Linuxホームディレクトリの基本権限

Linuxホームディレクトリの基本権限

この問題UnixおよびLinux:/home/に対する権限は755です。私の質問の一部を扱っていますが:

755ほとんどの場合、ホームディレクトリにはデフォルトの権限があります。ただし、これにより、他のユーザーが自分のホームフォルダに入ってコンテンツを表示できるようになります。

権限を711(rwx--x--x) に変更すると、フォルダを参照できますが、何も表示できないことを意味します。authorized_keysこれはSSHがある場合は必須です。 SSH がない場合、公開鍵を使用してシステムにアクセスしようとすると、SSH でエラーが発生します。

authorized_keysSSHがアクセスでき、postfix / mailが必要なファイルにアクセスでき、システムが設定ファイルにアクセスできますが、すべてがシステムを通過する必要がないようにフォルダ/ディレクトリを設定する方法はありますか?

711設定されたフォルダを手動で作成できますが、各設定に対して毎回これを行うことを覚えておくと、エラーが発生しやすいです(私の立場では)。~/.ssh/authorized_keys644

特に共有しない限り、基本的にすべてのファイルはプライベートであると思いましたが、2つのUbuntuボックス(もちろんサーバーボックス)を使用すると、誰でも新しく作成されたすべてのファイルを読み取ることができます。デフォルト設定では少しずれているようです。

答え1

で述べたように手動既定では、既定のフォルダーはフォルダーをコピーuseraddして作成されるため、/etc/skelそのサブフォルダーのアクセス許可を変更すると、デフォルトの useradd で作成されたすべてのユーザーに必要な権限があります。以下にも適用されます。ユーザーを追加。 /etc/login.defsで「UMASK」を編集すると、ホームフォルダを作成するときに権限が変更されます。

より多くのユーザーセキュリティが必要な場合は、ホームフォルダを暗号化して/etc/ssh/%u代わりにSSHキーを入れることができます/home/%u/.ssh/authorized_keys

答え2

権限の設定方法は、全体的なセキュリティポリシーとユースケースによって異なります。これまで、Unixシステムは、数百人のユーザーがシリアル端末(たとえばDEC VT-220)を介して同時にログインする真のマルチユーザーシステムでした。この場合、あなたの視点が問題になる場合があります。 Unix は、セキュリティがそれほど重要ではない、または少なくとも円滑なコラボレーションほど重要ではない大学などの学術環境でよく使用されます。

最近では、Unix(特にLinuxの化身)がサーバーシステムとして使用されています。この場合、ホームディレクトリを制限することは意味がありません(とにかくそれほど多くはありません)。あるいは、通常、ユーザーが1人だけのデスクトップで使用されます。この場合、ホームディレクトリを制限することも意味がありません。

ある意味、あなたは正しいです。しかし、これはあまり関係がありません。最大ユースケース(特にシングルユーザーの状況)とそのリスクプロファイルに応じて、0755のホームディレクトリ権限は0700、0711、または0777と同じです。

付録

しかし、1人のユーザーでも、基本アカウント、オンラインバンキング用アカウント、一般的なWebサーフィン用アカウントなど、複数のユーザーアカウントを保有することになり、一種のサンドボックスのように使用することができる。この場合、より厳格なライセンスが必要です。

関連情報