誰でも読める/ rootディレクトリが悪い理由の例は？

これは、他のユーザーが他のユーザーのホームディレクトリを読み取れないようにするための推奨事項と基本的に同じです。

デフォルトが誰でも読み取り可能である場合、非公開にしておく予定の新しいファイルを保存する機会があります。あなたができる前に誰かがそれをコピーする可能性は常にありますchmod go-r それ。

基本的には、コア開発者の選択にほかなりません。どうして？デフォルトでは、/rootの誰にとってもほとんど何の価値もないはずです。一般的なものについては、誰もrootユーザーとしてログインするべきではありません。

たとえば、FreeBSDでは誰でも/rootを読むことができます。セキュリティ上の理由で/root内の一部のファイルを読み取ることができませんが、lsを使用してそれらのファイルが存在することを「確認」できます（読み取ることができないだけです）。たとえば、.historyは-rw-------に設定されていますが、.loginは-rw-r--r--に設定されています。

FreeBSDのLinuxに対するセキュリティに対するアプローチは少し異なります。歴史的にFreeBSDはサーバー用であり、デスクトップとして実行することはできますが、サーバーとしては（デフォルトで）本当に優れています。

個人的に、私はこの設定で何も問題がないと思います（/rootを読むことができます）。

FreeBSDの/rootには、実際には構成を除いてほとんど何もありません。メールは実際のユーザーに転送する必要があります。 rootユーザーとしてログインする必要はありません。アカウントは、ソフトウェアのインストールと構成、およびメンテナンスタスクにのみ使用してください。 FreeBSDでは、いくつかのセキュリティ上重要なファイル（.historyなど）以外に、/rootに隠すべきものは何もありません。

これについてもっと読むには、 セキュリティに関するFreeBSDハンドブックのセクション を試してください。クイックスキャンで/rootを読みやすくする選択は何もありませんでしたが、そこには多くの情報があります。

~rootが書き込み可能である場合、すべてのユーザーが自分のSSHキーを~root/.ssh/authorized_keysに追加し、ssh root@some-Hostを介してrootアクセス権を持つことができます。

~rootが「単に」読み取り可能な場合でも、rootユーザーの.bash_historyファイルにアクセスできます。このファイルには、コマンドラインで入力されたパスワードまたはその他の資格情報が含まれている可能性があります。または、コマンドプロンプトに誤って入力または貼り付けた。

確かに、コマンドラインで安全なデータを渡すことは想定されていませんが、その警告は機内で捕まえるのがきわどいため、一般に低リスクとして扱われ、他のユーザーはとにかく環境変数を読み取ることができないはずです。 rootの.bash_historyファイルにアクセスできる場合、rootが誤って入力したかどうかに関係なく、機密データにアクセスできます。

確かに、これらの問題には軽減策があります。たとえば、鍵認証を使用しても、rootがSSHにログインすることを許可しないなどです。または、シェルの履歴を無効にします。またはそれを片付けることについて熱心にしています。しかし、これらはmitigations;です。彼らはセキュリティ玉ねぎの層です。

~rootを0700にすることは、そのセキュリティオニオンの別のレイヤーです。泣きたくないなら、玉ねぎは皮をむいてはいけません。

おそらく、不注意な管理者が簡単に解読できるパスワードを検索し、出力をそのままにしておきます（これは正しい呼び出しではないかもしれませんが、アイデアはわかります）。

# john-the-ripper /etc/shadow > ~/cracked-passwords.txt