/etc/login.defs예를 들어, 또는를 사용하면 전역 권한이 없는 파일이 생성 UMASK 007됩니다 . 하지만 사용자가 자신의 파일을 적절하게 보관할 수 있습니까? 또한 일반적으로 아래에 있는 가족 계정의 경우 사용자가 항상 올바른 작업을 수행할 수 있습니까? 이는 기본 계정 세계에 쓰기 및 실행 권한을 부여하며 좋지 않습니다.UMASK 027rwxchmod 777/homechmod 777 ~
좋은 보안 관행을 가정하면 집 계정이 없어야 합니다.drwxrwxrwx
관리자는 chmod 777특정 파일/폴더가 공격당하는 것을 어떻게 방지합니까?
어느 Linux에서나 이 작업을 수행할 수 있지만 제가 가장 관심을 갖는 부분은 다음과 같습니다.RHEL 8.7그리고RHEL 9.x
답변1
파일 권한은 일반적으로 파일 소유자에 의해 결정됩니다. 이를 변경하는 기존 구현에 대해서는 들어본 적이 없습니다. (나는 이것을 "임의" 액세스 제어라고 부르는 이유가 있다고 생각합니다.) 이 목적을 위한 구성 요소가 있을 수 있지만 어떤 종류의 시스템 호출 필터라도 가능합니다.
실제 솔루션은 일반 사용자가 변경할 수 없는 보안 레이블을 제공하는 SELinux와 같은 것일 수 있습니다.
하지만 원한다면 일반 파일 권한을 가진 뭔가를 생각해낼 수도 있습니다... 그룹 "john"이 사용자 "john"을 유일한 구성원으로 갖는 아래와 같은 구조를 생각해 보세요.
directory user group perms
/home root root 0755
/home/john root john 0750
/home/john/john john john 0777 home directory of john
여기에는 John의 홈 디렉토리가 있지만, /home/john/john그 디렉토리에 어떤 권한이 있더라도 John만이 /home/john여기에 액세스할 수 있습니다 /home/john/john(물론 루트도 마찬가지입니다). John은 이를 소유하지 않으므로 /home/john거기에 설정된 권한을 완화할 수 없습니다.