Recibí este informe de vulnerabilidad donde dice Remove world write permissionsI.
Entonces intenté encontrar los archivos con writepermisos usando el siguiente comando:
find / -perm -0002 -type f
Y mi resultado se ve a continuación (he eliminado la mayor parte del resultado,pero todas estas salidas son para los dos directorios /procy/sys
...
/proc/235399/attr/fscreate
/proc/235399/attr/keycreate
/proc/235399/attr/sockcreate
/proc/235399/timerslack_ns
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/[email protected]/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/[email protected]/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/session-5.scope/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/cgroup.event_control
/sys/fs/cgroup/memory/cgroup.event_control
/sys/fs/cgroup/memory/init.scope/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/rngd.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/irqbalance.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/systemd-update-utmp.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/system-systemd\x2dfsck.slice/systemd-fsck@dev-disk-by\x2duuid-B055\x2dF6D2.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/system-systemd\x2dfsck.slice/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/var-log.mount/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/systemd-udevd-control.socket/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/lvm2-monitor.service/cgroup.event_control
...
Mi pregunta es, ¿es una buena práctica eliminar los writablepermisos de estos archivos? ¿No afectará la falla de ningún programa en ejecución?
Respuesta1
Es completamente inútil eliminar esos permisos. /procy /sysno son sistemas de archivos permanentes, después del próximo reinicio volverán a ser los mismos.
Respuesta2
Estos son archivos en pseudosistemas de archivos del kernel (procfs y sysfs) que controlan diferentes comportamientos del kernel.
El comando a utilizar es chmod o-w <filename>, pero dudo que funcione para los archivos mencionados anteriormente. E incluso si funcionara, en este caso específico podría afectar negativamente a la estabilidad de su sistema.