Действительно ли возможно ограничить/tmp 0770 полномочиями?
В дополнение к совету SvenW несколько черных списков будут включать диапазоны IP-адреса соединений DSL-стиля, таким образом, Ваш офисный IP-адрес будет, вероятно, включен, даже если Вы - хороший пользователь сети. Можно использовать сервисы как этот для проверки IP-адреса.
Это было бы очень плохой идеей. Он нарушает чрезвычайно распространенный (повсеместный) и давний (как «с незапамятных времен») набор допущений, который, вероятно, укоренится во многих приложениях и утилит.
Было бы гораздо лучше создать chroot-тюрьмы. или виртуальные подсистемы и тем самым ограничить этих пользователей, а не пытаться просто заблокировать их из / tmp .
TMPDIR - это только соглашение, а не стандарт. Программы UNIX / Linux свободны выполнять или нет по прихоти их авторов и сопровождающих.
Плохая идея, как указывали другие. Вы можете использовать ACL для получения аналогичного результата:
groupadd tmpdir-denied
setfacl -m g:tmpdir-denied:- /tmp # the specific group has no access to /tmp
getfacl /tmp # see permissions
Не поймите меня неправильно. ACL тоже сломает , если не сейчас, то в будущем, но мы надеемся, что влияние будет несколько ограниченным. Я бы как минимум проверил, могу ли я (1) сделать резервную копию (2) восстановить (3) систему исправлений после этих изменений.
Я не думаю, что менять права доступа / tmp - хорошая идея. Многие приложения создают временные файлы в каталоге / tmp , и они не обязательно работают с правами root. Так что, сделав это, вы их сломаете.