На этот вопрос уже есть ответ:
Когда я проверяю права доступа к файлу / etc / passwd, я обнаруживаю, что у всех пользователей есть права на его чтение.
$ ls -l /etc/passwd
-rw-r--r--. 1 root root 3381 2015-11-04 11:02 /etc/passwd
Это дыра в безопасности? Почему или почему нет?
это дыра в системе безопасности? Почему или почему нет?
нет, это не. /etc/passwd
должно быть только для чтения пользователям (-rw-r - r-). Это иногда называют пользовательской базой данных. Это должно дать нам ключ к разгадке относительно того, почему это должно быть читаемо всеми. Любая утилита, которая осматривает метаданные файла, должна быть в состоянии читать /etc/passwd
(и так /etc/group
), чтобы быть в состоянии разрешить числовые идентификаторы, используемые ядром и его подсистемами к человечески-благоприятным именам, на которые мы полагаемся. Инструменты, которые должны найти Ваш корневой каталог, ищут ту информацию в /etc/passwd
, и inet мини-серверы как fingers
ищут Ваши детали в /etc/passwd
.
, Как был указан в другом месте, в файле нет никаких особенно уязвимых данных, поскольку современные системы помещают хэши пароля в /etc/shadow
файл, который только для чтения корнем.