Neden / media / username root için varsayılan izinler: root?


20

Ben izinlerini uğraştık /media/usernamegelen root:rootetmek username:root[1]. Kullanıcı merkezli bir konumun kullanıcı merkezli izinlere izin verdiğini biliyorum [2].

Fakat neden bu klasörün izinleri root:rootilk sırada?


[1] Böylece Gnome EncFS Yöneticisi ile orada şifreli klasörleri monte edebilirsiniz . Örneğin, şimdi şifreli bir klasörü olarak bağlayabilirim /media/username/personal-documents.

[2] Neden Ubuntu varsayılan montaj noktalarını taşıdı? :

Udisks2'de bu varsayılan davranış değişikliğinin kök nedeni açık görünüyor: güvenlik. Bir dosya sistemine erişimi, sistemin tüm kullanıcılarına erişim vermek yerine, belirli bir kullanıcı ile sınırlandırmak daha güvenlidir.


Montaj genellikle kök erişimini içerir. (Yaptığınız gibi) izinleri değiştirebilirsiniz. Ancak bu hiçbir şekilde Linux'ta "varsayılan" bir davranış haline gelemez. Herhangi bir kullanıcı (yönetici değil) sizin gibi takılabiliyorsa ne olacağını hayal edin. Bu tam bir kaos olacak. :)
rbaleksandar

Yanıtlar:


20

Benim durumumda bu işler böyle görünüyor /media:

$ ls -l /media | grep $USER
drwxr-x---+  3 root root 4096 Jan 22 15:59 oli

Temel olarak bu, yalnızca bir kök kullanıcının dizinle etkileşime girebileceği anlamına gelir. Bu, güvenlik açısından harika (kesinlikle diğer kullanıcıların görmesini engeller, verileri çalmak / silmekten / silmekten bağımsız olarak durur) ancak hikayenin bittiği yer burası değildir.

İzin maskesinin sonunda artı işaretini görebilirsiniz. Bu, bir ACL'nin (Erişim Kontrol Listesi) kullanımda olduğu anlamına gelir. Bu çok daha ayrıntılı izinlere izin verir.

$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---

Bu, kullanıcının içeriğini görmesine izin verilen ACL aracılığıyla /media/oli. İçeriği düzenlememe hala izin verilmiyor.

Modern masaüstlerinde montajı yapan şey (hem Gnome hem de KDE) udisks2:

root      2882  0.3  0.0 195956  4048 ?        Sl   Jan16  30:35 /usr/lib/udisks/udisks-daemon
root      2887  0.0  0.0  47844   784 ?        S    Jan16   0:00 udisks-daemon: not polling any devices
root      3386  0.0  0.0 429148  6980 ?        Sl   Jan16   7:35 /usr/lib/udisks2/udisksd --no-debug

Gördüğünüz gibi, orada kök olarak çalışıyor, bu yüzden bir şey DBUS üzerinden erişildiğinde, / home / $ USER içinde bağlanma noktaları oluşturabilir ve içeriği düzenleyebilmeleri için bunları kullanıcılarınıza böler.

Bunların hiçbiri başlangıçta söylediklerimi değiştirmedi. Sadece pratikte nasıl çalıştığını açıklıyorum. Bu, masaüstünüzdeki bir şeyin etkin olması için yalnızca root tarafından izin verilen bir yere yazma izni verilmesine ve başka türlü kısıtlayıcı sahipliğe rağmen kullanıcılarınızın onu okumasına izin verilmiş olmasıdır.

Kullanıcının verilerine ancak kullanıcı için de zor hale getirir biri için güvenli bir ortam haline döner Bütün karışmak monte dokusuna sahip. Örneğin, bağlantı noktasını silemez veya kök erişimi olmadıkça sorunlara neden olabilecek şekilde yeniden adlandıramazlar.

Düzenleme : Başıma gelen bir şey, yöneticiye, tek bir kullanıcı için bir şeyler yerleştirmek için iyi bir yer vermesidir. Varsayılan olarak izinler bu montajın gizli kalmasına ve bu montajın kullanıcının karışmasına karşı korunmasına yardımcı olur. /media/$user/Dizin olmadan yapılan , kök izinlerine ihtiyaç duyan bir şey için oldukça mantıklı bir varsayılan gibi görünüyor .


