Neden / media / username root için varsayılan izinler: root?

Ben izinlerini uğraştık /media/usernamegelen root:rootetmek username:root[1]. Kullanıcı merkezli bir konumun kullanıcı merkezli izinlere izin verdiğini biliyorum [2].

Fakat neden bu klasörün izinleri root:rootilk sırada?

[1] Böylece Gnome EncFS Yöneticisi ile orada şifreli klasörleri monte edebilirsiniz . Örneğin, şimdi şifreli bir klasörü olarak bağlayabilirim /media/username/personal-documents.

[2] Neden Ubuntu varsayılan montaj noktalarını taşıdı? :

Udisks2'de bu varsayılan davranış değişikliğinin kök nedeni açık görünüyor: güvenlik. Bir dosya sistemine erişimi, sistemin tüm kullanıcılarına erişim vermek yerine, belirli bir kullanıcı ile sınırlandırmak daha güvenlidir.

Benim durumumda bu işler böyle görünüyor /media:

$ ls -l /media | grep $USER
drwxr-x---+  3 root root 4096 Jan 22 15:59 oli

Temel olarak bu, yalnızca bir kök kullanıcının dizinle etkileşime girebileceği anlamına gelir. Bu, güvenlik açısından harika (kesinlikle diğer kullanıcıların görmesini engeller, verileri çalmak / silmekten / silmekten bağımsız olarak durur) ancak hikayenin bittiği yer burası değildir.

İzin maskesinin sonunda artı işaretini görebilirsiniz. Bu, bir ACL'nin (Erişim Kontrol Listesi) kullanımda olduğu anlamına gelir. Bu çok daha ayrıntılı izinlere izin verir.

$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---

Bu, kullanıcının içeriğini görmesine izin verilen ACL aracılığıyla /media/oli. İçeriği düzenlememe hala izin verilmiyor.

Modern masaüstlerinde montajı yapan şey (hem Gnome hem de KDE) udisks2:

root      2882  0.3  0.0 195956  4048 ?        Sl   Jan16  30:35 /usr/lib/udisks/udisks-daemon
root      2887  0.0  0.0  47844   784 ?        S    Jan16   0:00 udisks-daemon: not polling any devices
root      3386  0.0  0.0 429148  6980 ?        Sl   Jan16   7:35 /usr/lib/udisks2/udisksd --no-debug

Gördüğünüz gibi, orada kök olarak çalışıyor, bu yüzden bir şey DBUS üzerinden erişildiğinde, / home / $ USER içinde bağlanma noktaları oluşturabilir ve içeriği düzenleyebilmeleri için bunları kullanıcılarınıza böler.

Bunların hiçbiri başlangıçta söylediklerimi değiştirmedi. Sadece pratikte nasıl çalıştığını açıklıyorum. Bu, masaüstünüzdeki bir şeyin etkin olması için yalnızca root tarafından izin verilen bir yere yazma izni verilmesine ve başka türlü kısıtlayıcı sahipliğe rağmen kullanıcılarınızın onu okumasına izin verilmiş olmasıdır.

Kullanıcının verilerine ancak kullanıcı için de zor hale getirir biri için güvenli bir ortam haline döner Bütün karışmak monte dokusuna sahip. Örneğin, bağlantı noktasını silemez veya kök erişimi olmadıkça sorunlara neden olabilecek şekilde yeniden adlandıramazlar.

Düzenleme : Başıma gelen bir şey, yöneticiye, tek bir kullanıcı için bir şeyler yerleştirmek için iyi bir yer vermesidir. Varsayılan olarak izinler bu montajın gizli kalmasına ve bu montajın kullanıcının karışmasına karşı korunmasına yardımcı olur. /media/$user/Dizin olmadan yapılan , kök izinlerine ihtiyaç duyan bir şey için oldukça mantıklı bir varsayılan gibi görünüyor .

Buna ek olarak diğer cevapları ve yorumları kabul ediyorum

root:rootbaşlıca iki durumdan kaçınmak için.
1. Güvenlik riski: / dev / zero 'yu / media / user dizinine / root bölümünü dolduran ve bu yüzden giriş yapamayan veya performansı düşük olan bir bilgisayar korsanı.
2. Udisk2 ile çakışma: Etiket yedeklemeli bir bölüm alın . Udisks @ / media / user / backup komutunu bağlar. kullanıcı, udisk'i bağlama noktasını / media / user / backup1 gibi bir şeye değiştirmeye zorlayan ve böylece yedekleme komut dosyaları vb. ile yanlış yönlendirilen yukarıdaki dizini elle yarattı.

Genel olarak Linux (ve * nix) zihniyeti, Least amount of necessary privileges.

Genellikle modern Desktop Environmentscihazlarınızı altına monte eder /media/username/devicepartitionname. Bu, cihazın kullanılabilir olması için yalnızca devicepartitionnameklasöre ve altındaki herhangi bir şeye sahip olmanız gerektiği anlamına gelir . Bu, klasörünüzün /media/usernamehala sahip olabileceği rootve daha güvenli hale getireceği anlamına gelir .

Ayrıca, herhangi /media/usernamebir şeyi üzerine monte etmek kötü bir fikirdir, çünkü bu DEbir bölümü bir başka bölüme yerleştirilmiş bir bölüme bir klasöre monte etmeye çalışmanıza neden olacaktır, bu da çok fazla !! FUN !! (ayrıca olası veri kaybı).