Описание тега yvr
Если ваша модель угрозы бинарных — либо учетная запись пользователя не будет нарушена или полностью нарушена (произвольное выполнение команд) — нет никакой разницы. Как только вы заметили, злоумышленник может просто у него chmod+ж
файл.
Частичный компромисс, однако, может произойти. Е. Г., если злоумышленник получает только "писать к файлам", то он не может писать в файл 0400. Это сомнительная выгода в большинстве случаев, хотя — "напишите файлам" может часто быть возведен в произвольную команду довольно легко (например, написать в ~/.bashrc с
).
Далее, с разрешения на запись в родительский каталог, вы можете все еще удалить (разорвать) файл режиме 0400. Смысл злоумышленник может удалить существующий файл и поставить новую на место, используя то же имя.
В один "безопасности" использования, что приходит на ум-это FTP (и т. д.) в Dropbox. Вы можете положить файл README там, режим 0400. Если ваш Dropbox папку задано в+rwxt
, то каждый может добавлять новые файлы (и +Т
) удалить только файлы, которыми они владеют. Так что ваши ридми будут защищены.
Так что я думаю в целом, это предотвратить несчастные случаи более чем средство безопасности.