Para fazer com que a criação do diretório home se comporte de maneira diferente
useradd -m -K UMASK=0066 testuser
Dar outro sem acesso deve ser seguro.
Estou trabalhando com uma nova instalação do Ubuntu 12.04 e acabei de adicionar um novo usuário:
useradd -m testuser
Eu achei que a sinalização -m para criar um diretório inicial para os usuários era bem normal, mas agora que dei uma olhada mais de perto, estou um pouco confuso:
Por padrão, o novo diretório que acabou de ser criado é exibido como:
drwxr-xr-x 4 testuser testuser 4.0K May 20 20:24 testuser
Com as permissões g+r e o+r , isso significa que todos os outros usuários no sistema podem não apenas cd para o diretório inicial desse usuário, mas também ver o que está armazenado lá.
Ao ler alguma documentação para o suPHP, recomenda-se definir as permissões como 711 ou drwx--x--x , que é como isso faria mais sentido para mim.
Percebi que posso alterar as permissões dos arquivos dentro de /etc/skel e eles estão definidos corretamente ao criar novos usuários com useradd -m , mas alterar as permissões no diretório /etc/skel em si não parece ter nenhum efeito sobre os novos diretórios criados para usuários em /home/
Então - que tipo de permissões deve ter o diretório pessoal e os arquivos do usuário - e por que ?
Se eu quisesse que as permissões fossem diferentes para useradd -m - como o 711 / drwx--x--x como vi mencionado, como fazer isso? Você deve criar o usuário e, em seguida, executar chmod ?
Eu não tive problemas em configurar os diretórios home como 0700 como base e, em seguida, abri-los mais pouco a pouco, conforme necessário.
Você deve definir DIR_MODE em /etc/adduser.conf e usar o comando adduser conforme recomendado na página man de useradd em seu sistema:
adduser testuser
Se você não quiser fazer alterações no /etc/adduser.conf original (ou precisar de configurações diferentes), poderá fazer alterações em uma cópia e usar adduser --conf <yourconf>
Desde que você está postando isso em segurança eu vou morder uma isca. É assim que é feito por padrão no OpenBSD
drwxr-xr-x 5 predrag predrag 512 May 20 23:00 predrag
Minha conta foi criada no boot. Você vê que, por padrão, um grupo separado é criado e estou logado como um membro desse grupo. Essa primeira conta é por padrão membro do grupo wheel mas não por exemplo membro do grupo operador, o que significa que não pude desligar o computador.
Observe que, por padrão, novos usuários no OpenBSD são adicionados com o script interativo adduser Perl, que também cria o diretório home com a permissão correta e muitas outras coisas.
Isso é o que o RedHat faz por padrão
drwx------. 48 predrag predrag 4096 May 20 17:51 predrag
Eu sou Administrador do Sistema nesse computador e isso é uma conta normal criada por padrão para o usuário raiz. O RedHat não possui um script personalizado, mas alguns valores de useradd são pré-preenchidos com valores padrão.
Tags permissions security users linux home