Почему другие пользователи могут видеть файлы в моей домашней папке?
Я просто добавил нового, неимущего "настольного пользователя", и я был удивлен обнаружить, что это видит файлы в моей домашней папке.
Каково рациональное для установки таких слабых полномочий?
7 ответов
A Public папка существует в Вашем Корневом каталоге (/home/user) для того, чтобы совместно использовать файлы с другими пользователями. Если другой пользователь хочет получить доступ к этому Public папка, выполнить бит для мира должен быть установлен на Корневом каталоге.
Если Вы не должны позволять другим получать доступ к своей домашней папке (другие люди или пользователи как www-data для веб-сервера), Вы согласитесь с chmod o-rwx "$HOME" (удалите, читал/писал/выполнял из "другого", эквивалентного chmod 750 "$HOME" так как разрешение по умолчанию 750). Иначе необходимо измениться umask установка также, чтобы препятствовать тому, чтобы недавно созданные файлы получили прочитанные полномочия для мира по умолчанию.
Для конфигурации в масштабе всей системы, редактирования /etc/profile; настройки в расчете на пользователя могут быть настроены в ~/.profile. Я предпочитаю ту же политику для всех пользователей, таким образом, я отредактировал бы /etc/profile файл и добавляет строку:
umask 027
Необходимо повторно войти в систему для применения этих изменений, если Вы не находитесь в оболочке. В этом случае можно работать umask 027 в оболочке.
Теперь для фиксации существующих полномочий необходимо удалить считать/писать/выполнить полномочия из другого:
chmod -R o-rwx ~
Теперь, если Вы решаете совместно использовать ~/Public папка всем, выполняет следующие команды:
chmod o+x ~- позвольте всем убывать в каталоге (x), но не получают список каталогов (rне должен быть добавлен),find ~/Public -type f -exec chmod o+r {} \;- позвольте всем читать файлы в~/Publicfind ~/Public -type d -exec chmod o+rx {} \;- позвольте всем убывать в каталоги и перечислять их содержание
Если Вы - использование GNU coreutils (например, на Ubuntu, не во встроенной системе, имеющей только busybox), затем предыдущие два использования команд find и chmod может быть заменен этой единственной командой, которая рекурсивно делает папки и файлы читаемыми (и дополнительно добавляет выполнить бит (убывания) только для каталогов):
chmod -R o+rX ~/Public
По словам сотрудника Ubuntuforms.org, это должно помочь совместно использовать файлы между новыми пользователями.
Можно изменить разрешение или на 700 или на 750, если Вы не хотите файлы, читаемые и исполняемые другими.
Команда:
chmod 750 $HOME
Примечание: Значение по умолчанию Ubuntu 755
Можно считать раздел User Management Серверного руководства Ubuntu, которое касается необходимых деталей. Абзац безопасности Профиля пользователя, вероятно, ответит на Ваши вопросы - официально.
Я думаю, что ответ Lekensteyn может быть улучшен путем замены последних двух, находят команды с chmod, использующим-X, опция (отметьте капитал X). Эти два находят, что команды могут быть заменены
chmod -R o+rX ~/Public
Это дифференцируется соответственно между файлами и каталогами, но действительно имеет дополнительный эффект разрешения другим выполнить исполняемые файлы.
"Большинство пользователей систем Ubuntu любой имеет эксклюзивное использование машины (персональный ноутбук) или совместно использует с друзьями и родственниками. Мы предполагаем, что людям, которые совместно используют машину, или доверяют, или имеющий возможность взлом машина (начальная загрузка от USB!) тривиально. В результате нет мало ни к какому преимуществу"
... от удаления тех полномочий.
Так как это - конфиденциальность, которая интересует Вас (судящий по тегам, которые были применены), очень возможно, что установка полномочий недостаточна (см. ответ ignis). Ответ может быть чем-то вроде зашифрованного корневого каталога. Это решение специально предназначено против нападения другого пользователя компьютера. Это будет, конечно, не мочь мешать другому пользователю повредить Ваши файлы (путем простого удаления ~/.Private каталог, таким образом стирая все Ваши файлы), но они будут не мочь смонтировать каталог и видеть файлы без Вашего пароля.
Самый легкий способ достигнуть, который является во время процесса установки, существует флажок, указывание "Шифрует Ваш корневой каталог", и необходимо выбрать это.
Так как маловероятно, что Вы захотите переустановить только для того (и потому что это все еще несет все риски, которые вызваны с выполнением, это без переустанавливает), можно сделать следующее:
sudo apt-get install encryptfs-utils
encryptfs-migrate-home
Если Вам действительно нужен высокий уровень безопасности: переустановите и удостоверьтесь, что выбрали опцию зашифровать Ваш весь диск. Это потребует, чтобы пароль даже запустил машину. Можно, конечно, также зашифровать домашнюю папку еще раз сверху этого с некоторым снижением производительности; хотя не примечательный для нормальной эксплуатации.
Отметьте, то шифрование Вашей домашней папки отключит приложения как Dropbox. Dropbox не является безопасным устройством хранения данных, которое относится с уважением к конфиденциальности так или иначе, так, чтобы могла быть банальная точка. Однако, если бы Вы действительно должны защитить и частное устройство хранения данных в облаке, я лично рекомендовал бы MEGAsync с тех пор, только у Вас были бы ключи для доступа к данным.