Thư mục nhà và tập tin của người dùng nên có loại quyền nào?

8

Tôi đang làm việc với bản cài đặt Ubuntu 12.04 mới và tôi vừa thêm một người dùng mới:

useradd -m testuser

Tôi nghĩ rằng -mcờ để tạo một thư mục chính cho người dùng là khá chuẩn, nhưng bây giờ tôi đã xem xét kỹ hơn tôi hơi bối rối:

Theo mặc định, thư mục mới vừa được tạo sẽ hiển thị dưới dạng:

drwxr-xr-x  4 testuser testuser 4.0K May 20 20:24 testuser

Với các quyền g+ro+rcó nghĩa là mọi người dùng khác trên hệ thống không chỉ có cdthể vào thư mục chính của người dùng đó mà còn có thể xem những gì được lưu trữ ở đó.

Khi đọc qua một số tài liệu cho suPHP, nó khuyên bạn nên thiết lập các quyền như 711hoặc drwx--x--xđó là cách nó có ý nghĩa nhất đối với tôi.

Tôi nhận thấy rằng tôi có thể thay đổi quyền trên các tệp bên trong /etc/skelvà chúng được đặt chính xác khi tạo người dùng mới useradd -mnhưng việc thay đổi quyền trên /etc/skelthư mục dường như không có bất kỳ ảnh hưởng nào đến các thư mục mới được tạo cho người dùng trong/home/

  • Vậy - thư mục nhà và tệp của người dùng nên có loại quyền nào - và tại sao ?

  • Nếu tôi muốn các quyền khác nhau useradd -m- như 711/ drwx--x--xnhư tôi đã đề cập, làm thế nào để thực hiện điều đó? Bạn phải tạo người dùng và sau đó chạy chmod?

linux  permissions  security  users  home 
cwd
nguồn
3
để lại một lý do nếu bạn downvote
cwd
1
Bạn đã xem trang người đàn ông của useradd? Nếu bạn đang sử dụng Ubuntu và muốn sử dụng dòng lệnh bạn nên sử dụng adduser. (BTW Tôi không downvote, nhưng bản thân bạn không tìm thấy tùy chọn -K trong trang trợ giúp / người đàn ông có thể chỉ ra một nghiên cứu nhỏ cho những người khác vì bạn dường như không phải là một người mới sử dụng Unix hoàn chỉnh)
Anthon
1
@Anthon - yup. Tôi đã bỏ lỡ -Kphần trong con người - nhưng tôi đã xem qua nó trước khi hỏi (không đủ tốt). Tuy nhiên, mantrang vẫn không giải thích lý do tại sao nó nói If not specified, the mask will be initialized to 022.Ngoài ra, dường như nó không addusercung cấp bất kỳ lợi ích nào khác ngoài hệ thống dựa trên dấu nhắc tương tác - nó cũng tạo các thư mục chính theo mặc định là 755.
cwd
adduser (đối tác deluser của nó) thực hiện những việc như xóa nhóm 'riêng tư' của người dùng mà tôi không nghĩ là adduser làm. Nó cũng làm cho nó dễ dàng hơn để làm cho một người dùng bình thường hoặc hệ thống với uid trong phạm vi số phù hợp. Tôi khuyên bạn nên nhìn vào những gì có thể được chỉ định addusertrong /etc/adduser.conf.
Anthon

Câu trả lời:

2

Để làm cho việc tạo thư mục chính hành xử khác

useradd -m -K UMASK=0066 testuser

Cung cấp cho không có quyền truy cập khác nên được an toàn.

tink
nguồn
Hấp dẫn. Vì vậy, không có điều đó tôi đoán nó chỉ đang sử dụng bộ mặc định umasktrong phiên shell?
cwd
@cwd: đúng vậy
tink
@cwd Về điều công khai_html mà bạn đã hỏi trong câu trả lời của Ignacio: Tôi sẽ tạo cho nhóm sở hữu thứ gì đó mà người dùng apache là thành viên và vẫn không truy cập được cho người khác
tink
Đó là âm thanh tốt với tôi. Tôi sẽ cho nó một shot. Cảm ơn bạn.
cwd
1
Không phải cái ô đó là 0077 thay vì 0066 sao?
một CVn
2

Tôi không gặp vấn đề gì khi đặt thư mục nhà là 0700 làm cơ sở, và sau đó mở chúng ra từng chút một theo yêu cầu.

Ignacio Vazquez-Abrams
nguồn
2
Không cần phải có ít nhất 711 nếu chúng chứa thứ gì đó như public_htmlthư mục hoặc nếu một trong các thư mục con là thư mục dùng chung / nhóm? Ngoài ra, bạn có thể đặt chúng làm 700mặc định bằng cách nào đó bằng useradd -mlệnh không? Ngoài ra - tại sao Ubuntu thậm chí nghĩ rằng nó ổn khi mặc định là 755?
cwd
2
Đó sẽ là một phần của "theo yêu cầu". Trên hệ thống của tôi (Fedora), ô có thể được đặt trong /etc/login.defs; Ubuntu phải có một cái gì đó tương tự.
Ignacio Vazquez-Abrams
2

Bạn nên đặt DIR_MODE/etc/adduser.confvà sử dụng các adduserlệnh như đề nghị trong mantrang cho useraddtrên hệ thống của bạn:

adduser testuser

Nếu bạn không muốn thay đổi bản gốc /etc/adduser.conf(hoặc cần các thiết lập khác nhau), bạn có thể thay đổi bản sao và sử dụngadduser --conf <yourconf>

Anthon
nguồn
Thx - điều này giúp với phần thứ hai của câu hỏi.
cwd
2

Vì bạn đang đăng bài này trong bảo mật, tôi sẽ lấy mồi. Đây là cách được thực hiện theo mặc định trong OpenBSD

drwxr-xr-x  5 predrag  predrag  512 May 20 23:00 predrag

Tài khoản của tôi đã được tạo khi khởi động. Bạn thấy rằng theo mặc định, một nhóm riêng biệt được tạo và tôi đăng nhập với tư cách là thành viên của nhóm đó. Tài khoản đầu tiên đó là thành viên mặc định của nhóm bánh xe nhưng không phải là thành viên của nhóm nhà điều hành, điều đó có nghĩa là tôi không thể tắt máy tính.

Lưu ý rằng bằng cách sử dụng mặc định mới trên OpenBSD được bổ sung với adduser kịch bản tương tác Perl mà còn tạo ra các thư mục chính với sự cho phép chính xác và nhiều thứ khác.

Đây là những gì RedHat làm theo mặc định 

drwx------. 48 predrag     predrag  4096 May 20 17:51 predrag

Tôi là Quản trị hệ thống trên máy tính đó và đó là tài khoản thông thường được tạo theo mặc định cho người dùng root. RedHat không có tập lệnh tùy chỉnh nhưng một số giá trị của useradd được điền trước với các giá trị mặc định.

Dự đoán Punosevac
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.