it-swarm.com.de

Warum können "Andere" in Ubuntu standardmäßig Dateien lesen?

Ich versuche herauszufinden, warum beim Erstellen neuer Dateien und Verzeichnisse im Ordner Documents standardmäßig die folgenden Berechtigungen zugewiesen werden:

-rw-rw-r-- 1 hello world    0 Nov 19 12:17 'New Empty File'
drwxrwxr-x 2 hello world 4.0K Nov 19 12:16 'New Folder'/

Sollte "Andere" keinen Zugriff auf meine Dateien haben? Nach dem, was ich gelesen habe, ist Ubuntu standardmäßig ziemlich sicher. Nirgendwo konnte ich jedoch eine Rationalisierung für dieses Verhalten finden. Würde mich über eine Antwort freuen :)

6
wombat trash

Das Berechtigungsmodell von Linux bedeutet, dass Sie, selbst wenn Sie der einzige Benutzer Ihres Computers sind, nicht der einzige Benutzer auf dem System sind. Viele Dienste erstellen ein eigenes Benutzerkonto, unter dem sie ausgeführt werden können. Beispielsweise wird Apache normalerweise unter einem eigenen dedizierten Konto ausgeführt.

Sie werden auch feststellen, dass Ihr Home-Ordner normalerweise nur für Ihr eigenes Konto zugänglich ist - d. H. Berechtigungen 700 oder drwx------. Das bedeutet, dass nur Sie zu Ihrem Basisordner gelangen können, selbst wenn Unterordner in diesem Ordner vollen Zugriff haben.

Diese Kombination bietet eine nützliche Balance. Mit den Standardberechtigungen können Dienstkonten alle Dateien auf dem System lesen, die sie möglicherweise benötigen, aber sie können nichts ändern. Alle Dateien, die für Sie persönlich sind, sollten sich in Ihrem Home-Ordner befinden, damit ein nicht autorisierter Dienst nicht darauf zugreifen kann.

Möglicherweise finden Sie Dateisystemhierarchie-Standard eine nützliche Lektüre. Dies beschreibt die allgemein erwarteten Berechtigungen und Funktionen für Unix/Linux-Systeme, und die meisten Distributionen werden sich daran halten.

15
timbstoke

Wenn Sie neue Dateien und Verzeichnisse erstellen, werden die anfänglichen Berechtigungen durch Ihre Einstellung umask gesteuert. Die Anwendung, die das Element erstellt, gibt die maximalen Berechtigungen an (normalerweise rwxrwxrwx für Verzeichnisse und ausführbare Dateien, rw-rw-rw- Für Datendateien), und dann werden die Berechtigungen in umask davon abgezogen.

Wenn Sie also restriktivere Berechtigungen wünschen, sollten Sie umask festlegen, um die Berechtigungen zu entfernen, die Sie nicht gewähren möchten. Die von Ihnen angezeigten Berechtigungen stammen von umask 002, Daher wird nur other=write Deaktiviert. Wenn Sie auch other=read/execute Deaktivieren möchten, sollten Sie Folgendes verwenden:

umask 007

Traditionell basiert der Standardwert umask 002 Auf der Annahme, dass alle Benutzer auf einem bestimmten System eine kooperierende Community sind (z. B. Programmierer in derselben Abteilung einer Organisation). Es gibt also wenig Grund, andere Benutzer daran zu hindern, Ihre zu lesen Dateien im Allgemeinen. Wenn Sie bestimmte Dateien haben, die privater sind, geben Sie ihnen restriktivere Berechtigungen. Wenn die obige Annahme für die Benutzer Ihres Systems unangemessen ist, sollten Sie in den Shell-Startskripten eine andere Standard-Umask verwenden.

1
Barmar