シナリオ:www-dataがcronを使用しないようにしたいと思います。
別のユーザーを追加しましたcron.allow。他のユーザーのジョブを実行したくありません。chmod 600
それでもcrontab -u www-data -ecrontabでは編集が可能です。
私は大丈夫です。これを使用して変調試行を検出できます。cron.denycrontabはどのように作成されても編集できません。
crontab -u www-data -e
ユーザーwww-dataはこのプログラムを使用できません。
これがクリーンサーバー(Ubuntu 18.04)で私が初めてすることです。数時間後、暗号通貨の採掘者が入り、何とか書いて作業が/var/spool/cron/crontab/www-data実行されます。しかし、cron.allowまだcron.deny同じ場所にいるという意味設定が無視される。
...これは予想される動作ではありません...
fileCrontabWww="/var/spool/cron/crontab/www-data"
echo 'MAILTO=root' > "$fileCrontabWww"
chown root:root "$fileCrontabWww"
chmod 200 "$fileCrontabWww"
ジョブは実行されなくなりました。しかし、cronがrootとしてファイルを読み込んでいるので、200の権限でロックする必要があります。journalctl -u cron示す:
cron [680]:(www-data)安全でないモード(予想モード0600)(crontabs / www-data)
ああ、まあ。私は必要なものを持っています。しかし、これを強化するためにcronとどのように機能しますか?それとも、以前に経験したことのないユースケースシナリオはありますか?
もう一つの興味深い事実は次のとおりです。https://help.ubuntu.com/community/CronHowto
/etc/passwdにユーザーを入力し、/etc/shadowにユーザーのcrontabを入力したくない場合は、/etc/shadowに表示されないシステムのユーザーIDには操作可能なcrontabがありません。
これは、予期しない副作用のために実際に制限的な方法で使用することはできません。
~から`/etc/crontab`、`/etc/cron.d/`、そして`/var/spool/cron/crontabs/root`の下のファイルの違いは何ですか?
/var/spool/cron/crontabs は crontab コマンドで管理されるコンテンツです。
しかし、管理ツールとワーカーは互いに分離され、一貫性のない動作を示しました。ここでのワークフローは何ですか?