Welche Art von Berechtigungen sollten das Home-Verzeichnis und die Dateien eines Benutzers haben?

8

Ich arbeite mit einer Neuinstallation von Ubuntu 12.04 und habe gerade einen neuen Benutzer hinzugefügt:

useradd -m testuser

Ich dachte, dass das -mFlag zum Erstellen eines Home-Verzeichnisses für Benutzer ziemlich normal ist, aber jetzt, wo ich genauer hinschaue, bin ich ein wenig verwirrt:

Standardmäßig wird das gerade erstellte neue Verzeichnis wie folgt angezeigt:

drwxr-xr-x  4 testuser testuser 4.0K May 20 20:24 testuser

Mit den Berechtigungen g+rund o+rkann jeder andere Benutzer im System nicht nur cddas Ausgangsverzeichnis dieses Benutzers aufrufen, sondern auch sehen, was dort gespeichert ist.

Wenn für eine Dokumentation zu lesen über suPHP empfiehlt es Festlegen der Berechtigungen wie 711oder , drwx--x--xdie ist , wie es wäre am meisten Sinn für mich.

Ich habe festgestellt, dass ich die Berechtigungen für die darin enthaltenen Dateien ändern kann /etc/skelund sie beim Erstellen neuer Benutzer korrekt festgelegt werden. Das useradd -mÄndern der Berechtigungen für das /etc/skelVerzeichnis selbst scheint jedoch keine Auswirkungen auf die neuen Verzeichnisse zu haben, die für Benutzer in erstellt wurden/home/

  • Also - welche Art von Berechtigungen sollten das Home-Verzeichnis und die Dateien eines Benutzers haben - und warum ?

  • Wenn ich wollte, dass die Berechtigungen für useradd -m- wie das 711/ drwx--x--xwie ich bereits erwähnt habe - anders sind , wie soll man das tun? Müssen Sie den Benutzer erstellen und dann ausführen chmod?

linux permissions security users home cwd
quelle
3
Hinterlasse einen Grund, wenn du abstimmst
cwd
1
Haben Sie sich die Manpage von angesehen useradd? Wenn Sie unter Ubuntu arbeiten und die Befehlszeile verwenden möchten, sollten Sie diese verwenden adduser. (Übrigens habe ich nicht abgelehnt, aber wenn ich die -K-Option nicht selbst in der Hilfe- / Manpage gefunden habe, könnte dies wenig Forschung für andere bedeuten, da Sie kein vollständiger Unix-Neuling zu sein scheinen.)
Anthon
1
@Anthon - yup. Ich habe die -KRolle beim Menschen verpasst - aber ich habe sie mir angesehen, bevor ich gefragt habe (nicht gut genug). Die manSeite erklärt jedoch immer noch nicht, warum es heißt. If not specified, the mask will be initialized to 022.Außerdem scheint es adduserkeinen anderen Vorteil als ein interaktives System auf der Basis von Eingabeaufforderungen zu geben - es erstellt auch die Home-Verzeichnisse standardmäßig als 755.
cwd
adduser (sein Deluser-Gegenstück) macht Dinge wie das Löschen einer "privaten" Benutzergruppe, was Adduser meiner Meinung nach nicht tut. Es macht es auch einfacher, einen normalen Benutzer oder Systembenutzer mit der UID im richtigen Nummernkreis zu machen. Ich empfehle Ihnen , schauen , was kann angegeben werden adduserin /etc/adduser.conf.
Anthon

Antworten:

2

Damit sich die Erstellung des Home-Verzeichnisses anders verhält

useradd -m -K UMASK=0066 testuser

Geben andere keinen Zugriff auf alle sollten sicher sein.

basteln
quelle
Interessant. Ohne das wird wohl nur der umaskin der Shell-Sitzung festgelegte Standard verwendet ?
CWD
@cwd: das ist richtig
tink
@cwd In Bezug auf die public_html-Sache, nach der Sie in Ignacios Antwort gefragt haben: Ich würde die besitzende Gruppe zu etwas machen, zu dem der Apache-Benutzer gehört, und trotzdem ohne Zugriff für andere
davonkommen
Das klingt gut für mich. Ich werde es versuchen. Vielen Dank.
CWD
1
Sollte diese Umask nicht 0077 statt 0066 sein?
Ein CVn
2

Ich hatte keine Probleme damit, Home-Verzeichnisse als 0700 als Basis einzurichten und sie dann nach Bedarf nach und nach zu öffnen.

Ignacio Vazquez-Abrams
quelle
2
Müssen sie nicht mindestens 711 sein, wenn sie so etwas wie einen public_htmlOrdner enthalten oder wenn eines der Unterverzeichnisse ein freigegebener / Gruppenordner ist? Können Sie sie 700mit dem useradd -mBefehl auch standardmäßig als Ihre festlegen ? Auch - warum sollte Ubuntu überhaupt denken, dass es in Ordnung ist, standardmäßig 755 zu verwenden?
CWD
2
Das wäre Teil des "nach Bedarf". Auf meinem (Fedora) System kann die Umask eingestellt werden /etc/login.defs; Ubuntu muss etwas Ähnliches haben.
Ignacio Vazquez-Abrams
2

Sie sollten festgelegt DIR_MODEin /etc/adduser.confden und verwenden adduserBefehl wie in den empfohlenen manfür Seite useraddauf Ihrem System:

adduser testuser

Wenn Sie keine Änderungen am Original vornehmen möchten /etc/adduser.conf(oder andere Einstellungen benötigen), können Sie Änderungen an einer Kopie vornehmen und verwendenadduser --conf <yourconf>

Anthon
quelle
Danke - das hilft beim zweiten Teil der Frage.
CWD
2

Da Sie dies in Sicherheit veröffentlichen, werde ich einen Köder nehmen. Dies geschieht standardmäßig in OpenBSD

drwxr-xr-x  5 predrag  predrag  512 May 20 23:00 predrag

Mein Konto wurde beim Booten erstellt. Sie sehen, dass standardmäßig eine separate Gruppe erstellt wird und ich als Mitglied dieser Gruppe angemeldet bin. Dieses erste Konto ist standardmäßig Mitglied der Radgruppe, aber nicht beispielsweise Mitglied der Bedienergruppe, was bedeutet, dass ich den Computer nicht herunterfahren konnte.

Beachten Sie, dass standardmäßig neue Benutzer unter OpenBSD mit dem interaktiven Perl-Skript adduser hinzugefügt werden, das auch das Basisverzeichnis mit der richtigen Berechtigung und vielen anderen Dingen erstellt.

Dies ist, was RedHat standardmäßig tut 

drwx------. 48 predrag     predrag  4096 May 20 17:51 predrag

Ich bin Systemadministrator auf diesem Computer und das ist ein reguläres Konto, das standardmäßig für Root-Benutzer erstellt wurde. RedHat verfügt nicht über ein benutzerdefiniertes Skript, aber einige Werte von useradd sind mit Standardwerten vorab gefüllt.

Predrag Punosevac
quelle