LINUX.ORG.RU
ФорумAdmin

Права на home директорию по-умолчанию...

 


2

6

Ребята, я думал, что я обкурился, упоролся... Но похоже таки нет... И убунта, не линукс! Ибо я не знаю как ещё обозвать это мудачество, у меня есть такая привычка наидурнейшая, запускать сервисы под своими/отдельными пользователями... Но я сегодня увидел ТАКОЕ...

kadafi@home ~ $ ll /home/
итого 12
drwxr-xr-x  3 root   root   4096 нояб. 12 19:02 .
drwxr-xr-x 27 root   root   4096 янв.  11 10:20 ..
drwxr-xr-x 36 kadafi kadafi 4096 февр. 16 21:56 kadafi

То, есть мы тут всякие sudo пользуем, мы тут пароли придумываем, а они 755 на весь каталог пользователя... Это я считаю СИЛЬНО..! Очень сильно... Полез гуглить... Думал, может быть обкурился. И таки... Нет, не обкурился: читаем: http://superuser.com/questions/303910/ubuntu-default-access-mode-permissions-...

А в твоём дистрибутиве тоже так по-умолчанию?

C какого собственно бодуна, они по-дефолту такое творят..?

★★★★★

Последнее исправление: DALDON (всего исправлений: 1)

A Public folder exists in your Home directory (/home/user) for sharing files with other users. If an other user wants to get access to this Public folder, the execute bit for the world should be set on the Home directory.

Что там они курят..?

DALDON ★★★★★
() автор топика

а они 755 на весь каталог пользователя

так разве не везде?

snaf ★★★★★
()
$ ll /home/
итого 4
drwx------. 33 user user 4096 фев 16 22:57 user
mandala ★★★★★
()
Последнее исправление: mandala (всего исправлений: 1)

В Arch'e как то так

[~] >> ls -ld /home/*
drwx------ 34 ad   users  4096 фев 16 22:58 /home/ad
drwx------  2 root root  16384 дек 26 21:38 /home/lost+found
[~] >>

julixs ★★★
()

На Debian также. Вообще это от политики дистра зависит, я потом все равно правлю как мне нужно и добавляю/убираю группы.

invokercd ★★★★
()

в моём так

[igor@nlio ~]$ ll -Z /home/
drwx------. igor igor unconfined_u:object_r:user_home_dir_t:s0 igor
drwx------. root root system_u:object_r:lost_found_t:s0 lost+found
[/bash]

ukr_unix_user ★★★★
()
Ответ на: комментарий от anonymous

убунта

у них судо с алл алл чо от них можно хотеть?

Только для первого созданного пользователя.

snaf ★★★★★
()

И убунта, не линукс!

Такое много где по умолчанию. Вроде во фряхе такое видел.
В дебиане тоже так.
На важных хостах я umask меняю, что-бы у «всех» никакого доступа не было.

MrClon ★★★★★
()

И сколько прошло времени перед тем как ты это заметил?

Помнится я первый раз удивился странности такого пермиссивного подхода когда впервые получил юзерскую учётку на серваке первого своего работодателя (там их выдавали вместе с мылом, админ был старорежимный, сервак тоже (какая-то древняя слака)). Я тогда принялся листать конфиги в /etc (:

MrClon ★★★★★
()
Ответ на: комментарий от DALDON

A Public folder exists in your Home directory (/home/user) for sharing files with other users. If an other user wants to get access to this Public folder, the execute bit for the world should be set on the Home directory.

Что там они курят..?

Если под «sharing files» они подразумевают возможность зайти в каталог ~username/Public, то «они» абсолютно правы, а недокурил здесь ты (подсказка - чтобы просмотреть список файлов в каталоге /a/b/c, надо иметь execute на «/», «/a», «/a/b» и read на «/a/b/c».

no-dashi ★★★★★
()
Ответ на: комментарий от mandala

хомячков много что устраивает

Всё правильно. Хомячкам админство и безопасность не должна быть необходима, у них всё должно работать из коробки. А те, кто использует дистрибутив, собранный «для дома» в других местах, вероятно, уже знает про что и как тюнится, или где об этом узнаётся.

