Эта проблема возникла из-за проблемы совместимости ядра с пакетом, который я использовал. Когда я использовал ядро 4.5, все было в порядке.
Идея установки /etc/shadow
разрешений на 000 заключается в том, чтобы защитить этот файл от доступа демонов, даже при работе от имени пользователя root, гарантируя, что доступ контролируется возможностьюDAC_OVERRIDE
. Начиная с Fedora 12 и RHEL 6, системы на основе Fedora -запускают демоны без DAC_OVERRIDE
, но предоставляют DAC_OVERRIDE
сеансам входа администратора (, чтобы изменения были невидимы для администраторов ).
Подробнее см. более низкие возможности процесса .
Это основано на том факте, что разрешения 600 и 000 функционально не идентичны :600 предоставляют право на чтение -запись владельцу файла, тогда как 000 предоставляет доступ только процессам с возможностью DAC_OVERRIDE
. Традиционно запуск от имени пользователя root всегда предоставлял DAC_OVERRIDE
, но это не обязательно.
(SELinux также можно использовать для ограничения возможностей root, но здесь речь не об этом. /etc/shadow
имеет собственный контекст SELinux, обеспечивающий дополнительные элементы управления доступом.)