umask 077の欠点?

umask 077の欠点?

077の限定的なumaskの欠点は何ですか?多くのディストリビューション(Red Hatを除くすべてのディストリビューションは?)には、/ etc / profileにデフォルトのumask 022が設定されています。複数のユーザーがアクセスしているデスクトップ以外のシステムでは、これは安全すぎないように見え、セキュリティが問題になります。

関連するメモでは、Ubuntuではユーザーのホームディレクトリも755権限で作成されます。ユーザーが手動でファイル共有権限を設定しようとすると、これは問題ではありません。

他の欠点は何ですか?

答え1

022 便利にしてください077を使用すると利便性が低下しますが、状況や使用方法によっては必ず使用するよりも不要な場合がありますsudo

sudo私の考えでは、これから得られる実用的で測定可能なセキュリティの利点は、自分やユーザーが経験している痛みに比べて微妙だと思います。コンサルタントとして私は私の意見のために蔑視され、sudo数多くの設定を破らなければならないという挑戦を受けましたsudoが、まだそれをするのに15秒以上を費やしていません。あなたの電話。

知っておくと良いですumaskが、「完璧な朝食」にはトウモロコシチップ一個に過ぎません。おそらく、「インストールプロセス全体で一貫して文書化され、愚かではない人々に正当化されなければならない基本的な構成を台無しにする前に、それは私に何をもたらしますか?」と自分に尋ねなければなりません。 」

Umaskは、個々のユーザーがシェル初期化ファイル()で設定できるbash組み込み機能なので、~/.bash*実際に簡単に強制することはできませんumask。単なるデフォルトです。つまり、それはあなたにあまり良いことをしません。

答え2

最も明白な欠点は、共有ディレクトリにファイル/ディレクトリの作成を開始し、他のユーザーがそのファイル/ディレクトリにアクセスすることを期待することです。

もちろん、すべてのユーザーが共有する必要がある作業を実行する前に、正しいumaskを設定することを忘れないことが重要です。

もう1つの注意点(この事実に気付いたら、実際に欠点ではない)は、ローカルプログラム、Ruby gem、Python Eggs(明らかにOS管理パッケージではない)のインストール、設定ファイルの作成などのsudo操作を開始するときです。

umaskはsudoセッションから継承されるため、ルートのみが作成したファイル/ディレクトリにアクセスできるため、問題が発生します。 sudoは、umaskを好みの方法で自動的に設定するように設定できます。この問題はsuperuser.comでカバーされています。

答え3

他のユーザーが互いに見えるコンテンツを制御したい場合、Umaskは適切ではありません。しかし、機密性の高いファイルをあまりにも所有して使用してアクセス権を要求することが、人々が望むものを見るのを許可するよりも面倒で危険な場合は、umask 077を使用することをお勧めします。

私が管理するファイルサーバーに機密ファイルがいくつかあります。制限的なumaskを設定してから、定期的なスクリプトとcron操作を使用して特定のフォルダ内のアイテムに対してより具体的な権限を設定することが私にとって理想的なソリューションになると思います。この設定が完了したら、ここにもう一度投稿して、その仕組みをお知らせします。

@ [Sudoをbashする人] 新しいスレッドを起動します。独自のスレッドが複数必要になる場合があり、そのスレッドはumaskに関するものです。

答え4

この行が入っています。~/.zshrc

umask 0077

グローバルに設定するのはおそらく良い考えではありません。ただし、rcファイルでデフォルト値に設定すると問題になりません。または、ファイルのデフォルト値に設定しても問題はありません/etc/skel/.rc。ただし、システム全体に問題が発生する可能性があります。

関連情報