Recebi este relatório de vulnerabilidade onde diz I Remove world write permissions.
Então tentei encontrar os arquivos com writepermissões usando o comando abaixo:
find / -perm -0002 -type f
E minha saída é semelhante a abaixo (removi a maior parte da saída,mas todas essas saídas são para os dois diretórios /proce/sys
...
/proc/235399/attr/fscreate
/proc/235399/attr/keycreate
/proc/235399/attr/sockcreate
/proc/235399/timerslack_ns
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/[email protected]/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/[email protected]/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/session-5.scope/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/cgroup.event_control
/sys/fs/cgroup/memory/cgroup.event_control
/sys/fs/cgroup/memory/init.scope/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/rngd.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/irqbalance.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/systemd-update-utmp.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/system-systemd\x2dfsck.slice/systemd-fsck@dev-disk-by\x2duuid-B055\x2dF6D2.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/system-systemd\x2dfsck.slice/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/var-log.mount/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/systemd-udevd-control.socket/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/lvm2-monitor.service/cgroup.event_control
...
Minha pergunta é: é uma boa prática remover as writablepermissões desses arquivos? Isso não afetará a falha de nenhum programa em execução?
Responder1
É completamente inútil remover essas permissões. /proce /sysnão são sistemas de arquivos permanentes, após a próxima reinicialização eles serão os mesmos novamente.
Responder2
Estes são arquivos em pseudo-sistemas de arquivos do kernel (procfs e sysfs) que controlam diferentes comportamentos do kernel.
O comando a ser usado é chmod o-w <filename>, mas duvido que funcione para os arquivos mencionados acima. E mesmo que funcionasse - neste caso específico, pode afetar negativamente a estabilidade do sistema.