/etc/shadow権限が000に設定されていない場合は、警告を送信する自動基準チェック機能があります。
これらの警告を受けた従業員は、000の合法性に疑問を投げ始めました。なぜなら、ルートはどこからでも読み書きできるので、すべてのファイルは自動的にルートの場合は少なくとも600です。ただし、ルートは実行権限が設定されていないとファイルを実行できません(自動700ルートなし)。ファイル権限)。
権限を/etc/shadow000に設定することは、公式のRed Hat GitHubリポジトリのAnsible Playbook(PCI DSS、CJIS、NIST、CCE用)など、いくつかの基準にあります。
/etc/shadow同じ機能を持っているように見える600ではなく000でなければならないのはなぜですか?その背後に話がありますか?それとも、Linuxがrootユーザーに対してどのくらいの制限/許しを持っているかについての私の仮定は間違っていますか?
ベストアンサー1
権限を 000 に設定する目的は、/etc/shadowroot として実行されている場合でもデーモンによってアクセスが制御され、デーモンがファイルにアクセスできないようにすることです。DAC_OVERRIDE 能力。 Fedora 12およびRHEL 6以降、Fedoraベースのシステムは、管理者ログインセッション権限をDAC_OVERRIDE付与することなくDAC_OVERRIDE(管理者が変更を確認できないように)デーモンを実行します。
バラより低いプロセス能力もっと学ぶ。
これは、600と000の権限が機能的に同一ではないという事実に基づいています。 600はファイル所有者に読み取りおよび書き込み権限を付与し、000はその機能を持つDAC_OVERRIDEプロセスにのみアクセス権を付与します。伝統的には常にrootとして実行されますDAC_OVERRIDEが、必ずしもそうする必要はありません。
(SELinuxはルートの機能を制限するためにも使用できますが、ここでは扱いません。追加の/etc/shadowアクセス制御を提供する独自のSELinuxコンテキストがあります。)