Permissões padrão nos diretórios iniciais do Linux

4

Esta questão Unix & Linux: permissões 755 em / home / cobrem parte da minha pergunta, mas:

As permissões padrão em um diretório inicial são 755 em muitas instâncias. No entanto, isso permite que outros usuários entrem em sua pasta pessoal e vejam coisas.

Alterar as permissões para 711 (rwx-x-x) significa que elas podem atravessar pastas, mas não vêem nada. Isso é necessário se você tiver authorized_keys para SSH - sem isso, o SSH dará erros ao tentar acessar o sistema usando uma chave pública.

Existe alguma maneira de configurar as pastas / diretórios para que o SSH possa acessar authorized_keys , o postfix / mail possa acessar os arquivos que ele requer, o sistema pode acessar os arquivos de configuração, mas sem precisar andar pelo sistema?

Eu posso fazer manualmente a pasta 711 , definir ~/.ssh/authorized_keys para 644 , mas lembre-se de fazer isso toda vez que cada configuração estiver propensa a erros (meus).

Eu teria pensado que, por padrão, todos os arquivos eram privados, a menos que especificamente compartilhados, mas com duas caixas do Ubuntu (reconhecidamente, caixas de servidores), todos podem ler todos os arquivos recém-criados. Isso parece um pouco fora como uma configuração padrão.

    
por Shane 12.10.2016 / 05:14

2 respostas

4

Como indicado no manual por padrão, as pastas base feitas com useradd copiam a pasta /etc/skel Se você alterar seus direitos de subpasta, todos os usuários criados depois com o useradd padrão terão os direitos desejados. O mesmo para adduser . Editar "UMASK" em /etc/login.defs alterará os direitos ao criar pastas base.

Se você quiser mais segurança do usuário, poderá criptografar as pastas base e colocar as chaves ssh em /etc/ssh/%u em vez de /home/%u/.ssh/authorized_keys .

    
por 12.10.2016 / 05:24
1

Como as permissões devem ser definidas dependem da política geral de segurança e do caso de uso. Antigamente, as máquinas Unix eram verdadeiramente sistemas multiusuários com várias centenas de usuários conectados simultaneamente via terminais seriais (como um DEC VT-220). Nesse cenário, seu ponto era um problema - às vezes. O Unix era muito usado em ambientes acadêmicos, como universidades, onde a segurança era uma preocupação menor, pelo menos menos do que a colaboração perfeita.

Hoje o Unix (esp. no Linux encarnado) é usado como sistema de servidor, e neste caso restringir diretórios de usuário (não haverá muitos, pelo menos) é bastante inútil. Ou, ele é usado para a área de trabalho, onde normalmente há um usuário, caso em que restringir os diretórios iniciais também é um tanto inútil.

Portanto, de um certo ponto de vista, você está certo. No entanto, é em grande parte irrelevante para os casos de uso mais (especialmente o caso de usuário único) e seu perfil de risco e, portanto, as permissões do diretório de usuário 0755 são tão boas quanto 0700, 0711 ou 0777. >

Apêndice

No entanto, até mesmo um único usuário pode ter várias contas de usuário, por exemplo, um padrão, um para serviços bancários on-line e outro para navegação na web genérica etc., de tal forma que as contas são usadas para uma espécie de boxe de areia. Em tais casos, permissões mais estritas estão em ordem.

    
por 26.10.2016 / 12:07