cronで使用するファイルのパーミッション設定

cron、anacronで使用するファイルのパーミッション設定についてです。下記資料に推奨設定が記載されています。
NSA(National Security Agency)の『Guide to the Secure Configuration of Red Hat Enterprise Linux 5』
 

cron、anacronのセキュリティ上の注意点


 
・cron、anacronはたくさんの設定ファイルやディレクトリを使用しているのでチェックするのが大変ですが、セキュリティを考慮し、適切なパーミッション設定が必要です。
 
・システムcrontabはrootによってのみ編集できるように制限し、ユーザーcrontabはsetuidが付与されているcrontabコマンドを使って編集するようにします。
 
・もし権限のないユーザーがシステムcronの設定ファイルを変更できてしまうと権限の昇格を許してしまう恐れがあります。必要のないアクセスは禁止するように設定します。
 

セキュリティ上の推奨設定


 
・システムcrontabファイルのパーミッション設定
 
# chown root:root /etc/crontab
# chmod 600 /etc/crontab
 
・システムのanacronの設定ファイルのパーミッション設定
 
# chown root:root /etc/anacrontab
# chmod 600 /etc/anacrontab
 
・システムcrontabのディレクトリのパーミッション設定
 
# cd /etc
# chown -R root:root cron.hourly cron.daily cron.weekly cron.monthly cron.d
# chmod -R go-rwx cron.hourly cron.daily cron.weekly cron.monthly cron.d
 
・ユーザーcrontabファイル用のスプールディレクトリのパーミッション設定
 
# chown root:root /var/spool/cron
# chmod -R go-rwx /var/spool/cron

関連記事の目次

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です