TheРуководство по установке и эксплуатации Sendmail(§1.3.1) утверждает:
По соображениям безопасности /, /usr и /usr/sbin должны принадлежать пользователю root, режим 0755 2
[...]
2 Некоторые поставщики поставляют их как принадлежащих пользователю bin; это создает уязвимость в системе безопасности, которая на самом деле не связана сОтправить письмо. [...]
Почему это дыра в безопасности? Существуют ли системы, которые запускают процессы как пользователь bin?
решение1
Не обращая внимания на разрешения «группа» и «другие», принадлежность чего-либо кому-либо rootозначает, что только root имеет полный контроль над файлом/каталогом.
Что-то, принадлежащее другому пользователю, означает, что этот пользователь в дополнение к root имеет полный контроль над этим файлом. Теперь у вас есть две сущности, которые имеют полный контроль над этим файлом/каталогом, тогда как раньше у вас был только один.
Это особенно плохо для исполняемых файлов, размещенных в стандартных местах, как другие пользователи в системе могут называть их, и владелец может заменить исполняемый файл по своему желанию, возможно, используя его для вредоносных целей. Надеюсь, в этой системе пользователь "bin" не сможет войти в систему интерактивно через нулевую оболочку или что-то подобное в /etc/passwd. Держу пари, что это сделано для того, чтобы менеджер пакетов не должен был работать как root. Это само по себе, вероятно, дает другие преимущества.
Однако если bin принадлежит только каталогу /usr/sbin, а не исполняемым файлам внутри него, то все не так плохо.