Linux Crontab权限设置及安全注意事项

Linux Crontab权限设置与安全注意事项

一 权限模型与访问控制

• 使用**/etc/cron.allow与/etc/cron.deny进行访问控制：当/etc/cron.allow存在时，仅列出的用户可使用 crontab；若其不存在，则检查/etc/cron.deny**，被列出的用户禁止使用；若两者均不存在，通常仅root可用。建议仅允许必要账号使用，优先采用白名单（allow）策略。示例：在**/etc/cron.allow**中写入“alice bob”，其余用户均不可编辑计划任务。
• 用户级任务由crontab -e管理，任务保存在**/var/spool/cron/crontabs/用户名**（某些发行版为**/var/spool/cron/用户名**），该文件应仅对所属用户可读写，避免其他用户篡改。
• 系统级任务使用**/etc/crontab或/etc/cron.d/目录，文件内包含“用户”字段以指定执行身份；这些文件与目录应仅由root**拥有并设置严格权限，避免被非授权用户修改。

二 文件与目录权限建议

• 关键文件与目录的最小权限建议如下（示例命令）：
  • 系统级配置与目录
    • /etc/crontab：仅 root 读写（建议 600）
      • sudo chown root:root /etc/crontab && sudo chmod 600 /etc/crontab
    • /etc/cron.d/：仅 root 读写执行（建议 700），内部文件 600
      • sudo chown -R root:root /etc/cron.d && sudo chmod 700 /etc/cron.d && sudo find /etc/cron.d -type f -exec chmod 600 {} ;
  • 用户级 spool 目录
    • /var/spool/cron/crontabs/：仅 root 拥有，用户文件 600
      • sudo chown -R root:root /var/spool/cron/crontabs
      • sudo chmod 700 /var/spool/cron/crontabs
      • sudo chmod 600 /var/spool/cron/crontabs/*
  • 任务脚本与日志
    • 脚本：仅属主可读写执行（600/700），放置在受限目录（如**/opt/或/usr/local/**）
    • 日志：仅属主可写，避免放在**/tmp等全局可写目录；必要时使用专用目录（如/var/log/myapp/**）并设置属主与权限
• 禁止非必要用户对**/etc/crontab、/etc/cron.d、/var/spool/cron**进行写操作，防止提权与篡改。

三 安全配置与常见风险

• 最小权限与身份隔离：能用普通用户就不用root；系统级任务在**/etc/crontab或/etc/cron.d/中显式指定user**字段（如：0 2 * * * www-data /usr/bin/backup_website.sh）。
• 使用绝对路径与受控环境：在 crontab 与脚本中均使用绝对路径；在脚本开头显式设置PATH，避免因环境差异导致命令注入或“命令未找到”。示例：
  • SHELL=/bin/bash
  • PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
  • 0 3 * * * /usr/bin/python3 /opt/myapp/cleanup.py >> /var/log/cleanup.log 2>&1
• 日志与审计：启用并定期检查 cron 日志（Debian/Ubuntu 常见为**/var/log/syslog**，可用“grep CRON /var/log/syslog”查看；RHEL/CentOS 常见为**/var/log/cron**）；必要时结合journalctl -u cron.service；为关键任务输出日志并保留审计线索。
• 输入与脚本安全：禁止在 crontab 中拼接不受信任输入；仅运行可信脚本（建议纳入版本控制与代码审查，必要时用shellcheck检查）。
• 避免通配与参数注入：谨慎使用通配符与可被参数化的命令（如tar），攻击者可能利用**–checkpoint/–checkpoint-action**等参数实现代码执行；对备份、清理等任务使用显式文件列表或受控脚本。

四 加固清单与快速示例

• 加固清单
  • 访问控制：启用**/etc/cron.allow白名单；定期审计crontab -l**与系统级任务清单。
  • 文件权限：按上文建议固化**/etc/crontab、/etc/cron.d、/var/spool/cron**权限与属主。
  • 运行身份：坚持最小权限；系统级任务显式指定user字段。
  • 路径与环境：全路径调用；脚本内显式设置PATH、HOME、SHELL。
  • 日志与监控：统一输出到**/var/log/**并定期审计；对异常频率与失败告警。
  • 避免竞态与滥用：为易并发任务加锁；避免将任务写入**/tmp或全局可写目录；必要时使用systemd Timers**获得更细粒度的权限与隔离能力。
• 快速示例
  • 系统级任务（以www-data运行，日志落盘）
    • 文件：/etc/cron.d/backup_website
    • 内容：0 2 * * * www-data /usr/bin/backup_website.sh >> /var/log/backup_website.log 2>&1
    • 权限：sudo chown root:root /etc/cron.d/backup_website && sudo chmod 600 /etc/cron.d/backup_website
  • 用户级任务（绝对路径与日志）
    • 0 3 * * * /usr/bin/python3 /opt/myapp/cleanup.py >> /var/log/myapp/cleanup.log 2>&1
    • 调试阶段先保留日志，稳定后按需收敛输出或接入集中日志。