職場のシステム管理者は、特定のファイルシステム上のすべてのファイルとディレクトリに対するすべてのグローバル権限を削除したいと考えています。通常、私はこの安全なアプローチに同意します。ただし、親ディレクトリは特定のグループ内のユーザーだけがファイルシステムにアクセスできるようにするため、これを行う必要はありません。
たとえば、親ディレクトリには次の権限があります。
drwxr-x--- 5 root group 4096 Apr 7 15:27 /example
サブディレクトリには次の権限があります。
drwxrwxrwx 2 user group 4096 Apr 10 00:34 /example/dir1
drwxrwxrwx 2 user group 4096 Apr 8 12:52 /example/dir2
drwxrwx--- 2 user group 4096 Apr 12 08:13 /example/dir3
注:/example/dir1と/example/dir2現在存在します。/example/dir3私たちのシステム管理者が望む権限です。
/example/dir1/example/dir2その中にいるユーザーだけがそのファイルシステムにアクセスできるgroup場合は、グローバル権限を削除するとどのような利点がありますか?ベストプラクティスは何ですか?
ベストアンサー1
責任:
同様の権限があれば、dir3誰がファイルにアクセスできるかをすばやく知ることができます。それ以外の場合は、正しい権限が表示されるまで戻ってください。
安全:
Webブラウザを介してアクセスする必要がある可能性があるため、システム管理者も変更する必要がありますが、今では彼との正しい権限をdir4知りません。exampledir1dir2
一般的なベストプラクティス:追加の要件が何であるか(追加の権限を調べることで)わかるように、最小限の権限を使用することをお勧めします(これは一種の怠惰な少年文書ですが、私たち全員が怠惰な文書を好む傾向があります)。
注:一部のプログラムは、「world / all」権限を発見したときに文句を言う(および停止する)ことがあります。通常、現在のディレクトリ権限のみを確認し(複雑な検証理由は何ですか?)、ボリュームを複数回マウントするのは難しい場合があります(ポートも不可能)。可能な攻撃を識別するため)