私のLinuxシステムでいくつかのセキュリティレベリングを実行しようとしています。たとえば、バイナリの権限を750に制限すると、pingコマンドまたはディスクユーティリティアプリケーションへのアクセスが簡単に拒否される可能性があります。
/ビン/ping
/usr/bin/gnome ディスク
ユーザーはこれを実行できません。しかし、問題は、ユーザーが外部から同じバイナリをインポートして自分のホームフォルダに配置できることです。ユーザーが自分のファイルに権限を付与するのを防ぐことができないため、バイナリを実行し、システムファイルの許可を避けることができます。
ユーザーがこれを実行できないようにするにはどうすればよいですか?
ベストアンサー1
まず、$ HOMEのすべてのファイルから実行ビットを削除します。
chmod a-x $HOME/*
次に、自宅で作成された新しいファイルに実行ビットが設定されていないことを確認します。
umask 006 $HOME
ただし、ユーザーは手動で+ xに設定して自分で手動で実行できます。これらのタスクを停止するのはより複雑です。これは、ユーザーが作成したすべてのファイルの所有権を取得し、読み取り/書き込み権限を付与しますが、権限を変更できないグループに追加する必要があるためです。