chmod o+r /dev/sda*
é bastante perigoso, pois permite que qualquer programa leia todo o seu disco (incluindo, por exemplo, hashes de senha em /etc/shadow
, se sua partição raiz estiver em sda
)!
Existem (pelo menos) duas maneiras de fazer isso com mais segurança:
- Adicione todos os usuários que precisam ler o disco ao grupo
disk
e executechmod g-w /dev/sda*
para impedir o acesso de gravação para esse grupo. - Altere o grupo de
/dev/sda*
para um grupo que contenha apenas os usuários que precisam ler o disco, por exemplo,chgrp my-benchmarkers /dev/sda*
e impede o acesso de gravação para este grupo comchmod
.
Tenha em atenção que o grupo e as alterações de permissão nos nós de dispositivos em /dev
são apenas temporários até o dispositivo em questão ser desligado ou o computador ser reinicializado.
Um problema pode ser que hdparm
precise de acesso de gravação para a maior parte de sua funcionalidade. Você deve verificar se tudo que você deseja funciona com acesso somente leitura.
EDITAR: Parece que hdparm
não precisa de acesso de gravação. Em vez disso, ele precisa do recurso CAP_SYS_RAWIO
para executar a maioria dos ioctls.
Você pode usar setcap cap_sys_rawio+ep /sbin/hdparm
para fornecer esse recurso ao hdparm. Observe que isso permite que qualquer pessoa que execute hdparm
e tenha pelo menos acesso de leitura a um arquivo de dispositivo para fazer praticamente qualquer coisa que hdparm
possa fazer nesse dispositivo, incluindo --write-sector
e todos os outros hdparm comanda a página do manual descrita como "MUITO PERIGOSO", "EXTREMAMENTE PERIGOSO" ou "EXCEPCIONALMENTE PERIGOSO". Os scripts do wrapper podem ser uma solução melhor.
Se você não tem que dar acesso de escrita ou escrever scripts de wrapper que podem ser executados por seus usuários como root usando regras de sudo.