$USER даёт права на просмотр посторонним?

0

3

Это так исторически сложилось или что? И еще такой вопрос если я сделаю chmod o-rx на /home/$USER, то внутри останется куча файлов с правами типа «drwxrwxr-x». Мне стоит как-то беспокоиться, что другие могут их прочитать? Или имея права у корневой папки «drwxr-x---» оно автоматически режет для other любые права на внутренних файлах?

Ссылка

←	Менеджер закладок

Document indexing

→

Особенность дистрибутива, сочувствую.

# grep UMASK /etc/login.defs 
UMASK           077

ArcFi ★
(20.10.16 07:52:13 MSK)

Ссылка

И еще такой вопрос если я сделаю chmod o-rx на /home/$USER, то внутри останется куча файлов с правами типа «drwxrwxr-x».

man chmod, однако

Karrham ★
(20.10.16 07:58:46 MSK)

Или имея права у корневой папки «drwxr-x---» оно автоматически режет для other любые права на внутренних файлах?

«drwxr-x---» не режет права на внутренних файлах. Однако, флаг x для директории отвечает за права на lookup в этой директории. Без него обращение к любым сущностям в директории становится невозможным. Беспокоиться не о чем.

anonymous
(20.10.16 08:09:07 MSK)

Ссылка

Ответ на: комментарий от Karrham 20.10.16 07:58:46 MSK

И где там описаны случаи доступа к файлам имеющие отличимые права от корневой директории? Там есть про право поиска в директории. Но может в линухе есть какие-то обходные пути получить доступ к файлу. По тому же дескриптору или еще как-то. Для меня это не ясно, т.к. линух для меня в большинстве случаев черный ящик.

foror ★★★★★
(20.10.16 08:27:24 MSK) автор топика

Это где так? Ни в одном дистрибутиве по умолчанию такого не видел.

p.s. chmod -R o= /home/$USER и можно не беспокоиться.

Deleted
(20.10.16 08:49:32 MSK)

Ответ на: комментарий от foror 20.10.16 08:27:24 MSK

Но может в линухе есть какие-то обходные пути получить доступ к файлу. По тому же дескриптору или еще как-то.

http://stackoverflow.com/questions/4606774/why-cant-files-be-manipulated-by-i...

ArcFi ★
(20.10.16 09:09:14 MSK)

Ссылка

Мамку посторонним покажи.

Lavos ★★★★★
(20.10.16 09:10:17 MSK)

Ссылка

Ответ на: комментарий от foror 20.10.16 08:27:24 MSK

линух для меня в большинстве случаев черный ящик.

Он для всех черный, просто для кого-то чернее. Ведь не посмотрев исходники и не разобравшись как оно работает невозможно понять что же не так.
Может ядру не понравится размер твоей консоли и оно запаникует ^)

ritsufag ★★★★★
(20.10.16 09:27:59 MSK)

Ответ на: комментарий от Deleted 20.10.16 08:49:32 MSK

В Ubuntu Desktop/Server, в Debian вроде так же.

foror ★★★★★
(20.10.16 10:02:10 MSK) автор топика
Последнее исправление: foror 20.10.16 10:02:24 MSK (всего исправлений: 1)

Ответ на: комментарий от Deleted 20.10.16 08:49:32 MSK

А для новых файлов? Каждый раз что-ли запускать? Или в эту сторону копать # grep UMASK /etc/login.defs

foror ★★★★★
(20.10.16 10:13:55 MSK) автор топика

Ответ на: комментарий от Deleted 20.10.16 08:49:32 MSK

В дебиан всю жизнь такое.

anonymous
(20.10.16 10:16:50 MSK)

Ссылка

Ответ на: комментарий от foror 20.10.16 10:13:55 MSK

А для новых файлов?

Копать в сторону переопределения вот этого:

# grep -r umask /etc/profile*

ArcFi ★
(20.10.16 10:17:46 MSK)

Ссылка

/home/$USER

Быдлокод! Правильно

$HOME

~~rezedent12~~ ☆☆☆
(20.10.16 13:01:32 MSK)

Ссылка

Ответ на: комментарий от ritsufag 20.10.16 09:27:59 MSK

У тебя теперь травма на всю жизнь ? :-D

Deleted
(20.10.16 13:08:31 MSK)

Ответ на: комментарий от Deleted 20.10.16 13:08:31 MSK

Не ну это очень странно когда консольное приложение от этого зависит и ладно это какой-нибудь текстовой редактор типа nano(который кстати сразу предупреждает что консоль ему мала), но от wget я такого подвоха не ждал. Особенно когда он дергается в немаленьком скрипте.

ritsufag ★★★★★
(20.10.16 13:22:40 MSK)

Ссылка

в убунте/дебиан всегда так

chmod -R тебе поможет

targitaj ★★★★★
(20.10.16 13:25:33 MSK)

Ссылка

cd /home/$USER
find . -type f -exec chmod 640 {} \;
find . -type d -exec chmod 750 {} \;

~~h578b1bde~~ ★☆
(20.10.16 17:14:17 MSK)

Ответ на: комментарий от foror 20.10.16 10:02:10 MSK

В Ubuntu Desktop/Server, в Debian вроде так же.

