/ bootディレクトリへのルートアクセス権のみを付与する必要があるというLinuxセキュリティ文書を読みました。権限の観点から「ルートのみ/bootディレクトリにアクセスできる」とはどういう意味ですか? /boot を 700 に設定すると、root グループや他のユーザーに権限を付与するそのディレクトリの多くのファイルにアクセスできなくなりますか? (私の場合、294ファイルに少なくとも他のファイルに対する読み取り権限が設定されていました。)/bootディレクトリを少なくとも755に設定しないでください。しかし、この場合、ルートアクセスではなくワールドアクセスですか?実際、質問は次のとおりです。ルートに加えて/ bootディレクトリにアクセスする必要がある他のプロセスはありますか?どうやって確認しますか? /var/log/boot.log はこれまでどんな答えも提供していません。コンピュータが次のように起動することを理解しています。マザーBIOS / efiはハードウェアをチェックし、mbr / bootメディアを探します。その後、ブートローダをロードしてブート制御を許可します。その後、ブートローダはカーネルをロードし、カーネルに起動制御を提供します。カーネル起動サービス(何よりも)。これらの操作はすべてルートのみを実行しますか、または他のユーザーまたはルートグループの他のメンバーが実行しますか?
/boot/grub2 ディレクトリにも同様です。デフォルトでは、このディレクトリの権限は700に設定されています。
ls -ld /boot/grub2
drwx------. 4 root root 99 Aug 18 19:37 /boot/grub2
このディレクトリには、次のような多くのファイルがあります。
find /boot/grub2 -type f | wc -l
282
しかし、そのうちの2つだけが他人にアクセスすることはできません。
find /boot/grub2 -type f ! -perm /007 -printf '%y %u %g %m %p\n'
f root root 600 /boot/grub2/grubenv
f root root 600 /boot/grub2/user.cfg
それでは、なぜ/boot/grub2を700に設定するのですか?これは、このディレクトリに設定されている権限と一致しませんか?
そこで何を見逃しているのか教えてください。
ありがとうございます!
ベストアンサー1
/boot/grub2以下にファイルがないように設定すると、700一般ユーザーは権限に関係なくアクセスできます。起動中または起動後は、このディレクトリ内のどのファイルも読み取られたり使用されたりしません。user.cfg開始パスワードが含まれているので、このファイルを保護するのは合理的ですが、ただローカルユーザーの場合。簡単に言えば、デプロイのデフォルトを無視する理由はありません。
/boot/efi設定する必要があるより重要なディレクトリの1つは、700通常、誰もがデフォルトでファイルを変更できるようにするFATパーティションであり、権限のないユーザーがUEFIブートファイルを妨げることを望まないためです。
または に/boot設定できますが、デプロイのデフォルト値を変更することは意味がありません。このディレクトリには、ローカルユーザーが読み取り、rootアクセス権を取得できる特別なファイルはありません。また、パッケージマネージャまたは配布パブリックファイルを使用して簡単にアクセスできます。755700vmlinuzinitrd
簡単に言えば、あなたは存在しないセキュリティ問題をあなたが作り出したものにこだわっているのです。