그만큼Sendmail 설치 및 운영 가이드(§1.3.1)은 다음과 같이 주장합니다.
보안상의 이유로 /, /usr 및 /usr/sbin은 루트(모드 0755 2)
가 소유해야 합니다. 2 [...]
2 일부 공급업체에서는 이를 bin 소유로 제공합니다. 이는 실제로 관련되지 않은 보안 허점을 만듭니다.메일을 보내다. [...]
이것이 왜 보안 허점입니까? 사용자 bin으로 프로세스를 실행하는 시스템이 있습니까?
답변1
"그룹" 및 "기타" 권한을 무시하고 무언가를 소유한다는 것은 root루트만이 파일/디렉토리에 대한 전체 제어권을 가짐을 의미합니다.
다른 사용자가 무언가를 소유하고 있다는 것은 루트 외에 다른 사용자도 해당 파일을 완전히 제어할 수 있다는 것을 의미합니다. 이제 해당 파일/디렉토리를 완전히 제어할 수 있는 두 개의 엔터티가 있지만 이전에는 하나만 있었습니다.
이는 시스템의 다른 사용자가 호출할 수 있는 표준 위치에 배치된 실행 파일의 경우 특히 나쁩니다. 소유 사용자는 자신의 의지에 따라 실행 파일을 대체할 수 있으며 악의적인 수단으로 사용할 수도 있습니다. 이 시스템에서는 사용자 "bin"이 null 쉘이나 /etc/passwd. 나는 패키지 관리자가 루트로 실행될 필요가 없도록 하기 위해 이 작업을 수행했다고 확신합니다. 이것은 그 자체로 아마도 다른 이점을 가져올 것입니다.
그러나 /usr/sbin 디렉토리만 bin이 소유하고 그 안의 실행 파일이 없다면 그다지 나쁘지 않습니다.