Chủ sở hữu mặc định / quyền của tệp trong thư mục nhà người dùng

14

Tôi thường thấy những người dùng cố gắng khắc phục sự cố và ở đâu đó đọc hoặc chỉ cố gắng đệ quy chownthư mục chính của họ và đôi khi còn đặt lại quyền truy cập đệ quy thành một cái gì đó rwxr-xr-xtương tự hoặc tương tự.

Hãy tưởng tượng một cuộc thảm sát chủ sở hữu / quyền như vậy - có tập tin / thư mục quan trọng nào cần quyền đặc biệt hoặc được sở hữu root để hệ thống hoạt động không?

permissions  home-directory 
Chỉ huy Byte
nguồn
1
Wat tập tin bạn đang nói về? Tại sao các tệp quan trọng thuộc sở hữu của root sẽ ở trong nhà người dùng?
mikewhthing 11/9/2015
1
@mikewhthing Tôi biết ít nhất ba thư mục cần được sở hữu bởi root : ~/.gvfs/, ~/.cache/gvfs-burn/~/.cache/dconf. Có lẽ có nhiều hơn.
Chỉ huy Byte
1
drwx------ 2 romano romano 4096 dic 2 2008 .gvfsvà không bao giờ có bất kỳ vấn đề .... (xem ngày). Ngoài radrwx------ 2 romano romano 4096 abr 28 14:57 .cache/dconf
Rmano
3
Không có tệp "quan trọng" nào trong thư mục nhà của người dùng, nếu có thì đó là kết quả của một chương trình rất tệ, vì người dùng có thể xóa chúng trên mục đích / do nhầm lẫn trong nháy mắt. Trừ khi đó là một sai lầm, các tệp "quan trọng" được lưu trữ ở nơi khác.
kos
FWIW, tôi có thể xác nhận rằng ~ / .gvfs và ~ / .cache / dconf trên hệ thống của tôi đều thuộc sở hữu của root. Tôi đã chạy "sudo ls -Al" trên cả hai thư mục và cả hai đều trống. Mặc dù tôi đã thay đổi nhóm và các quyền khác cho tài liệu, tôi chưa bao giờ chạy chown. Vì vậy, quyền sở hữu root cho hai thư mục này có thể là bình thường, ít nhất là đối với Ubuntu 15.04. Ngoài ra, tôi không có thư mục ~ / .cache / gvfs-burn hoặc thư mục ipc-admin được đề cập bởi Byte Commander thuộc sở hữu gốc. Nhưng, tệp có tên alpha-alpha trong ~ / .dbus / session-bus thuộc sở hữu của tôi, không phải root.
dùng173876

Câu trả lời:

17

KHÔNG có tập tin trong ~phải được sở hữu bởi root.

Nếu một phần mềm yêu cầu một tệp trong thư mục chính của bạn thuộc sở hữu của người dùng khác, thì đó là một lỗi và cần được báo cáo như vậy.

Ngoài ra, một trường hợp phổ biến liên quan đến hai phần mềm liên quan đến bảo mật yêu cầu quyền hạn chế trên một số tệp nhất định, đó là:

  1. SSH
  2. GPG

SSH

Xem man ssh, phần FILES:

 ~/.ssh/config
     This is the per-user configuration file.  The file format and
     configuration options are described in ssh_config(5).  Because of
     the potential for abuse, this file must have strict permissions:
     read/write for the user, and not writable by others.  It may be
     group-writable provided that the group in question contains only
     the user.

 ~/.ssh/identity
 ~/.ssh/id_dsa
 ~/.ssh/id_ecdsa
 ~/.ssh/id_ed25519
 ~/.ssh/id_rsa
     Contains the private key for authentication.  These files contain
     sensitive data and should be readable by the user but not acces‐
     sible by others (read/write/execute).  ssh will simply ignore a
     private key file if it is accessible by others.  It is possible
     to specify a passphrase when generating the key which will be
     used to encrypt the sensitive part of this file using 3DES.

