我已经注意到在我的debian机器上,crontab用户对/ var / spool / cron / crontabs目录没有读权限。
drwx-wx--T 2 root crontab 4096 Jun 20 21:34 crontabs 而且,实际的crontab文件只有它们所属用户的读/写权限。
我有两个问题。
我的问题的原因是我有一些开发人员需要访问编辑每个crontab。 理想情况下,我希望将它们都放在svn或类似的位置,这样我们可以在放置它们之前检查这些更改,然后使用某种forms的部署脚本。 SVN和部署是没有问题,但我正在寻找一个普通用户,可以编辑所有crontabs而不是根。
唯一的原因是安全。 这是一个非常stream行的用于SGID位的用例。
那边有一个“crontab”组。 这个组是空的,所以没有成员。 组“crontab”有一个非常特殊的用途。 由“crontab”组拥有的Crontab二进制文件,并具有一个SGID(Set Group ID)位
# ls -l /usr/bin/crontab -rwxr-sr-x 1 root crontab 34784 Jun 14 2012 /usr/bin/crontab
因此,将使用设置了SGID位(crontab命令)的文件,就好像它们属于该组而不是单独使用该用户一样。 而且,只要文件在SGID(crontab用户文件)目录下创build,它也inheritance它的组。
1)用户只能在crontab命令中编辑或读取他的crontab文件
2)用户没有权限读取/ var / spool / cron / crontabs中的任何一个列表文件