So che 1777 è la modalità predefinita di / tmp su molte distribuzioni Linux.
Non sono stato in grado di trovare molto online, ma mi chiedo se sia davvero necessario rendere / tmp group- e / o leggibili dal mondo.
Qualcuno può suggerire una ragione per cui l'uso di una modalità 1733 (drwx-wx-wt) potrebbe non essere accettabile?
Risposte:
Per i file temporanei creati dalle applicazioni, non farà molta differenza: usano quasi sempre una sottodirectory protetta con 0700 o almeno un nome file generato da mktemp. Ma per i file temporanei creati dall'utente, è un grosso inconveniente: non sai più cosa hai inserito, anche se vuoi semplicemente rimuoverlo.
Se vuoi davvero isolare i file di diversi utenti in / tmp, fallo tramite namespace: pam_namespace.so può creare una vista completamente separata di / tmp per ogni utente e PrivateTmp = può fare lo stesso per i servizi gestiti da systemd. (Un file system speciale simile a bindfs potrebbe anche fornire questo, specialmente per i sistemi operativi non Linux.)