Quelles sont les autorisations correctes pour / tmp? J'ai involontairement tout définir public récursivement

J'ai abusé sudo.

J'ai créé un répertoire temporaire à très courte durée de vie que je souhaitais partager entre quelques utilisateurs pendant quelques heures ... et j'ai nommé ce répertoire /some/path/tmp

Malheureusement, j'ai lancé sudo chown 777 -R /tmpau lieu de sudo chown 777 -R tmp, mon /tmpdossier est maintenant complètement public.

J'utilise le commun /tmpassez souvent (tous les jours, presque toutes les heures) personnellement pour des fichiers de courte durée, des scripts, beaucoup de scripts.

Est-ce un problème de sécurité maintenant qu'il est complètement ouvert au public? Devrais-je revenir à des paramètres plus sécurisés, ou à des paramètres par défaut communs pour une distribution Debian ou Ubuntu - (je ne sais pas qui ils étaient)? Quelles sont les autorisations correctes pour /tmp?

Les paramètres normaux pour /tmpsont 1777, ce qui lsindique que drwxrwxrwt. C'est-à-dire: grand ouvert, sauf que seul le propriétaire d'un fichier peut le supprimer (c'est ce que ce tbit supplémentaire signifie pour un répertoire).

Le problème avec le /tmpmode 777 est qu'un autre utilisateur peut supprimer un fichier que vous avez créé et remplacer le contenu de son choix.

Si vous êtes /tmpun système de fichiers tmpfs, un redémarrage restaurera tout. Sinon, cours chmod 1777 /tmp.

En outre, de nombreux fichiers /tmpdoivent être privés. Cependant, au moins un répertoire doit absolument être lisible par tout le monde:, /tmp/.X11-unixet éventuellement d’autres répertoires similaires ( /tmp/.XIM-unix, etc.). La commande suivante devrait généralement régler le problème:

chmod 1777 /tmp
find /tmp -mindepth 1 -name '.*-unix' -exec chmod 1777 {} + -prune -o -exec chmod go-rwx {} +

C'est-à-dire rendre tous les fichiers et répertoires privés (supprimer toutes les autorisations du groupe et autres), mais rendre les sockets X11 accessibles à tous. Le contrôle d'accès sur ces sockets est imposé par le serveur et non par les autorisations de fichier. Il peut y avoir d'autres sockets qui doivent être accessibles au public. Courez find /tmp -type s -user 0pour découvrir les sockets appartenant à la racine que vous devrez peut-être rendre accessibles au monde entier. Il peut également y avoir des prises appartenant à d’autres utilisateurs du système (par exemple, pour communiquer avec un bus système); explorer avec find /tmp -type s ! -user $UID(où $UIDest votre identifiant utilisateur).

/tmpet /var/tmpaurait dû lire, écrire et exécuter des droits pour tous; mais vous ajouteriez généralement aussi sticky-bit ( o+t) pour empêcher les utilisateurs de supprimer des fichiers / répertoires appartenant à d'autres utilisateurs. Alors chmod a=rwx,o+t /tmpdevrait fonctionner.

Pour ce qui est de changer les autorisations de manière récursive ... Tant que le propriétaire / groupe reste tel qu'il est pour les fichiers et les répertoires, cela ne devrait pas poser trop de problème. Mais vous pourriez peut-être changer la permission de tout ce qui est sous /tmp(pas / tmp lui-même) pour assurer la confidentialité des utilisateurs, en supprimant les rxdroits des autres et peut-être du groupe.

Trouver est un bon moyen de le faire. En tant que root, faites:

cd /tmp
find . -type f -exec chmod u=rw,go= {} \;   # (or u=rw,g=r,o= {})
find . -type d -exec chmod u=rwx,go= {} \;  # (or u=rwx,g=rx,o= {})

[root@Niflheim tmp]# ls -alF .
total 1632
drwxrwxrwt 15 root root    4096 Apr  7 04:24 ./
drwxr-xr-x 28 root root    4096 Apr  2 21:02 ../
[root@Niflheim tmp]# stat -c '%A %a %n' .
drwxrwxrwt 1777 .

À partir d'une machine CentOS 5.9.