Các tệp khác như authorized_keys, known_hostsv.v. chỉ có thể ghi được bởi người dùng, nhưng có thể đọc được trên thế giới.

Gô-tích

~/.gnupg(và nội dung) chỉ có thể được truy cập bởi bạn. Với các quyền khác, GPG sẽ khiếu nại về các quyền không an toàn.

thầy
nguồn
Vì vậy, những gì về ~/.gvfs/, ~/.cache/gvfs-burn/~/.cache/dconf? Họ thuộc sở hữu gốc và tôi nghĩ họ nên như vậy.
Chỉ huy Byte
2
@ByteCommander không. Sử dụng sudovới các chương trình GUI, phải không?
muru
Không phải là tôi có thể nhớ nó ... Tôi đang tạo một người dùng mới và kiểm tra ở đó. Xin đợi một chút.
Chỉ huy Byte
@ByteCommander có một cái nhìn: bugzilla.gnome.org/show_orms.cgi?id=534284
muru
1
@ByteCommander nếu đó là ý định, thì sudo -ihoặc sudo -Hcó lẽ nên được sử dụng.
muru
11

Trong các tập tin chung và thư mục trong nhà của bạn nên được sở hữu bởi bạn.
Tôi có một số tệp sở hữu gốc lạ có lẽ là kết quả của việc thực thi sudolệnh; trong thực tế, có những chương trình viết những thứ bên dưới $HOME(những chương trình hoạt động tốt đòi hỏi đặc quyền của người dùng siêu cấp không nên làm --- hiệu ứng là quyền sở hữu các tập tin thuộc về người dùng).
Thông thường xóa hoặc sở hữu lại chúng (tùy thuộc vào tệp) không tạo ra vấn đề và thường nó giải quyết được một số, như .Xauthoritytệp khét tiếng --- và đôi khi, sau khi chạy sudo dconf-editor, bạn có những thứ trong cấu hình bạn không thể sửa đổi nữa.

Về các chế độ đặc biệt:

  • kịch bản phải được thực thi, tất nhiên, ít nhất là cho chủ sở hữu;
  • vì vậy cũng phải là thư mục (nơi x có nghĩa là quyền để vượt qua);
  • .sshphải là drwx------(0700) và các khóa riêng trong đó-rw------- (0600)
  • nếu bạn có một Publicthư mục để chia sẻ, nó có thể là drwxr-xr-x(quyền đọc cho bất kỳ ai) hoặc drwxrwxrwt(với quyền ghi và bit dính, để cho phép viết).

... Tôi không thể nghĩ bất cứ điều gì cần điều trị đặc biệt hơn.

Rmano
nguồn
Vì vậy, những gì về ~/.gvfs/, ~/.cache/gvfs-burn/~/.cache/dconf? Họ thuộc sở hữu gốc và tôi nghĩ họ nên như vậy.
Chỉ huy Byte
@ByteCommander --- tất cả những thứ đó thuộc sở hữu của tôi trong hệ thống của tôi và không có gì sai. Tại sao bạn nghĩ rằng họ phải được sở hữu bởi root? Trong dconflà cấu hình của bạn và lệnh / daemon đặc quyền thực hiện việc gắn các phân vùng sẽ chuyển quyền sở hữu cho bạn --- nếu không thì đó là một lỗi. Tôi nhận xét điều này về câu hỏi của bạn.
Rmano
Tôi đã tìm thấy hai tệp khác thuộc sở hữu của root mà tôi không chắc nó đúng hay sai: ~/.dbus/session-bus/7ae519bec942595a6925fb2d5448031b-1/home/ipc-admin/.aptitude/config, nhiều thứ bên dưới /home/ipc-admin/.cache/pip/wheels/, /home/ipc-admin/.local/share/session_migration-(null)/home/ipc-admin/.local/share/applications/mimeapps.list. Bạn có thể tưởng tượng tại sao những cái đó thuộc sở hữu gốc trên hệ thống của tôi không?
Chỉ huy Byte
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.