/ media / kullanıcı adı kökü için varsayılan izinler neden: root?

Benim durumumda, işlerin /media 'sinde nasıl göründüğü:

$ ls -l /media | grep $USER
drwxr-x---+  3 root root 4096 Jan 22 15:59 oli

Temel olarak bu, yalnızca bir kök kullanıcının dizinle etkileşimde bulunabileceği anlamına gelir. Bu, güvenlik için mükemmeldir (kesinlikle diğer kullanıcıların gördüğü, çaldığı / çaldığı / değiştirdiği verileri görmeyi keser) fakat hikayenin bittiği yer bu değildir.

İzin maskesinin sonundaki artı işaretini görebilirsiniz. Bu, bir ACL (Erişim Kontrol Listesi) kullanımda olduğu anlamına gelir. Bu, çok daha ayrıntılı izinlere izin verir.

$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---

Kullanıcımın, /media/oli içeriğini görüntülemesine izin verdiği ACL aracılığıyla. İçeriği düzenlemeye hala izin verilmiyor.

Modern masaüstlerindeki montajı yapan şey (hem Gnome hem de KDE) udisks2 :

root      2882  0.3  0.0 195956  4048 ?        Sl   Jan16  30:35 /usr/lib/udisks/udisks-daemon
root      2887  0.0  0.0  47844   784 ?        S    Jan16   0:00 udisks-daemon: not polling any devices
root      3386  0.0  0.0 429148  6980 ?        Sl   Jan16   7:35 /usr/lib/udisks2/udisksd --no-debug

Gördüğünüz gibi, orada root olarak çalışmaktadır, böylece bir şey DBUS üzerinden eriştiğinde, / home / $ USER içindeki bağlama noktalarını oluşturabilir ve içeriği düzenleyebilmeleri için bunları kullanıcılarınıza indirebilir.

Hiçbiri başlangıçta söylediğim şeyi değiştirmez. Sadece pratikte nasıl çalıştığını açıklıyorum. Bu, masaüstünüzdeki bir şeyin, yalnızca root tarafından izin verilen bir yere yazılmasına ve kullanıcının başka bir kısıtlayıcı sahipliğe rağmen nasıl okunmasına izin verildiğini gösterir.

Tümü, kullanıcının verileri için güvenli olan bir ortama dönüştürür, ancak kullanıcı için de, montajın kumaşı ile meddle 'i zorlaştırır. Örneğin, bağlantı noktasını silemez veya root erişimine sahip olmadıkça sorunlara neden olabilecek şekilde yeniden adlandıramazlar.

Düzenle : Bana yeni gelen bir şey, yöneticiye aynı zamanda tek bir kullanıcı için bir şeyler yerleştirmek için iyi bir yer vermesidir. varsayılan olarak izinleri, bu bağlantıyı gizli tutmaya ve bu bağlantıyı kullanıcının karışmasına karşı korumaya yardımcı olur. % Co_de% dizini olmadan yapılan, root izinlerine ihtiyaç duyan bir şey için oldukça uygun bir varsayılan gibi görünüyor.

Buna ek olarak diğer cevap ve yorumları kabul ediyorum

root:root . 1. Güvenlik riski: Kök bölümleri dolduran ve dolayısıyla oturum açma veya kötü performans gösteremeyen / dev / zero / media / user / dizini kullanan bir korsan betiği. 2. udisk2 ile çakışma: yedek etiketli bir bölüm varsayalım. Udisk'ler bunu @ / media / user / backup'a bağlar. kullanıcı udisk'i / media / user / backup1 gibi bir noktaya mount noktasını değiştirmeye zorlayacak ve böylece yedekleme komut dosyaları tarafından yanlış yönlendirilecek olan yukarıdaki dizini el ile oluşturdu.

Linux (ve * nix) zihniyeti genel olarak Least amount of necessary privileges.

Genellikle modern Desktop Environments , cihazlarınızı /media/username/devicepartitionname altına monte eder. Bu, aygıtın kullanılabilir olması için yalnızca devicepartitionname klasörüne ve altındaki herhangi bir şeye sahip olmanız gerektiği anlamına gelir. Bu, /media/username klasörünüzün root adlı kullanıcıya ait olabileceği anlamına gelir ve bu da onu daha güvenli hale getirir.

Ayrıca /media/username 'ye bir şey eklemek de kötü bir fikirdir, çünkü bu DE ' niz bir parçayı bir başka bağlı bölümdeki bir klasöre yerleştirmeyi deneyecektir, bu da !!FUN !! (ayrıca olası veri kaybı).