В бебиянах с бубунтами вообще с «поведением по умолчанию» многое серьёзно не так. Кроме прав на ~, там ещё и сетевые сервисы сразу при установке пакета стартуют с дефолтным конфигом, который, естественно, в 99% случаев является неправильным.

Deleted
(20.10.16 17:19:56 MSK)

Ссылка

Ответ на: комментарий от h578b1bde 20.10.16 17:14:17 MSK

А потом удивляться, почему ssh по ключам не пускает.

Deleted
(20.10.16 18:35:28 MSK)

Потому что помимо юзера в ней должны читать ещё и разные системные сервисы.
Да и в случае с sudo как быть?

Ну в винде замечу этот вопрос не острый, так как на права на папку/файл можно дать нескольким отдельным пользователям и группам.
Хотя всё важно можно запереть в подпапках куда уже никого не пускать.

torvn77 ★★★★★
(20.10.16 18:39:28 MSK)
Последнее исправление: torvn77 20.10.16 18:40:39 MSK (всего исправлений: 1)

Ответ на: комментарий от torvn77 20.10.16 18:39:28 MSK

Потому что помимо юзера в ней должны читать ещё и разные системные сервисы.

Не должны.

Да и в случае с sudo как быть?

Пользоваться su.

~~h578b1bde~~ ★☆
(20.10.16 18:52:29 MSK)

Ответ на: комментарий от torvn77 20.10.16 18:39:28 MSK

Потому что помимо юзера в ней должны читать ещё и разные системные сервисы.

Это какие например?

Да и в случае с sudo как быть?

А что не так будует с sudo?

Ну в винде замечу этот вопрос не острый, так как на права на папку/файл можно дать нескольким отдельным пользователям и группам.

В линуксе тоже. man acl

Deleted
(20.10.16 18:55:07 MSK)

Ссылка

Ответ на: комментарий от h578b1bde 20.10.16 18:52:29 MSK

настроив судо единожды я поднимаю и опускаю интерфейсы без руля. а су так может?

anonymous
(20.10.16 19:05:27 MSK)

Ответ на: комментарий от anonymous 20.10.16 19:05:27 MSK

настроив судо

This.

я поднимаю и опускаю интерфейсы без руля

В этом случае права не помеха.

~~h578b1bde~~ ★☆
(20.10.16 19:06:52 MSK)

Ссылка

Ответ на: комментарий от h578b1bde 20.10.16 18:52:29 MSK

Пользоваться su.

Даже если желаемый юзер не root?

torvn77 ★★★★★
(20.10.16 21:44:12 MSK)

Ответ на: комментарий от torvn77 20.10.16 21:44:12 MSK

https://linux.die.net/man/1/su

~~h578b1bde~~ ★☆
(20.10.16 22:14:54 MSK)

Ссылка

Ответ на: комментарий от Deleted 20.10.16 08:49:32 MSK

Ещё umask правильный поставить как минимум, а то новые файлы будут создаваться с правами на чтение.

~~te111011010~~ ★
(20.10.16 23:00:14 MSK)

Ссылка

https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/3/html...

anonymous
(21.10.16 00:47:33 MSK)

Ссылка

Ответ на: комментарий от Deleted 20.10.16 18:35:28 MSK

А потом удивляться, почему ssh по ключам не пускает.

По дефолту всё нормально работает, даже если оставить доступ только для юзера:

chmod -R u=rwX,g=,o= $HOME

ArcFi ★
(21.10.16 01:54:50 MSK)

Ответ на: комментарий от ArcFi 21.10.16 01:54:50 MSK

А каким образом sshd получает доступ к ключам в $HOME с такими правами?

foror ★★★★★
(21.10.16 03:58:40 MSK) автор топика
Последнее исправление: foror 21.10.16 04:00:10 MSK (всего исправлений: 2)

Ответ на: комментарий от foror 21.10.16 03:58:40 MSK

Демон работает от рута.

ArcFi ★
(21.10.16 04:27:28 MSK)

Ссылка

Ответ на: комментарий от ArcFi 21.10.16 01:54:50 MSK

Ну правильно,на authorized_keys они и должны быть только юзера. А оратор выше делает 640 на все файлы. Соответственно по ключам этого пользователя пускать не будет.

Deleted
(21.10.16 08:47:48 MSK)

Почему по умолчанию папка /home/$USER даёт

Потому что это у тебя не папка, а мамка.

anonymous
(21.10.16 22:55:59 MSK)

Ссылка

Ответ на: комментарий от Deleted 21.10.16 08:47:48 MSK

Справедливости ради, эксперимент показал, что рекурсивное добавление права чтения для группы владельца аутентификацию по ключам не сломало.

ArcFi ★
(22.10.16 02:35:11 MSK)

Ответ на: комментарий от ArcFi 22.10.16 02:35:11 MSK

Да, действительно. Хотя раньше вроде видел где-то в доках, что на autorized_keys нужны права только у пользователя. Видимо перепутал с приватными ключами, вот они с лишними правами у меня перестают работать.

Deleted
(22.10.16 12:05:17 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Менеджер закладок

Desktop

Document indexing

→

Похожие темы