Ho spesso sentito dire che 600 e 700 sono raccomandati per sicurezza quando possibile prima del 660, 770. Mi piacerebbe capire il rischio che 660, 770 avrebbero quel 600, 700 no.
Il principio in gioco qui è il minimo privilegio .
Un permesso chmod di 600 o 700 dà solo i diritti di proprietario del file, mentre 660 o 770 dà gli stessi diritti anche al gruppo. Se questo è previsto o no dipende dal caso d'uso. O potrebbe essere appropriato.
Un server potrebbe - e probabilmente avrà - diverse categorie di utenti (studenti, ospiti, dipendenti, amministratori ...). Mantenere separati i privilegi è importante in questo caso.
Il possibile problema con 660 e 770 è che un amministratore di sistema potrebbe inavvertitamente aggiungere un utente estraneo al gruppo in questione, dando così all'utente in blocco al gruppo gli stessi diritti del proprietario.
Vale la pena notare che oggigiorno le autorizzazioni di gruppo in Linux sono obsolete (sono state sostituite da ACL) e per impostazione predefinita a un utente viene assegnato solo il proprio gruppo.
Il rischio di "aggiungere inavvertitamente [ing] un utente estraneo al gruppo" è minimo. E i fACL non sono obsoleti. Utilizzati correttamente i fACL integrano le cose che sono difficili da fare con il sistema dei permessi di base, ma aprono la possibilità di creare un pasticcio di labrynthine che normalmente si vede solo sulle condivisioni MSWindows mal gestite.
Unix è inteso come un sistema multiutente e ha un modello di autorizzazioni che consente agli utenti di avere i propri file, i file che condividono con un gruppo con nome e i file disponibili a chiunque abbia accesso al sistema. Purtroppo, troppe persone non capiscono come utilizzare il secondo di questi scenari (e includo un sacco di persone pagate per avere esperienza in Sicurezza e Unix in quella categoria). Ma non ci aspettiamo che i normali utenti abbiano una comprensione adeguata della distinzione.
Shouldn't group users already be trusted?
Quale gruppo?
Mentre "utente" e "altro" sono ben definiti, le autorizzazioni di "gruppo" sono specifiche per la proprietà del gruppo del file. Ciò significa che posso condividere un file con 'finanza' senza esporlo a 'webdevelopers' e se creo un collegamento fisico a quel file posso anche condividerlo con 'marketing'. Tuttavia, quando un utente crea un file, sarà di proprietà del gruppo predefinito degli utenti. Se le autorizzazioni sono 660, sarà accessibile al gruppo predefinito. OTOH se umask è impostato su 0077, l'utente deve intraprendere azioni specifiche per condividere quel file con altri (anche se lo stesso risultato può essere ottenuto creando un nuovo gruppo per ciascun utente e impostandolo come gruppo predefinito).
Ci sono molte più autorizzazioni che solo 770/700, 660/600 (2770/2775 è uno dei miei preferiti) 600/700 è solo un punto di partenza sicuro finché non dici esplicitamente al computer con chi vuoi condividere il file / directory con.
Leggi altre domande sui tag linux permissions