DonkeyHot ★★★★★
()
Ответ на: комментарий от no-dashi

Но ведь попутно создавая директорию ~username/someworkfiles мы получим x-бит и на ней так же.

Не говоря что уже о том что при стандартным umask = 0002 множество файлов будет доступны для чтения other.

В чем прикол то ?

TEX ★★★
()

Это ещё что, вот у нас на рабочем сервере, доступном из вне, один «пользователь» сделал так:

login@server:~$ ls -la /root/
итого 9940
drwxrwx--- 12 root users         4096 янв.  22 11:37 .
drwxr-xr-x 23 root root          4096 июля  17  2014 ..
shrub ★★★★★
()

У зашифрованных каталогов пользователей (если при установке включить шифрование или создавать с adduser --encrypt-home) права 700.

proud_anon ★★★★★
()
Ответ на: хомячков много что устраивает от DonkeyHot

Из-за такого мышления и остаются „хомячки“ с голой задницей, выставленной наружу. Я сейчас не только про права на хомкаталог говорю, а вообще. Нужно делать сразу, чтобы работало из коробки нормально. А как это делается сейчас, называется через задницу. Видимо от природной рукожопости и банальной лени. А чё, всегда можно сказать:

Хомячкам админство и безопасность не должна быть необходима, у них всё должно работать из коробки.

mandala ★★★★★
()
Ответ на: комментарий от ukr_unix_user

5,3 - это ты про свой ник чтоль на форуме..? Да тут не попахивает, а таки несёт просто. :-D

DALDON ★★★★★
() автор топика

Это настройка adduser по умолчанию. В дебиане то же самое (и везде, где не патчили adduser).

# If DIR_MODE is set, directories will be created with the specified
# mode. Otherwise the default mode 0755 will be used.
DIR_MODE=0755
в /etc/adduser.conf

at ★★
()
Ответ на: комментарий от DALDON

Ну ты же профи, все равно сам все настроишь. А какой-нибудь „я у мамы хакер“ словит меньше и будет всем рассказывать какая убунта крутая. Профит.

mandala ★★★★★
()
Ответ на: комментарий от mandala

тред выглядит так, будто «я умамы хакер» это ты, а иной вменяемый школьник будет настраивать убунту только дома, а не дома он прочитает книжек, и у него будет либо централизованная аутентификация и авторизация пользователей с явно указанными правами на каталоги, либо тотальная изоляция сервисов

anonymous
()
Ответ на: комментарий от anonymous

Разговор шел про небезопасные настройки по умолчанию. И выяснилось, что многих это устраивает: должно работать все из коробки, а кому надо сам настроит.

Про должно работать я согласен, но такой подход к реализации я не понимаю и могу объяснить только раздолбайством дистростроителей.

mandala ★★★★★
()
Ответ на: комментарий от at

Да это я уже понял... Но это на мой взгляд чуть-чуть более чем странно... Вот ты себе представляешь, если бы так по-умолчанию было бы скажем в винде..? Что ты бы смог читать документы других людей на компе...

DALDON ★★★★★
() автор топика
Ответ на: комментарий от mandala

Я не профи. Был бы профи - обнаружил раньше... Уверен, что ещё куча людей на это не обращало внимание. Я считал само, собой разумеющейся, как 0700 на домашний каталог. И даже не могло бы мне привидиться иное...

DALDON ★★★★★
() автор топика
Ответ на: комментарий от DALDON

вот вам девушки наука, не ходите в лес гулять Доверяй, но проверяй.

mandala ★★★★★
()

Да, это артефакт расп-дяйства, которое царит в линукс-дефолтах. «Поменять же можно? Можно» и никто не анализирует, какие дефолты нужны и актуальны. А потом 100500 хостов с голой жопоймонгой наружу или еще что.

