我知道 1777 是許多 Linux 發行版上 /tmp 的預設模式。
我在網上找不到太多信息,但我想知道是否確實有必要使 /tmp 組和/或世界可讀。
任何人都可以提出使用 1733 (drwx-wx-wt) 模式可能不可接受的原因嗎?
答案1
對於應用程式建立的臨時文件,這不會有太大區別:它們幾乎總是使用帶有 0700 的受保護子目錄,或至少是 mktemp 產生的文件名稱。但對於用戶創建的臨時檔案來說,這是一個很大的不便——你不再知道你在裡面放了什麼,即使你想刪除它。
如果您確實想在/tmp 中隔離不同使用者的文件,請透過命名空間來實現:pam_namespace.so 可以為每個使用者建立完全獨立的/tmp 視圖,而PrivateTmp= 可以對systemd 管理的服務執行相同的操作。 (類似於 bindfs 的特殊檔案系統也可以提供此功能,特別是對於非 Linux 作業系統。)