私はコマンドを使用します
ntfsusermap /dev/sda1
Debian ベースの Linux ディストリビューションを使用して、NTFS USB 外部ドライブ (Windows ですでに作成された多くのドライブ) を使用するためのマッピングファイルを作成します。このコマンドを実行すると、次の内容が表示されます。
したがって、私のLinuxアカウントUID 1000を入力すると、次のメッセージが表示されます。
問題を引き起こす可能性のあるグループを定義していません。標準グループ定義を受け入れますか?
グループGIDを入力する手順が表示されず、グループなしでマッピングファイルを作成し続けるか、プロセスを中断するためにEnterをクリックするオプションがないため、理由がわかりません。生成されたマッピングファイルの構造は次のとおりです。
# Generated by ntfsusermap for Linux, v 1.2.0
:p1:S-1-5-21-7728005000-258166423-2201256221-513
p1:p1:S-1-5-21-7728005000-258166423-2201256221-1001
最後の行は、S-1-5-21-7728005000-258166423-2201256221-1001
外付けハードドライブにすでに存在するファイルに書き込むために使用されるWindowsユーザーアカウントのSIDと正確に一致します。
一部のサーバーアプリケーションでこのように生成されたマッピングファイルを使用しようとすると、次のメッセージが表示されます。
あなたのデータディレクトリは他のユーザーが読むことができます
他のユーザーがディレクトリを一覧表示できないように、権限を0770に変更してください。
同様の問題を回避するには、ドライブをどのようにマッピングする必要がありますか?
答え1
-1001
わかりました。ユーザーSID(で終わる)とグループSID(で終わる-513
)は、Linuxユーザーアカウントp1
とその個人グループにそれぞれマップされているようですp1
。
SIDマッピングを議論するときは、いくつかのことを知ることが重要です。Windowsのよく知られているSIDです。
形式のSIDS-1-5-21-<domain_specific_part>-513
はよく知られているSIDです。ドメインユーザーすべての一般ドメインユーザーアカウントを含むグループ。
chown
NTFS-3gドライバを使用してマウントされたファイルシステムにSIDマッピングを適用すると、クラシックUnixスタイルとコマンドを使用できる必要がchgrp
あり、chmod
ドライバは自動的にそのNTFS ACLを生成します。クラシックUnixスタイルが制限すぎる場合は、getfacl
/をsetfacl
使用してPosixスタイルACL(ドライバによってNTFS ACLに変換されます)を使用することもできます(NTFS-3gドライバがコンパイルされたときにこの機能が有効になっている場合)。
情報
あなたのデータディレクトリは他のユーザーが読むことができます
他のユーザーがディレクトリを一覧表示できないように、権限を0770に変更してください。
問題のアプリケーションは、単にUnixスタイルの権限を見てみると、そのアプリケーションの好みに比べてあまり許容できないことがわかりました。明らかにUnixスタイルで見ると、データディレクトリの権限は最小限ですdrwx???r-x
。 Unixスタイルの所有者とグループがとしてマークされていると仮定すると、p1
実際のデフォルトのNTFS ACLは次のようになります。
- ユーザー
p1
: すべての権限 p1
ドメインユーザー:?- 全員:読む(すべての権限を含む)
アプリは最後の部分を心配しています。しかし、その提案はポイントを見逃しています。を使用するとchmod 770 <data_directory_pathname>
エラーメッセージを避けることができますが、グループへのフルアクセスが確立されます(中間7
、グループ権限にマップされますrwx
)...そして、SIDチェックを使用すると、実際に関連するグループが上記の「ドメインユーザー」であることがわかります。 。 「ドメイン内のすべての一般的なWindowsユーザーはこのグループに属しています!だからそれはそれほど保護的ではありません。
アプリケーションの「データディレクトリ」がプライベートである必要がある場合は、アプリケーションが提案するように2つのオプションがあります。
1.)現在のSIDマッピングを維持し、アプリケーションデータディレクトリに対する権限を有効または設定することで、chmod 700 <data_directory_pathname>
Linux(WindowsおよびLinux)で表示するときにディレクトリへのアクセスをユーザーに制限することができます。chmod go-rwx <data_directory_pathname>
drwx------
p1
2.)または適切なWindowsを作成することができますグループデータディレクトリの場合は、対応するLinuxグループの名前をp1
。次に、WindowsグループのSIDをマッピングファイルとして編集するか、ファイルntfsusermap
システム内の1つ以上のNTFS ACLでWindowsグループを使用してツールを再実行します。
アプリケーション自体がdrwxrwx---
データディレクトリに対する権限を0770として提案しているため、グループへのフルアクセス権限について不平を言うことはありません(つまり、権限の最後の3つ(「その他」の3つまたはWindowsの用語でEveryone
ACLエントリ)です。)心配です。