Я знаю, что 1777 — это режим по умолчанию для /tmp во многих дистрибутивах Linux.
Мне не удалось найти много информации в Интернете, но мне интересно, действительно ли необходимо сделать /tmp доступным для чтения всем и/или всем.
Может ли кто-нибудь подсказать причину, по которой использование режима 1733 (drwx-wx-wt) может быть неприемлемо?
решение1
Для временных файлов, созданных приложениями, это не будет иметь большого значения: они почти всегда используют защищенный подкаталог с 0700 или, по крайней мере, сгенерированное mktemp имя файла. Но для временных файлов, созданных пользователем, это серьезное неудобство — вы больше не знаете, что вы туда поместили, даже если вы просто хотите это удалить.
Если вы действительно хотите изолировать файлы разных пользователей в /tmp, сделайте это через пространства имен: pam_namespace.so может создать полностью отдельное представление /tmp для каждого пользователя, а PrivateTmp= может сделать то же самое для служб, управляемых systemd. (Специальная файловая система, похожая на bindfs, также может обеспечить это, особенно для операционных систем, отличных от Linux.)