Хотел бы встретить дистр, пусть и мелкий, но в котором сделан акцент на принципе sane defaults, хотел бы поучаствовать в таком проекте. Это, имхо, то, чего так не хватает современному линуксу: шлифовка и настройка уже реализованной функциональности.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от DALDON

Баг известен как минимум с 2003 года. https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=202943 . Если есть желание можешь его поднять. У себя я просто исправляю.

P.S. Исправление будет и в убунту, т.к. они используют дебовский пакет

at ★★
()
Последнее исправление: at (всего исправлений: 1)
Ответ на: комментарий от mandala

Нужно делать сразу, чтобы работало из коробки нормально

И, конечно, убунописцы так сделали не потому, что такое решение соответствовало требованиям и возможностям, а потому, что они, в отличии от нас, д'артаньянов, ничего не понимают в безопасности?

DonkeyHot ★★★★★
()
Ответ на: комментарий от DonkeyHot

Конечно, куда нам. И мейнтейнеры федоры тоже фигней страдают, какие-то права доступа настраивают.

mandala ★★★★★
()

Помнится, в Debian была опция на этапе установки, типа, «Secure your home directories»?

undertaker ★★
()
# UMASK is the default umask value for pam_umask and is used by
# useradd and newusers to set the mode of the new home directories.
# 022 is the "historical" value in Debian for UMASK
# 027, or even 077, could be considered better for privacy

THIS>>>>>>>>>

# There is no One True Answer here : each sysadmin must make up his/her
# mind.

<<<<<<<<<THIS

#
redgremlin ★★★★★
()
drwxr-xr-x 14 root root 4096 янв 22 17:22 /home/
Deleted
()

Кстати как с этим дело в центосе? Что-то мне вспоминается что там было иначе, но могу ошибаться.

MrClon ★★★★★
()
Ответ на: комментарий от MrClon

Так же. umask 002 для юзеров. Кто бы объяснил, чем чревато 077, и почему он не сложился исторически

Deleted
()
Ответ на: комментарий от Deleted

Ну допустим 077 это экстремизм, а вот 027 вполне разумный вариант.

MrClon ★★★★★
()
Ответ на: комментарий от no-dashi

Если под «sharing files» они подразумевают возможность зайти в каталог ~username/Public, то «они» абсолютно правы

А почесу бы не делать ~username/Public симлиноком на какую-нибудь /srv/pub, которой выставлять права 777?

А в твоём дистрибутиве тоже так по-умолчанию?

$ grep -i umask /etc/login.defs 
UMASK           077

что в федоре, что в центоси.

dexpl ★★★★★
()
Ответ на: комментарий от dexpl

ты прав. меня смутило следующее (центос7)

$ cat /etc/profile
....
if [ $UID -gt 199 ] && [ "`id -gn`" = "`id -un`" ]; then
    umask 002
else
....

$ umask
0002

дефолт.

Но да, чтение от другого пользователя запрещено

$ cat /home/ivan123/test123
cat: /home/ivan123/test123: Permission denied
$ sudo ls -ld /home/ivan123/
drwx------. 4 ivan123 ivan123 4096 Feb 17 21:08 /home/ivan123/
$ sudo ls -l /home/ivan123/test123
-rw-rw-r--. 1 ivan123 ivan123 10 Feb 17 21:06 /home/ivan123/test123

дело в 0700 на $HOME

Deleted
()
Ответ на: комментарий от Deleted

То, что тебя смутило — маска прав для вновь создаваемых файлов, ка ты и сам видишь. И с учетом того, что каждому вновь создаваемому юзеру по умолчанию создается отдельная группа (см. опять же /etc/login.defs), ничего криминального в этом нет. И это не только центось 7, это еще редхэт 7.3 (подозреваю, что и раньше так было, но не ручаюсь).

dexpl ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.