.profile
Linuxシステムでファイルを確認しました。権限が.bash_profile
あります。~
-rw-r--r--
人々は、多くの場合、AWSキーなどを含むさまざまな環境変数をこれらのファイルに配置するようです。
これらの非所有者Rビットは、ホームディレクトリ自体がdrwx------
。
しかし。
これは潜在的な攻撃面を増加させませんか?多くのLinuxディストリビューションがデフォルトでこれらのRビットを有効にするのはなぜですか?現在動作している特定のユースケースはありますか?
ところが.bash_history
あります-rw-------
。そのため、テーマのファイルよりも非公開に見えます。理由がわからない。
答え1
まず、デフォルトの設定ファイルにはパスワードが含まれておらず、これらのファイルの情報は一般的に機密ではありません。機密情報はここに入ることがほとんどなく、一般的にあまり変わりません。機密情報をここに入れたい場合は、その時点で権限を変更できます。重要な情報は、別のファイルに入れて設定ファイルからインポートすることをお勧めします。一方、.bash_history
最近の活動を含む多くの個人情報を含めることができます。
第二に、環境変数はコマンドをどのように使用しても誰でも読むことができるので、ps
とにかく機密情報を環境変数に入れるのは安全ではないので、.bashrc
環境設定を入れてから誰でも読めるようにすることは重要ではありません。セキュリティを削減します。環境変数はすでに誰でも読むことができるからです。
答え2
それは間違っています。読むことはできません。これには、API キーを含む環境変数の定義など、機密情報を含めることができます。
TXR言語ではこれについて何かをしました。対話型セッションが開始されたら、起動ファイルの権限を確認して診断を実行します。
$ ls -l ~/.txr_profile
-rw-r----- 1 kaz kaz 775 Aug 2 2021 /home/kaz/.txr_profile
$ txr
This is the TXR Lisp interactive listener of TXR 292.
Quit with :quit or Ctrl-D on an empty line. Ctrl-X ? for cheatsheet.
Merry GNUsmas, dear FSF friends! ... Crap, wait. That's 'Samsung' backwards!
1>
$ chmod go+r ~/.txr_profile
$ txr
This is the TXR Lisp interactive listener of TXR 292.
Quit with :quit or Ctrl-D on an empty line. Ctrl-X ? for cheatsheet.
** security problem: /home/kaz/.txr_profile is readable by others
1>
構成ファイルを実行しないため、ランダム参照は表示されません。無効な権限でプロファイルを作成すると、プロファイルに入力したすべての項目は実行されません。プロファイルが機能するには権限を変更する必要があります。
Bash 履歴は、デプロイメントではなくファイルを生成し、Bash が正しい生成マスクを使用するため、非公開です。
ただし、または~/.bash_history
に変更して新しいBashインスタンスを起動すると、警告は表示されません。こんな!rw-r--r--
rw-rw-rw-