Каковы правильные разрешения для / tmp? Я непреднамеренно выставил все это публично рекурсивно

Я злоупотреблял sudo.

Я создал действительно очень короткий временный каталог, которым я хотел поделиться с некоторыми пользователями в течение нескольких часов ... и я назвал этот каталог /some/path/tmp

К сожалению, я запустил sudo chown 777 -R /tmpвместо sudo chown 777 -R tmp, так что мой /tmpфайл теперь полностью публично.

Я использую общее /tmpдовольно часто (каждый день, почти каждый час) лично для коротких жизненных файлов, сценариев, множества сценариев.

Является ли это проблемой безопасности сейчас, когда она полностью предана гласности? Должен ли я изменить его обратно на более безопасные настройки или использовать общие настройки по умолчанию для дистрибутива Debian или Ubuntu - (я не знаю, какими они были)? Каковы правильные разрешения для /tmp?

Нормальные настройки для /tmp1777, который lsпоказывает как drwxrwxrwt. То есть: широко открыт, за исключением того, что только владелец файла может удалить его (вот что tозначает этот дополнительный бит для каталога).

Проблема с /tmpрежимом 777 заключается в том, что другой пользователь может удалить созданный вами файл и заменить содержимое по своему выбору.

Если у вас /tmpфайловая система tmpfs, перезагрузка восстановит все. Иначе беги chmod 1777 /tmp.

Кроме того, многие файлы /tmpдолжны быть приватными. Однако, по крайней мере, один каталог критически должен быть доступен для чтения всем: /tmp/.X11-unixи, возможно, некоторым другим подобным каталогам ( /tmp/.XIM-unixи т. Д.). Следующая команда должна в основном исправить ситуацию:

chmod 1777 /tmp
find /tmp -mindepth 1 -name '.*-unix' -exec chmod 1777 {} + -prune -o -exec chmod go-rwx {} +

Т.е. сделать все файлы и каталоги закрытыми (удалить все разрешения для группы и других), но сделать сокеты X11 доступными для всех. Контроль доступа в этих сокетах осуществляется сервером, а не правами доступа к файлам. Могут быть и другие сокеты, которые должны быть общедоступными. Запустите, find /tmp -type s -user 0чтобы обнаружить корневые сокеты, которые вам могут понадобиться, чтобы сделать их общедоступными. Также могут быть сокеты, принадлежащие другим пользователям системы (например, для связи с системной шиной); изучить с find /tmp -type s ! -user $UID(где $UIDваш идентификатор пользователя).

/tmpи /var/tmpдолжен иметь права на чтение, запись и выполнение для всех; но вы также обычно добавляете sticky-bit ( o+t), чтобы пользователи не могли удалять файлы / каталоги, принадлежащие другим пользователям. Так chmod a=rwx,o+t /tmpдолжно работать.

Что касается рекурсивного изменения разрешений ... Пока владелец / группа остается такой же, как и для файлов и каталогов, это не должно быть такой большой проблемой. Но, возможно, вы можете изменить разрешение всего, что находится под /tmp(не самой / tmp), чтобы обеспечить конфиденциальность пользователей, удалив rxправа других и, возможно, группы.

Найти это хороший способ сделать это. От имени пользователя root выполните:

cd /tmp
find . -type f -exec chmod u=rw,go= {} \;   # (or u=rw,g=r,o= {})
find . -type d -exec chmod u=rwx,go= {} \;  # (or u=rwx,g=rx,o= {})

[root@Niflheim tmp]# ls -alF .
total 1632
drwxrwxrwt 15 root root    4096 Apr  7 04:24 ./
drwxr-xr-x 28 root root    4096 Apr  2 21:02 ../
[root@Niflheim tmp]# stat -c '%A %a %n' .
drwxrwxrwt 1777 .

С машины CentOS 5.9.