ComplianceAsCode项目中root用户初始化文件权限问题的分析与解决

问题背景

在ComplianceAsCode项目的安全合规检查中，发现了一个关于root用户初始化文件权限的问题。具体表现为：在执行file_permission_user_init_files_root规则修复后，系统仍然存在权限设置不正确的文件。这个问题在RHEL 8.10、9.6和10.0等多个版本中均被发现。

问题现象

系统检测到以下root用户的初始化文件权限不符合安全要求：

• /root/.bash_profile
• /root/.bashrc
• /root/.cshrc
• /root/.tcshrc
• /root/.bash_logout

这些文件的权限被设置为644（rw-r--r--），而安全合规要求更严格的权限设置。

问题根源分析

经过深入调查，发现这些文件是由rootfiles RPM包提供的，该包通过/usr/lib/tmpfiles.d/rootfiles.conf配置文件定义了这些初始化文件的创建和权限设置。具体配置内容如下：

# create initial /root directories shell content
C /root/.bash_logout   644 root root - /usr/share/rootfiles/.bash_logout
C /root/.bash_profile  644 root root - /usr/share/rootfiles/.bash_profile
C /root/.bashrc        644 root root - /usr/share/rootfiles/.bashrc
C /root/.cshrc         644 root root - /usr/share/rootfiles/.cshrc
C /root/.tcshrc        644 root root - /usr/share/rootfiles/.tcshrc

在系统重启后，systemd的tmpfiles机制会根据这个配置文件重新创建这些文件并设置权限，导致之前通过修复脚本修改的权限被重置。

解决方案探讨

针对这个问题，项目团队提出了两种解决方案：

1. 移除rootfiles包方案：

   • 直接移除提供这些文件的rootfiles RPM包
   • 如果文件在修复时已存在，则修改其权限
   • 优点：彻底解决问题根源
   • 缺点：可能影响系统默认的bash环境配置，特别是umask等全局设置

2. 使用tmpfiles.d覆盖方案：

   • 在/etc/tmpfiles.d/目录下创建自定义配置文件
   • 覆盖默认的权限设置
   • 优点：保留系统默认配置的同时修正权限
   • 缺点：需要维护额外的配置文件

最终解决方案

经过权衡，项目团队选择了第二种方案，即在/etc/tmpfiles.d/目录下创建自定义配置文件来覆盖默认设置。这种方案的优势在于：

1. 保留了系统默认的shell配置文件，确保umask等全局设置不会丢失
2. 不会影响其他可能依赖rootfiles包的功能
3. 更加符合最小修改原则，降低对其他系统组件的影响

技术实现细节

实现这一解决方案需要：

1. 创建一个新的配置文件，例如/etc/tmpfiles.d/rootconf.conf
2. 在该文件中重新定义root用户初始化文件的权限
3. 确保新配置文件的优先级高于默认配置
4. 在修复脚本中包含创建和配置这个文件的步骤

安全建议

对于系统管理员，建议：

1. 定期检查root用户的初始化文件权限
2. 了解系统中tmpfiles.d机制的工作原理
3. 对于关键配置文件，考虑使用更严格的权限设置
4. 在系统更新后，重新验证这些安全设置是否仍然有效

总结

这个案例展示了Linux系统中配置文件管理机制的复杂性，特别是在涉及安全合规要求时。通过理解systemd的tmpfiles.d机制和RPM包管理系统的交互方式，项目团队找到了一个既满足安全要求又保持系统稳定性的解决方案。这也提醒我们，在实施安全修复时，需要全面考虑系统各个组件之间的相互作用。