Какие разрешения будут меняться, если я изменю umask на 027 с 022?
Я только начал использовать Lynis (lynis - это программное обеспечение, пожалуйста, не думайте, что у меня есть опечатанный linux). После его запуска мне предложили установить umask в /etc/login.defs и / etc / init .d / rc до 027, чем значение по умолчанию 022.
Я хочу знать, какие изменения будут внесены в разрешения на файл. Также почему значение хранится в двух файлах?
Для получения дополнительной информации, если необходимо, я использую Ubuntu 12.10, и я единственный пользователь системы.
1 ответ
Маска режима
Чтобы указать ArchWiki:
Утилита umask используется для управления маской режима создания файла, которая определяет начальное значение бит разрешения файла для вновь созданного файлы.бит режима
Три восьмеричные номера соответствуют разрешениям для пользователя, группы и других. Изменив третье число от 2 до 7, другое разрешение будет изменено.
Чтобы понять эти числа, напишите их в двоичной форме, и каждый бит соответствует одному из других , писать и выполнять. Короче говоря, 2 соответствует записи; 7 соответствует чтению, записи и исполнению. Каталоги - это разные способы чтения, чтобы получить список элементов (файлов и каталогов) в каталоге, а execute означает доступ к этим элементам при условии, что их имена известны.
как маскируется
Чтобы быть точным, маски режима определяют, какие разрешения маскируются или удаляются из вновь созданных файлов по умолчанию. Таким образом, значение маски 2 означает, что файлы недоступны для записи; 7 означает удаление всех разрешений. Обратите внимание, что даже если некоторые разрешения не удаляются маской режима, они могут быть недоступны из-за других ограничений. Например, Linux не разрешает создавать файлы с разрешениями на выполнение, поэтому они никогда не будут исполняться по умолчанию.
Разумное значение
Итак, чтобы ответить на первый вопрос: 022 означает write разрешение маскируется для других, поэтому файлы по умолчанию могут быть прочитаны, но не записаны или изменены другими. Хотя выполнить разрешение не замаскировано, другие не смогут выполнять файлы из-за ограничений, упомянутых выше; однако они могут иметь доступ к элементам с каталогами. Измените его на 027, а чтение и записать также замаскированы. Таким образом, вновь созданные файлы и каталоги хранятся отдельно от других; элементы во вновь созданных каталогах всегда будут недоступны для других.
Во многих случаях есть только один пользователь . Однако, как правило, несколько пользователей системы используют для запуска служб, таких как nobody. В некоторых редких случаях, например, когда программа работает, когда никто не получает компрометацию, ограничительные разрешения могут препятствовать чтению конфиденциальных данных.
Однако в многопользовательской среде совместное использование файла становится более сложным: в Помимо установки разрешений на файл, по крайней мере разрешение на выполнение должно быть установлено во всех родительских каталогах.
Установка значения
Как и во втором вопросе, маска режима должна быть установлена только один раз. Если он установлен несколько раз, последнее имеет значение. Большинство дистрибутивов задают маску режима по умолчанию в /etc/profile, поэтому я предлагаю отредактировать этот файл.