ntfs-3g usermapを使用して「他のユーザーがあなたのデータディレクトリを読むことができます」エラーを解決する方法

ntfs-3g usermapを使用して「他のユーザーがあなたのデータディレクトリを読むことができます」エラーを解決する方法

私はコマンドを使用します

ntfsusermap /dev/sda1

Debian ベースの Linux ディストリビューションを使用して、NTFS USB 外部ドライブ (Windows ですでに作成された多くのドライブ) を使用するためのマッピングファイルを作成します。このコマンドを実行すると、次の内容が表示されます。

ここに画像の説明を入力してください。

したがって、私のLinuxアカウントUID 1000を入力すると、次のメッセージが表示されます。

問題を引き起こす可能性のあるグループを定義していません。標準グループ定義を受け入れますか?

グループGIDを入力する手順が表示されず、グループなしでマッピングファイルを作成し続けるか、プロセスを中断するためにEnterをクリックするオプションがないため、理由がわかりません。生成されたマッピングファイルの構造は次のとおりです。

# Generated by ntfsusermap for Linux, v 1.2.0
:p1:S-1-5-21-7728005000-258166423-2201256221-513
p1:p1:S-1-5-21-7728005000-258166423-2201256221-1001

最後の行は、S-1-5-21-7728005000-258166423-2201256221-1001外付けハードドライブにすでに存在するファイルに書き込むために使用されるWindowsユーザーアカウントのSIDと正確に一致します。

一部のサーバーアプリケーションでこのように生成されたマッピングファイルを使用しようとすると、次のメッセージが表示されます。

あなたのデータディレクトリは他のユーザーが読むことができます

他のユーザーがディレクトリを一覧表示できないように、権限を0770に変更してください。

同様の問題を回避するには、ドライブをどのようにマッピングする必要がありますか?

答え1

-1001わかりました。ユーザーSID(で終わる)とグループSID(で終わる-513)は、Linuxユーザーアカウントp1とその個人グループにそれぞれマップされているようですp1

SIDマッピングを議論するときは、いくつかのことを知ることが重要です。Windowsのよく知られているSIDです。

形式のSIDS-1-5-21-<domain_specific_part>-513はよく知られているSIDです。ドメインユーザーすべての一般ドメインユーザーアカウントを含むグループ。

chownNTFS-3gドライバを使用してマウントされたファイルシステムにSIDマッピングを適用すると、クラシックUnixスタイルとコマンドを使用できる必要がchgrpあり、chmodドライバは自動的にそのNTFS ACLを生成します。クラシックUnixスタイルが制限すぎる場合は、getfacl/をsetfacl使用してPosixスタイルACL(ドライバによってNTFS ACLに変換されます)を使用することもできます(NTFS-3gドライバがコンパイルされたときにこの機能が有効になっている場合)。

情報

あなたのデータディレクトリは他のユーザーが読むことができます

他のユーザーがディレクトリを一覧表示できないように、権限を0770に変更してください。

問題のアプリケーションは、単にUnixスタイルの権限を見てみると、そのアプリケーションの好みに比べてあまり許容できないことがわかりました。明らかにUnixスタイルで見ると、データディレクトリの権限は最小限ですdrwx???r-x。 Unixスタイルの所有者とグループがとしてマークされていると仮定すると、p1実際のデフォルトのNTFS ACLは次のようになります。

  • ユーザーp1: すべての権限
  • p1ドメインユーザー:?
  • 全員:読む(すべての権限を含む)

アプリは最後の部分を心配しています。しかし、その提案はポイントを見逃しています。を使用するとchmod 770 <data_directory_pathname>エラーメッセージを避けることができますが、グループへのフルアクセスが確立されます(中間7、グループ権限にマップされますrwx)...そして、SIDチェックを使用すると、実際に関連するグループが上記の「ドメインユーザー」であることがわかります。 。 「ドメイン内のすべての一般的なWindowsユーザーはこのグループに属しています!だからそれはそれほど保護的ではありません。

アプリケーションの「データディレクトリ」がプライベートである必要がある場合は、アプリケーションが提案するように2つのオプションがあります。

1.)現在のSIDマッピングを維持し、アプリケーションデータディレクトリに対する権限を有効または設定することで、chmod 700 <data_directory_pathname>Linux(WindowsおよびLinux)で表示するときにディレクトリへのアクセスをユーザーに制限することができます。chmod go-rwx <data_directory_pathname>drwx------p1

2.)または適切なWindowsを作成することができますグループデータディレクトリの場合は、対応するLinuxグループの名前をp1。次に、WindowsグループのSIDをマッピングファイルとして編集するか、ファイルntfsusermapシステム内の1つ以上のNTFS ACLでWindowsグループを使用してツールを再実行します。

アプリケーション自体がdrwxrwx---データディレクトリに対する権限を0770として提案しているため、グループへのフルアクセス権限について不平を言うことはありません(つまり、権限の最後の3つ(「その他」の3つまたはWindowsの用語でEveryoneACLエントリ)です。)心配です。

関連情報