/ मीडिया / यूज़रनेम रूट: रूट के लिए डिफ़ॉल्ट अनुमतियां क्यों हैं?


20

मैंने [1] /media/usernameसे अनुमतियों को बदल दिया root:rootहै username:root। मैं समझता हूं कि उपयोगकर्ता-केंद्रित स्थान उपयोगकर्ता-केंद्रित अनुमति [2] की अनुमति देता है।

लेकिन root:rootपहली बार में इस फ़ोल्डर की अनुमति क्यों दी गई ?


[१] ताकि मैं Gnome EncFS प्रबंधक के साथ वहां एन्क्रिप्टेड फ़ोल्डर माउंट कर सकूं। उदाहरण के लिए, मैं अब एक एन्क्रिप्टेड फ़ोल्डर को माउंट कर सकता हूं /media/username/personal-documents

[२] उबंटू ने डिफॉल्ट माउंट पॉइंट को क्यों स्थानांतरित किया है? :

Udisks2 में डिफ़ॉल्ट व्यवहार के इस परिवर्तन का मूल कारण स्पष्ट है: सुरक्षा। यह सिस्टम के सभी उपयोगकर्ताओं तक पहुँच प्रदान करने के बजाय किसी विशेष उपयोगकर्ता के लिए फ़ाइल सिस्टम तक पहुँच को प्रतिबंधित करना सुरक्षित है।


माउंटिंग में आमतौर पर रूट एक्सेस शामिल होता है। आप कर सकते हैं (जैसा कि आपने किया) अनुमतियाँ ट्विक करें। हालांकि यह लिनक्स में "डिफ़ॉल्ट" व्यवहार नहीं बन सकता है। कल्पना करें कि यदि किसी उपयोगकर्ता (व्यवस्थापक नहीं) की तरह आपके पास माउंट करने की क्षमता है तो क्या होगा। यह कुल अराजकता होगी। :)
rbaleksandar

जवाबों:


20

मेरे मामले में यह है कि चीजें कैसे दिखती हैं /media:

$ ls -l /media | grep $USER
drwxr-x---+  3 root root 4096 Jan 22 15:59 oli

मूल रूप से इसका मतलब है कि केवल एक रूट उपयोगकर्ता निर्देशिका के साथ बातचीत कर सकता है। यह सुरक्षा के लिए बहुत अच्छा है (निश्चित रूप से अन्य उपयोगकर्ताओं को देखना बंद कर देता है, चलो अकेले चोरी / हटाने / डेटा बदलने) लेकिन यह वह जगह नहीं है जहां कहानी समाप्त होती है।

आप अनुमति मास्क के अंत में प्लस चिह्न देख सकते हैं। इसका मतलब है कि एक एसीएल (एक्सेस कंट्रोल लिस्ट) उपयोग में है। यह कहीं अधिक दानेदार अनुमति के लिए अनुमति देता है।

$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---

यह एसीएल के माध्यम से है जहां मेरे उपयोगकर्ता को सामग्री देखने की अनुमति है /media/oli। मुझे अभी भी सामग्री संपादित करने की अनुमति नहीं है।

आधुनिक डेस्कटॉप (ग्नोम और केडीई दोनों) में बढ़ते हुए काम है udisks2:

root      2882  0.3  0.0 195956  4048 ?        Sl   Jan16  30:35 /usr/lib/udisks/udisks-daemon
root      2887  0.0  0.0  47844   784 ?        S    Jan16   0:00 udisks-daemon: not polling any devices
root      3386  0.0  0.0 429148  6980 ?        Sl   Jan16   7:35 /usr/lib/udisks2/udisksd --no-debug

जैसा कि आप देख सकते हैं, यह वहां रूट के रूप में चल रहा है, इसलिए जब कोई इसे DBUS पर एक्सेस करता है, तो यह / home / $ USER के भीतर माउंट-पॉइंट्स बनाने में सक्षम होता है और उन्हें आपके उपयोगकर्ता को नीचे भेजता है ताकि वे सामग्री को संपादित कर सकें।

मूल रूप से मैंने जो कहा, उसमें से कोई भी परिवर्तन नहीं हुआ। मैं सिर्फ यह बता रहा हूं कि यह व्यवहार में कैसे काम करता है। यह है कि आपके डेस्कटॉप पर कुछ ऐसा है जिसमें प्रभाव को कहीं और लिखने की अनुमति है जो केवल रूट द्वारा अनुमत है, और कैसे आपके उपयोगकर्ता को अन्यथा प्रतिबंधात्मक स्वामित्व के बावजूद इसे पढ़ने की अनुमति है।

वह सब इसे एक ऐसे वातावरण में बदल देता है जो उपयोगकर्ता के डेटा के लिए सुरक्षित है, लेकिन एक ऐसा भी है जो उपयोगकर्ता के लिए माउंट के कपड़े के साथ ध्यान केंद्रित करना मुश्किल बनाता है । उदाहरण के लिए, वे आरोह-बिंदु को हटा नहीं सकते हैं या उसका नाम बदल सकते हैं, जिसके कारण समस्याएँ हो सकती हैं, जब तक कि उनकी जड़ तक पहुँच न हो।

