O grupo / outras permissões são importantes para arquivos pessoais em um único laptop de usuário?

Question

O grupo / outras permissões são importantes para arquivos pessoais em um único laptop de usuário?

#1 resposta do (4 votos)

0

Versão resumida: Por padrão, meu umask é 0022 , e meus arquivos pessoais têm, em sua maioria, rw-r--r-- . Com relação à segurança, quais alterações específicas são recomendadas em um laptop com login único?

Versão longa: quando o UNIX foi projetado como um sistema multiusuário, as permissões de grupo / outro definitivamente importariam, para não permitir que outros pioneiros da tecnologia de cabelos longos vasculhassem seu diretório inicial e tal.

No entanto, em um laptop de login único, as permissões umask / group / other para seus próprios arquivos pessoais são importantes? Eu imagino que, para que isso importe, alguém teria que ter acesso físico ou um trojan em sua máquina, e nesse caso todas as apostas serão canceladas de qualquer maneira.

Talvez seja melhor / mais parecido com os dias antigos com go-rwx em $HOME , mas eu li em algum lugar que você não deve mudar umask a menos que você realmente saiba o que está fazendo, o que eu não faria.

Devo confiar apenas no meu comportamento padrão do sistema operacional e me importar menos com as permissões dos meus arquivos pessoais? Ou existem algumas configurações de práticas recomendadas que sempre aplico sempre que uso uma nova máquina?

permissions security

por forthrin 23.03.2018 / 10:41

1 resposta

Tags permissions security

O que significa 'dormir' com múltiplos argumentos? Caso aceite ser caracteres vazios ou específicos

score 4 · Answer 1

Como Kusalananda diz , o seu laptop tem muitas contas não-humanas que são usadas para uma variedade de finalidades; você pode ver isso em ação executando

ps -f -N -u root -u $(whoami)

(que mostrará informações detalhadas sobre todos os processos que não estão sendo executados como root ou você).

Você verá alguns processos que compartilham um recurso comum: eles são acessíveis externamente de uma forma ou de outra. Em um laptop típico, executando oficialmente nenhum processo de servidor, isso incluirá tarefas como a tela de login, sua VPN se você tiver uma, qualquer ajudante de DNS (Avahi etc.) ... Executá-los como usuários diferentes fornece proteção contra ataques externos , porque comprometê-los não coloca seus arquivos em perigo imediatamente, contanto que seus arquivos tenham as permissões apropriadas.

As permissões de usuário em um único sistema de usuário humano se tornam ainda mais relevantes quando você executa os servidores "oficiais" (um servidor web, servidor de impressão ...) ou se você começar a usar várias contas de usuário para segregar casos de uso potencialmente arriscados (navegando com Flash, executando jogos via Steam ...).

No entanto, a segurança é sempre uma questão de compromisso e ninguém pode recomendar uma prática recomendada para você sem conhecer seus padrões de trabalho específicos, quais dados são importantes e quais cenários de ataque você deseja proteger contra. Nesse contexto geral, o comum 0022 umask é um padrão sensato (impede que outros sobrescrevam ou excluam seus arquivos, mas os serviços do sistema em execução como usuários do sistema ainda podem ler seus arquivos).