모든 사용자가 crontab을 사용하여 작업을 예약할 수 없는 이유는 무엇입니까? [폐쇄]

모든 사용자가 crontab을 사용하여 작업을 예약할 수 없는 이유는 무엇입니까? [폐쇄]

/etc/cron.allow 및/또는 /etc/cron.deny를 설정하여 cron 작업이 해당 사용자로 실행되도록 예약하여 crontab을 사용할 수 있는 사용자를 제한할 수 있습니다. 적어도 내 사무실에서는 SA가 루트가 아닌 모든 사용자에게 기본적으로 crontab 사용을 거부합니다.

내 질문은 이것이 유용한 기본 동작인 이유입니다. 사용자로서 작업을 예약하는 것은 유용한 기능인 것 같습니다. 특히 이를 통해 sudo 권한을 요청하거나 필요로 하지 않고도 내가 담당하는 프로그램에 대한 유지 관리 단계를 구성할 수 있으므로(관리자 그룹에 로그인할 수 있으므로) 더욱 그렇습니다. 더 높은 권위를 얻어야 하는 사람.

그렇다면 일반적으로 모든 사용자가 crontab을 사용할 수 없는 이유가 궁금합니다. 특정 사용자가 crontab을 실행하도록 허용하는 것과 관련된 위험이나 보안 위협은 무엇입니까? cron 작업은 이를 예약한 사용자로 실행되므로 권한 상승 가능성으로 이어지지는 않을 것 같습니다. 매분마다 프로그램을 실행하여 의도적으로 리소스를 소비할 수 있다고 생각하지만 이것이 이미 보호 기능이 있는 전통적인 포크 폭탄보다 더 위협적인 이유를 모르겠습니다.

그렇다면 사용자가 crontab을 사용하여 작업을 예약하는 것을 방지하는 동기는 무엇입니까?

답변1

일반적으로 보안의 개념은 필요한 기능만 사용하도록 표면적을 줄이는 것, 즉 모든 것을 끄고 필요한 기능만 다시 켜는 것입니다. 무엇이 잘못될 수 있는지에 관해서는... 버그와 관리 오류 외에는 많지 않으므로 관리자가 알고 있는 한 이를 주의해야 할 항목 목록에 추가할 수 있습니다.

관련 정보