Tại sao vấn đề bảo mật là có / usr / sbin do bin sở hữu?

Các cài đặt Sendmail và hoạt động hướng dẫn (§1.3.1) khẳng định:

Vì lý do bảo mật, /, / usr và / usr / sbin nên được sở hữu bởi root, chế độ 0755 ²
[...]
² Một số nhà cung cấp vận chuyển chúng thuộc sở hữu của bin; điều này tạo ra một lỗ hổng bảo mật không thực sự liên quan đến sendmail . [...]

Tại sao đây là một lỗ hổng bảo mật? Có hệ thống nào chạy quy trình như thùng người dùng không?

security

— Steven TASchuk
nguồn

phần nào liên quan: Tại sao người dùng bin cần shell đăng nhập?

— Mike Pennington

Bỏ qua các quyền "nhóm" và "khác", thứ gì đó được sở hữu bởi rootchỉ có quyền root mới có toàn quyền kiểm soát tệp / thư mục.

Một cái gì đó thuộc sở hữu của người dùng khác có nghĩa là người dùng ngoài root có toàn quyền kiểm soát tệp đó. Bây giờ bạn có hai thực thể có toàn quyền kiểm soát tệp / thư mục đó, trong khi trước đó bạn chỉ có một thực thể.

Điều này đặc biệt tệ đối với các tệp thực thi được đặt ở các vị trí tiêu chuẩn vì những người dùng khác trên hệ thống có thể gọi nó và người dùng sở hữu có thể thay thế tệp thực thi theo ý muốn của mình, có thể sử dụng nó cho các phương tiện độc hại. Hy vọng rằng trên hệ thống này, người dùng "bin" sẽ không thể đăng nhập tương tác thông qua shell null hoặc tương tự /etc/passwd. Tôi cá là điều này được thực hiện để cho phép người quản lý gói không phải chạy bằng root. Điều này trong bản thân nó có thể mang lại lợi ích khác.

~~Tuy nhiên, nếu chỉ có thư mục / usr / sbin được sở hữu bởi bin và không có khả năng thực thi bên trong, thì nó không tệ như vậy.~~

— LawrenceC
nguồn

Nếu chỉ có thư mục / usr / sbin được sở hữu bởi bin, và không thể thực thi được bên trong, thì nó không tệ như vậy: Không! Nó cũng tệ như vậy (tốt, ngoại trừ trong trường hợp hiếm khi nó là một vấn đề trong thực tế). Nếu bin có quyền ghi /usr/sbin, nó có thể loại bỏ các tệp thực thi đang ở đó và thay thế chúng bằng các tệp mà nó chọn.

— Gilles 'SO- ngừng trở nên xấu xa'