簡単な説明:基本的に私のファイルumask
は0022
そのため、個人ファイルはほとんどですrw-r--r--
。セキュリティに関して、単一のログインノートブックではどのような具体的な変更が推奨されますか?
長いバージョン:UNIXがマルチユーザーシステムとして設計されたとき、グループ/その他の権限はかなり重要であり、他の長髪の技術のパイオニアがホームディレクトリなどを垣間見ることができないようにしました。
しかし、個人ファイルに対するumask /グループ/その他の権限は、シングルサインオンノートブックでは重要ですか?これが重要なのは、誰かがあなたのコンピュータに物理的にアクセスするか、トロイの木馬をインストールする必要があると思います。この場合、とにかくすべての賭けはキャンセルされます。
おそらく以前のように気分が良くなるかもしれませんがgo-rwx
、$HOME
自分が何をしているのか本当に知らない限り、umaskを変更してはいけないという文をどこかで読んでいましたが、おそらくそうしないでしょう。
基本的なオペレーティングシステムの動作を信頼し、個人ファイルの権限を気にする必要はありませんか?それとも、新しいコンピュータを使用するたびに常にいくつかのベストプラクティス設定を適用しますか?
答え1
〜のように先行は達成するのが難しい 説明する、ラップトップには、さまざまな目的を果たす人ではなく、アカウントがたくさんあります。以下を実行して実際に表示できます。
ps -f -N -u root -u $(whoami)
(これにより、rootまたはユーザーとして実行されていないすべてのプロセスの詳細が表示されます。)
1つの特性を共有するプロセスがかなり多いことがわかります。これらのプロセスは何らかの方法で外部からアクセスできます。一般的なノートブックには正式に実行されているサーバープロセスはありません。これには、ログイン画面、VPN(存在する場合)、DNSヘルパー(Avahiなど)などのタスクが含まれます...これらのタスクを他のユーザーとして実行します。外部攻撃からある程度保護してくれます。なぜなら、ファイルが破損しても適切な権限がある限り、ファイルはすぐに破損しないからです。
シングルユーザーシステムでユーザー権限を決定すると、これはより関連性が高くなります。する「公式」サーバー(Webサーバー、プリントサーバー...)の実行を開始したり、潜在的に危険なユースケース(Flashナビゲーション、ゲームの実行)を分離するために複数のユーザーアカウントの使用を開始した場合渡す蒸気...)。
ただし、セキュリティは常に妥協の問題であり、誰もベストプラクティスを推奨できません。あなた特定の作業モデル、関心のあるデータ、保護する攻撃のシナリオを知りません。通常、共通0022はumask
合理的なデフォルトです(他の人がファイルを上書きまたは削除するのを防ぎますが、システムユーザーとして実行されているシステムサービスはまだファイルを読み取ることができます)。