Изменение разрешений / tmp

411
Jared Brandt

Я знаю, что 1777 - это режим по умолчанию / tmp во многих дистрибутивах Linux.

Я не смог найти много онлайн, но мне интересно, действительно ли необходимо сделать / tmp групповым и / или читаемым во всем мире.

Кто-нибудь может предложить причину, по которой использование режима 1733 (drwx-wx-wt) может быть неприемлемым?

0

1 ответ на вопрос

0
grawity

Для временных файлов, созданных приложениями, это не будет иметь большого значения: они почти всегда используют защищенный подкаталог с 0700 или, по крайней мере, сгенерированное mktemp имя файла. Но для временных файлов, созданных пользователем, это является большим неудобством - вы больше не знаете, что вы там поместили, даже если хотите просто удалить его.

Если вы действительно хотите изолировать файлы разных пользователей в / tmp, сделайте это с помощью пространств имен: pam_namespace.so может создать полностью отдельное представление / tmp для каждого пользователя, а PrivateTmp = может сделать то же самое для служб, управляемых системой. (Специальная файловая система, похожая на bindfs, также может обеспечить это, особенно для операционных систем, отличных от Linux.)

Это прекрасно, большое спасибо за рекомендацию! Jared Brandt 6 лет назад 0

Похожие вопросы