ユーザーが/ mntから他のユーザーのファイルにアクセスするのを防ぎます。

ユーザーが/ mntから他のユーザーのファイルにアクセスするのを防ぎます。

私は物理計算を実行するためにリモートサーバーを使用しています。ユーザーにアクセス権がなくてもすべてのファイルを表示できる/home/some_other_userことがわかりました。/mnt/disk/some_other_user

ユーザーが他のユーザーのファイルにアクセスするのを防ぐ方法は何ですか/mnt

答え1

リモートサーバーのホームディレクトリに使用されるファイルシステムの種類は何ですか?ファイルシステムの種類を識別するには、egを実行してその行のlsblk --fsFSTYPE列を確認します。

あなたが他のユーザーのファイルを見ることができるという事実は、必ずしも他のユーザーがあなたのファイルを見ることができるという意味ではありません。通常、他のユーザーがそうしないことを決定したとしても、他の人があなたのホームディレクトリにアクセスできないようにすることができなければなりません。 (はい、デフォルトではアクセスできないように設定し、特に必要に応じてユーザーがアクセスできるようにする方が安全です。)

ホームディレクトリに他の人がアクセスできるサブディレクトリがある場合(たとえば、名前がWebページの場合)、/home/physu/public_htmlこのオプションを使用します。chmod 711 $HOMEそしてそのファイル/サブディレクトリの権限設定により、ユーザーはそのファイル/サブディレクトリにアクセスして正常に使用できます。この構成では、ls -l $HOMEホームディレクトリに対する権限をとしてリストする必要がありますdrwx--x--x

プライバシー保護を最大化するには、chmod 700 $HOME切断する前にリモートサーバーへの別の接続を確立してログインしてテストしてください。これにより、drwx------自分以外に誰も権限を持たないようにホームディレクトリに対する権限が設定されます。場合によっては、一部の認証システムは root ではなくユーザーとして実行でき、ホームディレクトリへのアクセス権が必要な場合があります。chmod 700 $HOMEログインできない場合は、既存の接続を使用して設定してくださいchmod 711 $HOME

特に、ユーザーのホームディレクトリが適切な作業権限を持たないファイルシステムに保存されていて、事実を事前に警告していない場合は、リモートサーバーの管理者に連絡することもできます。

管理者は、誰にでもフルアクセス許可を割り当てることで、/mnt/disk誰でもそこにディレクトリを作成できるようになります。しかし、あなたはあなたが作るすべてのための権限を常に制御します、どこにいてもそのようなものあなたの。 Unixシリーズシステムでこの問題が発生する可能性がある唯一のケースは、デフォルトのファイルシステムがファイルの所有権と権限(FAT32ファイルシステムなど)をサポートしていない場合です。

/mnt/disk/physu自分で作成した場合は、これを実行できるようになり、そのchmod 700 /mnt/disk/physuディレクトリのすべての内容が他のすべての人に禁止されます。

run ls -ld /mnt/disk: 表示権限があれば、drwxrwxrwx誰もがその中にファイルやディレクトリを作成でき、誰でもできるようになります。削除他の人のファイルとディレクトリ。これを防ぐために、同様の共有ディレクトリには多くの場合、権限が設定され、削除するdrwxrwxrwtには何かを所有する必要があるという追加の制限が追加されます。

次に、次を実行しますls -ld /mnt/disk/your_username。現在どのような権限がありますか?ディレクトリはあなたのものですか、それとも管理者が所有していますか?管理者があなたにディレクトリの所有権を割り当てた場合は、その権限を変更できます。他のユーザーがディレクトリを所有しているが、書き込み権限がある場合は、そのディレクトリにサブディレクトリを作成してプライベートに設定できます。

mkdir /mnt/disk/your_username/private
chmod 700 /mnt/disk/your_username/private

これで、権限を調整できなくても、/mnt/disk/your_usernameその下に権限を必要に応じて正確に設定できるサブディレクトリを作成しました。

Unixシステムへのコマンドラインアクセス権がある場合、通常はホームディレクトリの外部に読み取りアクセス権が必要な複数の場所があります。

  • /etc/ほとんどすべてのプロセスがそこから重要な構成設定を読む必要があるからです。
  • /lib/,,,/usr/lib/このように/bin命令/usr/binを実行でき、命令は必要な共有ライブラリファイルを見つけることができます。
  • 多くのシステムコンポーネントの下に重要なデータがあるかもしれません/var

書くホームディレクトリ外のアクセスはさらに制限されます。通常、ユーザーはそれぞれ短期および長期の一時ファイルとローカル電子メールメールボックスファイルの標準的な場所である/tmp/ホームディレクトリの外部からのみ書き込みアクセス権を持ちます。/var/tmp//var/mail/<username>

関連情報