Permissões do grupo Crontab

1

Tenho notado em minha máquina debian que o usuário crontab não possui permissões de leitura no diretório / var / spool / cron / crontabs.

drwx-wx--T 2 root crontab 4096 Jun 20 21:34 crontabs

Ainda mais, os arquivos crontab reais somente possuem permissões de leitura / gravação do usuário ao qual pertencem.

Eu tenho duas perguntas.

  1. Existe alguma razão pela qual um crontab de usuário não teria acesso de leitura ao diretório crontabs?
  2. É uma má idéia dar a este usuário acesso de leitura aos arquivos individuais do crontab?

A razão para minhas perguntas é que eu tenho alguns desenvolvedores que precisam acessar para editar cada crontab. O ideal é que eu gostaria de tê-los todos em svn ou similar para que possamos revisar as alterações antes de colocá-las ao vivo e, em seguida, alguma forma de script de implantação. O svn e deploy não é problema, mas eu estava procurando por um usuário comum que pudesse editar todos os crontabs sem ser root.

    
por David Manners 24.06.2013 / 10:54

1 resposta

3

O único motivo é a segurança. Este é um caso de uso bastante popular para o bit SGID.

Existe um grupo 'crontab' por lá. Este grupo está vazio, então não há membros. Grupo 'crontab' tem um propósito muito especial. Binário Crontab pertencente ao grupo 'crontab' e possui um bit SGID (Set Group ID)

# ls -l /usr/bin/crontab
-rwxr-sr-x 1 root crontab 34784 Jun 14  2012 /usr/bin/crontab

Assim, o arquivo cujo bit SGID está definido (comando crontab) seria usado como se pertencesse a esse grupo, e não apenas àquele usuário. E, na medida em que o arquivo é criado dentro do diretório com o SGID (arquivo do usuário do crontab), ele herda seu grupo também.

1) o usuário pode editar ou ler seu arquivo crontab somente dentro do comando crontab

2) o usuário não tem permissão para ler os arquivos de lista em / var / spool / cron / crontabs

    
por 24.06.2013 / 12:46