Por meio da configuração de /etc/cron.allow e / ou /etc/cron.deny, é possível restringir que usuário é permitido usar crontabs para agendar uma tarefa cron para ser executada como esse usuário. Pelo menos no meu escritório, nossos SAs usam como padrão negar a todos os usuários não-root o uso de crontabs.
Minha pergunta é por que esse é um comportamento padrão útil? Agendar tarefas como um usuário parece um recurso útil, especialmente porque pode permitir que eu configure as etapas de manutenção de um programa pelo qual sou responsável (e possa efetuar login no grupo de usuários gerenciadores) sem solicitar / precisar de permissões sudo; limitando assim quem precisa receber permissões elevadas.
Então, estou me perguntando por que os crontabs geralmente não são utilizáveis por todos os usuários? Qual risco ou ameaça de segurança é aberto, permitindo que um determinado usuário execute crontabs? Não parece que isso deva levar à possibilidade de elevar privilégios, pois o cron job será executado como o usuário que o programou. Ele poderia ser usado para intencionalmente consumir recursos iniciando um programa a cada minuto, suponho, mas não vejo por que isso seria mais uma ameaça do que uma forkbomb tradicional, que já tem proteções no lugar.
Então, qual é a motivação para impedir que usuários planejem tarefas com o crontabs?
Geralmente, com segurança, a ideia é reduzir a área de superfície para apenas as funções necessárias, ou seja, desligar tudo e ativar o que é necessário novamente. Quanto ao que pode dar errado ... não muito além de bugs e erros de administrador, contanto que o administrador saiba que pode adicioná-lo à lista de coisas para manter o controle.
Tags permissions cron security