Ich habe die Berechtigungen /media/username
von root:root
auf username:root
[1] geändert . Ich verstehe, dass ein benutzerzentrierter Standort benutzerzentrierte Berechtigungen ermöglicht [2].
Aber warum waren die Berechtigungen für diesen Ordner überhaupt root:root
?
[1] Damit ich dort mit Gnome EncFS Manager verschlüsselte Ordner mounten kann . Zum Beispiel kann ich jetzt einen verschlüsselten Ordner als mounten /media/username/personal-documents
.
[2] Warum hat Ubuntu die Standard-Mount-Punkte verschoben? :
Die Hauptursache für diese Änderung des Standardverhaltens in udisks2 scheint klar zu sein: die Sicherheit. Es ist sicherer, den Zugriff auf ein Dateisystem auf einen bestimmten Benutzer zu beschränken, als allen Benutzern des Systems Zugriff darauf zu gewähren.
quelle
Antworten:
In meinem Fall sieht es so aus
/media
:Grundsätzlich bedeutet dies, dass nur ein Root-Benutzer mit dem Verzeichnis interagieren kann. Dies ist sehr sicherheitsrelevant (es verhindert, dass andere Benutzer Daten sehen, geschweige denn sie stehlen / löschen / ändern), aber hier endet die Geschichte nicht.
Möglicherweise sehen Sie das Pluszeichen am Ende der Berechtigungsmaske. Dies bedeutet, dass eine ACL (Access Control List) verwendet wird. Dies ermöglicht weitaus detailliertere Berechtigungen.
Über die Zugriffssteuerungsliste kann mein Benutzer den Inhalt von anzeigen
/media/oli
. Ich darf den Inhalt immer noch nicht bearbeiten.Das Ding, das das Mounten in modernen Desktops (sowohl Gnome als auch KDE) macht, ist
udisks2
:Wie Sie sehen, wird es dort als root ausgeführt. Wenn also etwas über DBUS darauf zugreift, kann es die Einhängepunkte in / home / $ USER erstellen und an Ihren Benutzer weiterleiten, damit dieser den Inhalt bearbeiten kann.
Nichts davon ändert das, was ich ursprünglich gesagt habe. Ich erkläre nur, wie es in der Praxis funktioniert. Auf diese Weise kann etwas auf Ihrem Desktop tatsächlich an einen Ort schreiben, der nur von root zugelassen wird, und Ihr Benutzer kann es trotz eines ansonsten restriktiven Eigentums lesen.
All dies macht es zu einer Umgebung, die für die Daten des Benutzers sicher ist, die es dem Benutzer jedoch auch erschwert, sich in die Struktur der Halterung einzumischen. Sie können beispielsweise den Einhängepunkt nicht löschen oder umbenennen, was zu Problemen führen kann, es sei denn, sie haben Root-Zugriff.
Bearbeiten : Etwas, das mir gerade eingefallen ist, ist, dass es einem Administrator auch einen guten Ort gibt, um Dinge für einen einzelnen Benutzer bereitzustellen. Die Berechtigungen von Standard Hilfe halten dieses private montieren und diese Einmischung gegen den Benutzer-Mount schützen. Es scheint ein ziemlich vernünftiger Standard für etwas zu sein, das ohne das
/media/$user/
Verzeichnis ausgeführt wird und Root-Berechtigungen benötigt.quelle
Ich stimme der anderen Antwort und den Kommentaren zu
root:root
hauptsächlich zwei Situationen zu vermeiden.1. Sicherheitsrisiko: Ein Hacker-Skript, das / dev / zero nach / media / user / kopiert, die Root-Partition ausfüllt und sich daher nicht anmelden kann oder eine schlechte Leistung zeigt.
2. Konflikt mit udisk2: Angenommen , eine Partition mit dem Label Backup . Udisks mounten es @ / media / user / backup. Der Benutzer hat das obige Verzeichnis manuell erstellt, wodurch die udisk gezwungen wird, den Mount-Punkt in etwas wie / media / user / backup1 zu ändern und somit durch Sicherungsskripte usw. irregeführt zu werden.
quelle
Die Linux (und * nix) -Mentalität basiert im Allgemeinen auf dem Prinzip von
Least amount of necessary privileges.
Normalerweise wird modern
Desktop Environments
Ihre Geräte darunter montieren/media/username/devicepartitionname
. Dies bedeutet, dass Sie nur dendevicepartitionname
Ordner und alles darunter besitzen müssen, damit das Gerät verwendet werden kann . Dies bedeutet, dass Ihr Ordner von/media/username
immer noch im Besitz von sein könnteroot
, und dies würde ihn sicherer machen.Es
/media/username
ist auch eine schlechte Idee, etwasDE
zu mounten , da Sie dann versuchen, eine Partition in einen Ordner auf einer anderen gemounteten Partition zu mounten, was zu einer Menge Spaß führen kann. (auch möglicher Datenverlust).quelle
/media/username/someplace
nicht anhängt/media/username
... du sagst ausdrücklich, es sollte root gehören, wäreroot:username
besser alsusername:root
in meinem Fall? oder führen beide die gleichen Sicherheitsbedenken ein? (Siehe diese Frage, warum ich es trotzdem tun muss askubuntu.com/questions/392063/… )/media/user
(da es 750 ist), was ein bisschen besser ist als im ersten Fall. Was das Mounten angeht: Historisch gesehen werden das/mnt
und seine Unterordner als Standardmountpunkt für alles angesehen. Das/media
wurde nur hinzugefügt, damit Leute, die nur eine Linux-Box verwenden möchten, ohne wirklich zu verstehen, wie die Dinge funktionieren, nicht von allen verwirrt werden seltsame Ordner und so weiter/
.root
zugreifen kann deine Box. (Dies wird Privilegieneskalation genannt.) Obwohl Sie Ihr System nicht absichtlich unsicherer machen sollten, gibt es Standardorte, an denen dasselbe möglich ist (und die dunkler und damit weniger wahrscheinlich sind, dass die Hackeraktivität gefunden wird). Die "Sicherheitsbedenken" in diesem Fall könnten also abhängig von Ihrem Setup ignoriert werden.