/ media / kullanıcı adı kökü için varsayılan izinler neden: root?

19

/media/username adresindeki izinleri root:root ile username:root [1] arasında değiştirdim. Kullanıcı odaklı bir konumun kullanıcı merkezli izinlere izin verdiğini anlıyorum [2].

Ancak bu klasör için izinler neden ilk etapta root:root ?

[1] Böylece, Gnome EncFS Yöneticisi ile şifrelenmiş klasörleri buraya yapıştırın. Örneğin, şimdi şifrelenmiş bir klasörü /media/username/personal-documents olarak yükleyebilirim.

[2] Neden Ubuntu varsayılan bağlama noktalarını taşıdı? :

  

udisks2'deki bu varsayılan davranış değişikliği için temel neden açık: güvenlik. Sistemin tüm kullanıcılarına erişim sağlamak yerine, bir dosya sistemine erişimi belirli bir kullanıcıya kısıtlamak daha güvenlidir.

    
sordu d3vid 17.12.2013 17:26

3 cevap

18

Benim durumumda, işlerin /media 'sinde nasıl göründüğü:

$ ls -l /media | grep $USER
drwxr-x---+  3 root root 4096 Jan 22 15:59 oli

Temel olarak bu, yalnızca bir kök kullanıcının dizinle etkileşimde bulunabileceği anlamına gelir. Bu, güvenlik için mükemmeldir (kesinlikle diğer kullanıcıların gördüğü, çaldığı / çaldığı / değiştirdiği verileri görmeyi keser) fakat hikayenin bittiği yer bu değildir.

İzin maskesinin sonundaki artı işaretini görebilirsiniz. Bu, bir ACL (Erişim Kontrol Listesi) kullanımda olduğu anlamına gelir. Bu, çok daha ayrıntılı izinlere izin verir.

$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---

Kullanıcımın, /media/oli içeriğini görüntülemesine izin verdiği ACL aracılığıyla. İçeriği düzenlemeye hala izin verilmiyor.

Modern masaüstlerindeki montajı yapan şey (hem Gnome hem de KDE) udisks2 :

root      2882  0.3  0.0 195956  4048 ?        Sl   Jan16  30:35 /usr/lib/udisks/udisks-daemon
root      2887  0.0  0.0  47844   784 ?        S    Jan16   0:00 udisks-daemon: not polling any devices
root      3386  0.0  0.0 429148  6980 ?        Sl   Jan16   7:35 /usr/lib/udisks2/udisksd --no-debug

Gördüğünüz gibi, orada root olarak çalışmaktadır, böylece bir şey DBUS üzerinden eriştiğinde, / home / $ USER içindeki bağlama noktalarını oluşturabilir ve içeriği düzenleyebilmeleri için bunları kullanıcılarınıza indirebilir.

Hiçbiri başlangıçta söylediğim şeyi değiştirmez. Sadece pratikte nasıl çalıştığını açıklıyorum. Bu, masaüstünüzdeki bir şeyin, yalnızca root tarafından izin verilen bir yere yazılmasına ve kullanıcının başka bir kısıtlayıcı sahipliğe rağmen nasıl okunmasına izin verildiğini gösterir.

Tümü, kullanıcının verileri için güvenli olan bir ortama dönüştürür, ancak kullanıcı için de, montajın kumaşı ile meddle 'i zorlaştırır. Örneğin, bağlantı noktasını silemez veya root erişimine sahip olmadıkça sorunlara neden olabilecek şekilde yeniden adlandıramazlar.

Düzenle : Bana yeni gelen bir şey, yöneticiye aynı zamanda tek bir kullanıcı için bir şeyler yerleştirmek için iyi bir yer vermesidir. varsayılan olarak izinleri, bu bağlantıyı gizli tutmaya ve bu bağlantıyı kullanıcının karışmasına karşı korumaya yardımcı olur. % Co_de% dizini olmadan yapılan, root izinlerine ihtiyaç duyan bir şey için oldukça uygun bir varsayılan gibi görünüyor.

    
verilen cevap Oli 22.01.2014 17:26
2

Buna ek olarak diğer cevap ve yorumları kabul ediyorum

Ağırlıklı olarak iki durumdan kaçınmak için

root:root . 1. Güvenlik riski: Kök bölümleri dolduran ve dolayısıyla oturum açma veya kötü performans gösteremeyen / dev / zero / media / user / dizini kullanan bir korsan betiği. 2. udisk2 ile çakışma: yedek etiketli bir bölüm varsayalım. Udisk'ler bunu @ / media / user / backup'a bağlar. kullanıcı udisk'i / media / user / backup1 gibi bir noktaya mount noktasını değiştirmeye zorlayacak ve böylece yedekleme komut dosyaları tarafından yanlış yönlendirilecek olan yukarıdaki dizini el ile oluşturdu.

    
verilen cevap Prinz 23.01.2014 06:11
2

Linux (ve * nix) zihniyeti genel olarak Least amount of necessary privileges.

ilkesine dayanmaktadır.

Genellikle modern Desktop Environments , cihazlarınızı /media/username/devicepartitionname altına monte eder. Bu, aygıtın kullanılabilir olması için yalnızca devicepartitionname klasörüne ve altındaki herhangi bir şeye sahip olmanız gerektiği anlamına gelir. Bu, /media/username klasörünüzün root adlı kullanıcıya ait olabileceği anlamına gelir ve bu da onu daha güvenli hale getirir.

Ayrıca /media/username 'ye bir şey eklemek de kötü bir fikirdir, çünkü bu DE ' niz bir parçayı bir başka bağlı bölümdeki bir klasöre yerleştirmeyi deneyecektir, bu da !!FUN !! (ayrıca olası veri kaybı).

    
verilen cevap Wolfer 16.01.2014 19:21

Etiketlerdeki diğer soruları oku