Я получил этот отчет об уязвимости, в котором говорится, что я Remove world write permissions.
Поэтому я попытался найти файлы с writeразрешениями, используя следующую команду:
find / -perm -0002 -type f
И мой вывод выглядит так, как показано ниже (я удалил большую часть вывода,но все эти выходы предназначены для двух каталогов /procи/sys
...
/proc/235399/attr/fscreate
/proc/235399/attr/keycreate
/proc/235399/attr/sockcreate
/proc/235399/timerslack_ns
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/[email protected]/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/[email protected]/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/user-904374614.slice/session-5.scope/cgroup.event_control
/sys/fs/cgroup/memory/user.slice/cgroup.event_control
/sys/fs/cgroup/memory/cgroup.event_control
/sys/fs/cgroup/memory/init.scope/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/rngd.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/irqbalance.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/systemd-update-utmp.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/system-systemd\x2dfsck.slice/systemd-fsck@dev-disk-by\x2duuid-B055\x2dF6D2.service/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/system-systemd\x2dfsck.slice/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/var-log.mount/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/systemd-udevd-control.socket/cgroup.event_control
/sys/fs/cgroup/memory/system.slice/lvm2-monitor.service/cgroup.event_control
...
Мой вопрос, является ли хорошей практикой удаление writableразрешений для этих файлов? Не повлияет ли это на работу запущенных программ и не приведет ли к сбою?
решение1
Удалять эти разрешения совершенно бесполезно, /procи /sysони не являются постоянными файловыми системами, после следующей перезагрузки они снова станут прежними.
решение2
Это файлы в псевдофайловых системах ядра (procfs и sysfs), которые управляют различным поведением ядра.
Команда для использования - chmod o-w <filename>но я сомневаюсь, что она сработает для вышеупомянутых файлов. И даже если бы она сработала - в этом конкретном случае она может негативно повлиять на стабильность вашей системы.