多くの Linux ディストリビューションでは、1777 が /tmp のデフォルト モードであることを知っています。
オンラインではあまり見つけられませんでしたが、/tmp をグループおよび/または世界が読み取り可能にすることが本当に必要なのか疑問に思っています。
モード 1733 (drwx-wx-wt) の使用が受け入れられない理由を誰か提案できますか?
答え1
アプリケーションによって作成された一時ファイルの場合、大きな違いはありません。ほとんどの場合、0700 の保護されたサブディレクトリ、または少なくとも mktemp によって生成されたファイル名が使用されます。ただし、ユーザーが作成した一時ファイルの場合、これは大きな不便です。単に削除したい場合でも、そこに何を保存したかがわからなくなります。
/tmp 内の異なるユーザーのファイルを本当に分離したい場合は、名前空間を使用して行います。pam_namespace.so は、ユーザーごとに完全に独立した /tmp のビューを作成できます。また、PrivateTmp= は、systemd 管理サービスに対して同じことを行うことができます。(bindfs に似た特殊なファイルシステムも、特に Linux 以外のオペレーティングシステムに対して、これを提供できます。)