장치 소유권을 루트에만 제한하십시오. 그런데 왜?

NSA 가이드 Red Hat Enterprise Linux 5 보안 설정 장치 소유권을 루트로만 제한 할 것을 권장합니다.

그래서 내 질문은 왜 우리가 루트로 장치 소유권을 제한해야 하는가? 그리고 어쨌든 Linux에서 장치 소유권은 무엇을 의미합니까?

장치 파일이 비교적 제한없는 하드웨어 액세스를 제공하므로 장치 파일 소유권을 루트로 제한하는 것이 적절합니다. 하드웨어에 대한 무제한 액세스가 부적절한 장소의 예 :

• / dev / sda (하드 디스크 용 장치 파일)에 대한 액세스는 다음을 제공합니다.
  • 액세스 제어 및 감사를 생략하는 기능.
  • 파일 시스템을 손상시킬 수있는 능력.
  • 파일 시스템 마운트를 위해 커널 공간에서 구문 분석되는 디스크의 데이터를 제어하는 ​​기능.
• / dev / dsp (마이크를 나타내는 장치 파일)에 액세스하면 공격자가 하드웨어 근처에서 발생하는 대화를 엿들을 수 있습니다.
• 비디오 장치에 액세스하면 (구형 하드웨어에서) 공격자가 비디오 디스플레이를 손상시킬 수 있습니다. 최신 하드웨어에서는 GPU를 요리하는 데 사용할 수 있습니다.

액세스를 제한해야하는 다른 이유가 있지만 기본적으로 하드웨어 액세스는 제한적입니다. 왜냐하면 하드웨어가 액세스 할 수있는 실제 세계가 비트보다 더 가치가 있고 하드웨어가 커널에서 상대적으로 신뢰할 수있는 경우가 많기 때문입니다 .

경우에 따라 시스템에 물리적으로 액세스 (예 : 로컬 콘솔에 로그인)하면 일부 기기 (예 : CD 리더 / 라이터)에 대한 액세스가 향상됩니다. NSA 문서는 그 구성에 대해 암묵적으로 논쟁 중일 수 있습니다.

장치 파일 소유권은 소유권과 정확히 동일합니다. 어떤 파일; 사용자 권한 비트 (user permission bit)를 통해 사용자 소유자에게 액세스가 허용된다. -rwx------ 그룹 허가 비트를 통해 그룹 소유자에게 파일의 허가를 변경할 수 있습니다. ----rwx--- ) 및 다른 모든 사람들은 "다른"권한 비트 (예 : -------rwx ).

소유권을 다음으로 제한합니다. root 루트가 아닌 프로세스가 해킹당한 경우 범인은 장치 파일에 액세스하거나 권한 비트를 변경할 수 없으므로 보안 위험을 줄입니다.