우 전역 권한을 제거하면 어떤 이점이 있습니까 ? 모범 사례는 무엇입니까?
답변1
책임:
비슷한 권한이 있으면 dir3누가 파일에 액세스할 수 있는지 빨리 알 수 있습니다. 다른 경우에는 올바른 권한이 나타날 때까지 다시 돌아가야 합니다.
안전:
웹 브라우저를 통해 액세스 해야 할 수도 있으므로 시스템 관리자도 변경해야 하지만 이제 그는 및에 대한 올바른 권한을 dir4알지 못합니다 .exampledir1dir2
일반적인 모범 사례: 추가 요구 사항이 무엇인지 (추가 권한을 살펴봄으로써) 알 수 있도록 최소 권한을 사용하는 것이 항상 더 좋습니다(이것은 일종의 게으른 소년 문서이지만 우리 모두는 게으른 문서를 선호하는 경향이 있습니다).
참고: 일부 프로그램은 "world/all" 권한을 발견하면 불평(및 중지)할 수 있습니다. 일반적으로 현재 디렉터리 권한만 확인하고(복잡한 확인 이유는 무엇입니까?) 볼륨을 여러 번 마운트하는 것은 어려울 수 있습니다(포트도 불가능함). 가능한 공격을 식별하기 위해)