2

Buna ek olarak diğer cevapları ve yorumları kabul ediyorum

root:rootbaşlıca iki durumdan kaçınmak için.
1. Güvenlik riski: / dev / zero 'yu / media / user dizinine / root bölümünü dolduran ve bu yüzden giriş yapamayan veya performansı düşük olan bir bilgisayar korsanı.
2. Udisk2 ile çakışma: Etiket yedeklemeli bir bölüm alın . Udisks @ / media / user / backup komutunu bağlar. kullanıcı, udisk'i bağlama noktasını / media / user / backup1 gibi bir şeye değiştirmeye zorlayan ve böylece yedekleme komut dosyaları vb. ile yanlış yönlendirilen yukarıdaki dizini elle yarattı.


2

Genel olarak Linux (ve * nix) zihniyeti, Least amount of necessary privileges.

Genellikle modern Desktop Environmentscihazlarınızı altına monte eder /media/username/devicepartitionname. Bu, cihazın kullanılabilir olması için yalnızca devicepartitionnameklasöre ve altındaki herhangi bir şeye sahip olmanız gerektiği anlamına gelir . Bu, klasörünüzün /media/usernamehala sahip olabileceği rootve daha güvenli hale getireceği anlamına gelir .

Ayrıca, herhangi /media/usernamebir şeyi üzerine monte etmek kötü bir fikirdir, çünkü bu DEbir bölümü bir başka bölüme yerleştirilmiş bir bölüme bir klasöre monte etmeye çalışmanıza neden olacaktır, bu da çok fazla !! FUN !! (ayrıca olası veri kaybı).


basit ama basit olmayan bir cevap için teşekkür ederim ... GnomeEncFS'nin /media/username/someplacedeğil, /media/usernameözellikle kök tarafından sahiplenilmesi gerektiğini söylemiştiniz , benim durumumdan root:usernamedaha iyi olacağını söylemiştiniz. username:rootya da ikisi de aynı güvenlik sorununu ortaya koyuyor mu? (bu soruyu neden zaten yapmak zorunda olduğumla ilgili soruya bakın askubuntu.com/questions/392063/… )
david.libremone

@ d3vid: İkinci durumda, varsayılan izninizi değiştirmemiş olsaydınız, normal kullanıcınız /media/userilk durumdan biraz daha iyi olan (750 olduğu gibi) yazamazdı. Montaj gelince: tarihsel olarak /mntve onun alt klasörleri, herhangi bir şeyin varsayılan bağlama noktası olarak kabul edilir /media, yalnızca ek olarak, yalnızca işlerin nasıl yürüdüğünü anlamadan bir linux kutusu kullanmak isteyenlerin anlayabilmesi için eklendi. garip klasörler ve ne değil /.
Wolfer

@ d3vid: Güvenlik endişesine gelince: yazma erişimi ve yürütme erişimine sahip olduğunuz klasörlerin bir hacker / kraker tarafından kullanılabildiği ve onu rooterişmek için kullanabilecekleri ikili dosyaları yüklemek için çağırmak istediğiniz her neyse kullanabileceği içindir . senin kutun (Buna ayrıcalık yükselmesi denir.) Sisteminizi kasıtlı olarak daha güvensiz hale getirmemenize rağmen, aynı şeye izin veren varsayılan yerler vardır (ve daha belirsizdir ve bu nedenle bilgisayar korsanlarının etkinliğinin bulunma olasılığını azaltır). Dolayısıyla bu durumda "güvenlik endişesi" kurulumunuza bağlı olarak göz ardı edilebilir.
Wolfer

1
@Wolfer - Yanıtınızı, hakaret edici bir dil içermeyen bir versiyonuna geri döndürdüm. Q & A'yı olabildiğince temiz tutmaya çalışalım ve herhangi bir suç oluşturmamaya çalışalım. Teşekkürler.
fossfreedom
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.