Что такого особенного в разрешении Linux 004?

Я читал Practical Unix и Internet Security , когда наткнулся на следующие строки, которые я не мог понять.

Если вы используете сервер архивации wu, вы можете настроить его таким образом, чтобы загруженные файлы загружались в режиме 004 , чтобы их не мог загрузить другой клиент . Это обеспечивает лучшую защиту, чем просто нечитаемость каталога , так как не позволяет людям загружать файлы, а затем сообщать своим друзьям точное имя файла для загрузки.

Разрешение 004 соответствует -------r--. Файл не может быть загружен, если у него есть доступ для чтения? Кроме того, почему это считается лучше, чем просто сделать каталог недоступным для чтения? Что это значит?

Примечание. Это касается неавторизованных пользователей, оставляющих нелегальный и защищенный авторским правом материал на серверах, использующих анонимный FTP. Предложенное выше решение было предложено предотвратить это вместе со сценарием, который удаляет содержимое каталога через определенный промежуток времени.

Права доступа 004 (------ r--) означают, что файл может быть прочитан только процессами, которые не работают от имени того же пользователя или той же группы, что и FTP-сервер. Это довольно необычно: обычно пользователь имеет больше прав, чем группа, а группа имеет больше прав, чем другие. Обычно пользователь может изменять разрешения, поэтому бессмысленно давать пользователю более ограничительные права. Это имеет смысл, поскольку на FTP-сервере (предположительно) нет команды для изменения разрешений, поэтому файлы сохраняют свои разрешения до тех пор, пока что-то другое не изменит их.

Поскольку пользователь, на котором запущен FTP-сервер, не может читать файлы, люди не смогут загрузить файл. Это делает невозможным использование FTP-сервера для обмена файлами.

Предположительно, какой-то процесс, выполняющийся от имени другого пользователя и группы, в какой-то момент читает файл, проверяет, соответствует ли он какой-либо политике, копирует данные, если это так, и удаляет загруженный файл.

Для меня было бы более разумно дать файлу разрешения 040 (доступное для чтения только для группы) и запустить потребительский процесс в той же группе, что и FTP-сервер, но с другим пользователем.

Восьмеричная маска разрешений 004соответствует символической маске разрешений, u=,g=,o=rкоторая означает, что тот, (u)serкто владеет файлом, не может прочитать или записать его, или выполнить его, и никто другой не может быть таким же, (g)roupкак пользователь, которому принадлежит файл. Только (o)therпользователи, которые не являются ни владельцем, ни находятся в той же группе, что и владелец, могут читать файл.

Да, но файл принадлежит пользователю. Таким образом, сам клиент имеет разрешение 0 (пользователь) на файл и не может его прочитать.

Вы можете проверить это самостоятельно:

echo TEST > myTestFile;
chmod 004 myTestFile;
cat myTestFile;
chmod 700 myTestFile;
cat myTestFile;

Третий шаг вызовет ошибку.

Кажется более вероятным, что это означает, что любые разрешения маскируются 004, то есть другие пользователи не могут читать файл. Это послужит для защиты файла от других пользователей в системе (в некоторой степени).