Właśnie dodałem nowego, nieuprzywilejowanego „użytkownika pulpitu” i zdziwiłem się, widząc, że widzi pliki w moim folderze domowym.
Jakie są racjonalne założenia takich swobodnych uprawnień?
permissions
users
default
privacy
ændrük
źródło
źródło
Odpowiedzi:
W
Public
katalogu głównym (/home/user
) istnieje folder do udostępniania plików innym użytkownikom. Jeśli inny użytkownik chce uzyskać dostęp do tegoPublic
folderu, bit wykonawczy dla świata powinien być ustawiony w katalogu głównym.Jeśli nie musisz zezwalać innym na dostęp do twojego folderu domowego (inni ludzie lub użytkownicy, jak
www-data
na serwer WWW), nic ci nie będziechmod o-rwx "$HOME"
(usuń odczyt / zapis / uruchom z „innego”, co jest równoważne,chmod 750 "$HOME"
ponieważ domyślnym zezwoleniem jest 750 ). W przeciwnym razie należy również zmienić toumask
ustawienie, aby nowo utworzone pliki nie otrzymywały domyślnie uprawnień do odczytu dla świata.W przypadku konfiguracji ogólnosystemowej edytuj
/etc/profile
; ustawienia poszczególnych użytkowników można skonfigurować w~/.profile
. Wolę te same zasady dla wszystkich użytkowników, więc zmodyfikuję/etc/profile
plik i dołączę wiersz:Musisz ponownie zalogować się, aby zastosować te zmiany, chyba że jesteś w powłoce. W takim przypadku możesz uruchomić
umask 027
w powłoce.Teraz, aby naprawić istniejące uprawnienia, musisz usunąć uprawnienia do odczytu / zapisu / wykonywania z innych:
Teraz, jeśli zdecydujesz się udostępnić
~/Public
folder wszystkim, uruchom następujące polecenia:chmod o+x ~
- zezwól wszystkim na zejście do katalogu (x
), ale nie uzyskaj listy katalogów (r
nie należy dodawać)find ~/Public -type f -exec chmod o+r {} \;
- zezwól wszystkim na odczyt plików~/Public
find ~/Public -type d -exec chmod o+rx {} \;
- pozwalają każdemu zejść do katalogów i wyświetlić ich zawartośćJeśli używasz GNU coreutils (np. Na Ubuntu, a nie tylko w systemie wbudowanym
busybox
), wówczas poprzednie dwie komendy używająfind
ichmod
mogą zostać zastąpione tym pojedynczym poleceniem, które rekurencyjnie czyni foldery i pliki czytelnymi (i dodatkowo dodaje wykonanie (schodzenie) bit tylko dla katalogów ):źródło
Według członka personelu Ubuntuforms.org ma to ułatwić udostępnianie plików nowym użytkownikom.
Możesz zmienić uprawnienie na 700 lub 750, jeśli nie chcesz, aby pliki były czytelne i mogły być wykonywane przez inne osoby.
Polecenie to:
Uwaga: Domyślnym systemem Ubuntu jest 755
źródło
Według Marka Shuttleworth ,
... od usunięcia tych uprawnień.
źródło
Możesz przeczytać sekcję Zarządzanie użytkownikami w Przewodniku po Ubuntu Server, która zawiera niezbędne informacje. Profil użytkownika Zabezpieczenia ustęp prawdopodobnie odpowiedzieć na Twoje pytania - oficjalnie.
źródło
Myślę, że odpowiedź Lekensteyna można poprawić, zastępując ostatnie dwa polecenia find chmod przy użyciu opcji -X (zwróć uwagę na duże X). Dwa polecenia znajdowania można zastąpić
chmod -R o+rX ~/Public
To odpowiednio rozróżnia pliki i katalogi, ale ma dodatkowy efekt, umożliwiając innym uruchamianie plików wykonywalnych.
źródło
Ponieważ interesuje Cię prywatność (sądząc z zastosowanych tagów), bardzo możliwe jest, że ustawienie uprawnień jest niewystarczające (patrz odpowiedź Ignis ). Odpowiedzią może być coś w rodzaju zaszyfrowanego katalogu domowego . To rozwiązanie jest specjalnie zaprojektowane przeciwko atakowi innego użytkownika komputera. Oczywiście, nie będzie w stanie powstrzymać innego użytkownika przed uszkodzeniem twoich plików (po prostu usuwając
~/.Private
katalog, a tym samym usuwając wszystkie twoje pliki), ale nie będzie w stanie zamontować katalogu i zobaczyć plików bez twojego hasła.Najłatwiejszym sposobem osiągnięcia tego jest podczas procesu instalacji, jest pole wyboru z napisem „Zaszyfruj katalog domowy” i musisz to zaznaczyć.
Ponieważ jest mało prawdopodobne, że będziesz chciał ponownie zainstalować tylko w tym celu (a ponieważ nadal niesie ze sobą wszystkie ryzyko związane z robieniem tego bez ponownej instalacji), możesz wykonać następujące czynności:
źródło
Jeśli naprawdę potrzebujesz wysokiego poziomu bezpieczeństwa: zainstaluj ponownie i upewnij się, że wybierasz opcję szyfrowania całego dysku. Będzie to wymagać hasła, aby nawet uruchomić maszynę. Możesz oczywiście zaszyfrować swój folder domowy jeszcze raz, z pewnym pogorszeniem wydajności; chociaż nie jest zauważalny przy normalnym użytkowaniu.
Pamiętaj, że szyfrowanie folderu domowego spowoduje wyłączenie aplikacji takich jak Dropbox. Dropbox nie jest bezpiecznym magazynem, który i tak szanuje prywatność, więc może to być punkt krytyczny. Jeśli jednak potrzebujesz bezpiecznego i prywatnego magazynu w chmurze, osobiście poleciłbym MEGAsync, ponieważ tylko Ty posiadasz klucze do dostępu do danych.
źródło