Рекомендации по безопасности разрешений /etc/shadow (000 против 600 против 640)
Эта проблема возникла из-за проблемы совместимости ядра с пакетом, который я использовал. Когда я использовал ядро 4.5, все было в порядке.
Идея установки /etc/shadowразрешений на 000 заключается в том, чтобы защитить этот файл от доступа демонов, даже при работе от имени пользователя root, гарантируя, что доступ контролируется возможностьюDAC_OVERRIDE. Начиная с Fedora 12 и RHEL 6, системы на основе Fedora -запускают демоны без DAC_OVERRIDE, но предоставляют DAC_OVERRIDEсеансам входа администратора (, чтобы изменения были невидимы для администраторов ).
Подробнее см. более низкие возможности процесса .
Это основано на том факте, что разрешения 600 и 000 функционально не идентичны :600 предоставляют право на чтение -запись владельцу файла, тогда как 000 предоставляет доступ только процессам с возможностью DAC_OVERRIDE. Традиционно запуск от имени пользователя root всегда предоставлял DAC_OVERRIDE, но это не обязательно.
(SELinux также можно использовать для ограничения возможностей root, но здесь речь не об этом. /etc/shadowимеет собственный контекст SELinux, обеспечивающий дополнительные элементы управления доступом.)