संपादित करें : कुछ ऐसा जो मेरे साथ हुआ, वह यह है कि यह एक व्यवस्थापक को एकल उपयोगकर्ता के लिए चीजों को माउंट करने के लिए एक अच्छी जगह देता है। डिफ़ॉल्ट रूप से अनुमतियाँ इस माउंट को निजी रखने में मदद करती हैं और उपयोगकर्ता के ध्यान में रखने के विरुद्ध इस माउंट की रक्षा करती हैं। ऐसा लगता है कि /media/$user/निर्देशिका के बिना किए गए किसी चीज़ के लिए काफी हद तक डिफ़ॉल्ट है , रूट अनुमतियों की आवश्यकता होगी।


2

मैं इसके अतिरिक्त अन्य उत्तर और टिप्पणियों से सहमत हूं

root:rootमुख्य रूप से दो स्थितियों से बचने के लिए।
1. सुरक्षा जोखिम: एक हैकर स्क्रिप्ट जो डंप / देव / शून्य से / मीडिया / उपयोगकर्ता / जो रूट विभाजन को भरती है और इसलिए लॉगिन या खराब प्रदर्शन में असमर्थ है।
2. udisk2 के साथ संघर्ष: लेबल बैकअप के साथ एक विभाजन मान लें । Udisks इसे माउंट करते हैं @ / मीडिया / उपयोगकर्ता / बैकअप। उपयोगकर्ता ने मैन्युअल रूप से उपरोक्त निर्देशिका बनाई है जो udisk को माउंट पॉइंट को कुछ / मीडिया / उपयोगकर्ता / बैकअप 1 की तरह बदलने के लिए मजबूर करेगी और इस तरह बैकअप स्क्रिप्ट आदि द्वारा गुमराह किया जाएगा।


2

लिनक्स (और * nix) मानसिकता सामान्य रूप से के सिद्धांत पर आधारित है Least amount of necessary privileges.

आमतौर पर आधुनिक Desktop Environmentsआपके उपकरणों को माउंट करेगा /media/username/devicepartitionname। इसका मतलब है कि डिवाइस को प्रयोग करने योग्य होने के लिए आपको केवल devicepartitionnameफ़ोल्डर और उसके नीचे कुछ भी करने की आवश्यकता है। इसका मतलब है कि आपका फ़ोल्डर /media/usernameअभी भी स्वामित्व में हो सकता है root, और यह इसे और अधिक सुरक्षित बना देगा।

इसके अलावा किसी भी चीज़ पर बढ़ते हुए /media/usernameएक बुरा विचार है, क्योंकि इससे DEएक विभाजन को एक अन्य माउंटेड विभाजन पर एक फ़ोल्डर में माउंट करने की आपकी कोशिश होगी जो बहुत सारे FUN हो सकती है !! (भी संभावित डेटा हानि)।


एक सरल लेकिन सरलीकृत उत्तर के लिए धन्यवाद ... मैंने ऊपर स्पष्ट किया है कि GnomeEncFS /media/username/someplaceनहीं बढ़ रहा है /media/username... आप विशेष रूप से कहते हैं कि इसे जड़ से स्वामित्व में होना चाहिए, मेरे मामले में root:usernameबेहतर होगा username:root? या क्या वे दोनों एक ही सुरक्षा चिंता का परिचय देते हैं? (इस सवाल को देखें कि मुझे इसे वैसे भी क्यों पूछना है: askubuntu.com/questions/392063/… )
david.libremone

@ d3vid: निर्भर करता है, दूसरे मामले में यदि आपने डिफ़ॉल्ट अनुमति नहीं बदली है तो आपका सामान्य उपयोगकर्ता /media/user(जैसा कि यह 750 है) को लिखना संभव नहीं है, जो कि पहले मामले की तुलना में बेहतर है। बढ़ते के लिए: ऐतिहासिक रूप से /mntऔर इसके उप-निर्माताओं को किसी भी चीज़ के लिए डिफ़ॉल्ट माउंट बिंदु माना जाता है, /mediaकेवल इसलिए जोड़ा गया था कि जो लोग सिर्फ एक लिनक्स बॉक्स का उपयोग करना चाहते हैं वे वास्तव में यह समझने के बिना कि कैसे काम सभी चीजों से भ्रमित नहीं होंगे। अजीब फ़ोल्डर्स और क्या नहीं /
वोल्फ

@ d3vid: सुरक्षा चिंता के रूप में: यह इसलिए है क्योंकि जिन फ़ोल्डरों में आपके पास लिखने और पहुंच का उपयोग हैकर / पटाखा / जो कुछ भी आप उसे कॉल करना चाहते हैं / उसका उपयोग बायनेरिज़ अपलोड करने के लिए कर सकते हैं जो वे तब rootएक्सेस हासिल करने के लिए उपयोग कर सकते हैं आपका बॉक्स। (इसे विशेषाधिकार वृद्धि कहा जाता है।) हालांकि आपको अपने सिस्टम को जानबूझकर अधिक असुरक्षित नहीं बनाना चाहिए, डिफ़ॉल्ट स्थान हैं जो एक ही चीज़ की अनुमति देते हैं (और अधिक अस्पष्ट हैं और जैसे कि हैकर्स की गतिविधि कम होने की संभावना है)। तो इस मामले में "सुरक्षा चिंता" को आपके सेटअप के आधार पर अनदेखा किया जा सकता है।
वूलर

1
@Wolfer - मैंने आपके उत्तर के एक संस्करण को वापस ले लिया है जिसमें आपत्तिजनक भाषा नहीं है। चलो क्यू एंड ए को यथासंभव स्वच्छ रखने की कोशिश करें और किसी भी अपराध का कारण न बनें। धन्यवाद।
जीवाश्म
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.