создание системы, в которой был добавлен только 1 новый пользователь, и ему были предоставлены привилегии root (администратора).
мы хотим сохранить пользовательские файлы в домашней директории пользователя в безопасности, что означает, что никакой другой пользователь (кроме root) не сможет получить доступ к файлам \ каталогам.
это можно сделать с помощью umask , но umask устанавливает разрешение globaly для файловой системы, а не только для домашнего каталога пользователя.
мы хотели бы сохранить стандартные разрешения для файлов и каталогов вне домашней директории пользователя, поскольку пользователь используется для администрирования и установки исполняемых файлов вне домашней директории пользователя, чтобы его мог использовать другой пользователь.
Не могли бы вы порекомендовать, какая наилучшая часть для достижения вышеуказанного?
tl; dr: как укрепить права доступа к корневому (администраторскому) файлу и каталогу, оставляя при этом другим доступным общие исполняемые файлы, установленные root пользователь.
Посмотрите DIR_MODE
в /etc/adduser.conf
# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
DIR_MODE=0755
То, что Вы хотите, 0700, и никому больше не разрешат ввести каталоги, созданные в/home/$USER/за исключением $USER и корня.
Дополнительный: существует также
/etc/pam.d/common-session
Посмотрите...
# The pam_umask module will set the umask according to the system default in
# /etc/login.defs and user settings, solving the problem of different
# umask settings with different shells, display managers, remote sessions etc.
# See "man pam_umask".
добавление
session optional pam_mkhomedir.so to session optional pam_mkhomedir.so umask=0077
Делает то же (umask, инвертируется к chmod так 0077 для chmod 0700),