이것Sendmail 설치 및 운영 가이드(§1.3.1) 주장:
보안상의 이유로 /, /usr 및 /usr/sbin은 루트, 모드 0755 2
가 소유해야 합니다 . 2 [...]
2 일부 공급업체에서는 이를 bin이 소유하도록 설정합니다. 이는 관련 없는 보안 허점을 만듭니다.이메일을 보내. [...]
이것이 왜 보안 허점입니까? 사용자 bin으로 프로세스를 실행하는 시스템이 있습니까?
답변1
"그룹" 및 "기타" 권한을 무시하고 무언가를 갖는다는 것은 root루트만이 파일/디렉토리에 대한 모든 권한을 갖는다는 것을 의미합니다.
다른 사용자가 파일을 소유한다는 것은 루트가 아닌 사용자가 파일에 대한 모든 권한을 갖는다는 것을 의미합니다. 이제 파일/디렉토리에 대한 모든 권한을 가진 두 개의 엔터티가 있습니다. 이전에는 하나만 있었습니다.
이는 시스템의 다른 사용자가 이를 호출할 수 있으므로 표준 위치에 있는 실행 파일에 특히 해롭습니다. 소유 사용자는 실행 파일을 마음대로 대체하여 악의적인 수단으로 사용할 수 있습니다. 이 시스템의 사용자 "bin"이 빈 셸 또는 /etc/passwd. 이는 그 자체로 다른 이점을 가져올 수 있습니다.
그러나 bin이 /usr/sbin 디렉토리만 소유하고 그 안의 실행 파일을 소유하지 않는 경우 상황은 그리 나쁘지 않습니다.