다른 사용자가 내 홈 폴더의 파일을 볼 수있는 이유는 무엇입니까?

36

방금 권한이없는 새 "데스크톱 사용자"를 추가했는데 홈 폴더에있는 파일을 볼 수 있다는 사실에 놀랐습니다.

이러한 lax 권한을 설정하는 데 합리적인 이유는 무엇입니까?

— ændrük
소스

관련 : unix.stackexchange.com/a/315197/85039

— Sergiy Kolodyazhnyy 2013 년

32

다른 사용자와 파일을 공유 Public할 수 있는 폴더가 홈 디렉토리 ( /home/user)에 있습니다. 다른 사용자가이 Public폴더에 액세스 하려면 월드 디렉토리 의 실행 비트를 홈 디렉토리에 설정해야합니다.

다른 사람이 홈 폴더 ( www-data웹 서버를 좋아 하는 다른 사람이나 사용자)에 액세스하도록 허용 할 필요가 없으면 기본 권한이 750이므로 chmod o-rwx "$HOME""other"에서 읽기 / 쓰기 / 실행을 제거하면됩니다. chmod 750 "$HOME"). 그렇지 않으면, 새로 작성된 파일이 기본적으로 세계에 대한 읽기 권한을 얻지 못하도록 umask설정 도 변경해야합니다 .

시스템 전체 구성의 경우 편집 /etc/profile; 사용자 별 설정은에서 구성 할 수 있습니다 ~/.profile. 모든 사용자에게 동일한 정책을 선호하므로 /etc/profile파일을 편집하고 다음 줄을 추가합니다.

umask 027

쉘에 있지 않으면 이러한 변경 사항을 적용하려면 다시 로그인해야합니다. 이 경우 umask 027쉘에서 실행할 수 있습니다 .

기존 권한을 수정하려면 다른 권한에서 읽기 / 쓰기 / 실행 권한을 제거해야합니다.

chmod -R o-rwx ~

이제 ~/Public폴더를 모든 사람과 공유하기로 결정한 경우 다음 명령을 실행하십시오.

chmod o+x ~-모든 사람이 디렉토리에서 내려갈 수 x있지만 ( ) 디렉토리 목록을 얻지 r못함
find ~/Public -type f -exec chmod o+r {} \; -모두가 파일을 읽을 수 있도록 허용 ~/Public
find ~/Public -type d -exec chmod o+rx {} \; -모든 사람이 디렉토리로 내려 가서 내용을 나열 할 수 있도록 허용

당신이 사용하는 GNU의로 coreutils 인 경우 (예 : 우분투뿐만 아니라 갖는 임베디드 시스템에 busybox), 다음 앞의 두 사용하여 명령 find및 chmod추가 재귀 적 폴더를 읽을 수있는 파일 (수 있음을이 하나의 명령으로 대체 할 수 있으며)이 하강합니다 (실행 추가 디렉토리 전용 비트 ) :

chmod -R o+rX ~/Public

— 레켄 스테인
소스

13

Ubuntuforms.org 직원 에 따르면 새 사용자간에 파일을보다 쉽게 공유 할 수있게하는 것입니다.

다른 사람이 파일을 읽고 실행할 수 없도록하려면 권한을 700 또는 750으로 변경할 수 있습니다.

명령은 다음과 같습니다

chmod 750 $HOME

참고 : 우분투 기본값은 755입니다

— 제이슨 아이버슨
소스

2

물론 다른 사용자 는 sudoers해서는 안됩니다 .

— Pablo A

7

마크 셔틀 워스에 따르면 ,

"우분투 시스템 사용자의 대다수는 기계 (개인용 랩탑)를 독점적으로 사용하거나 친구 및 친척과 공유하고 있습니다. 기계를 공유하는 사람들은 기계를 신뢰하거나 기계를 해킹 할 수있는 위치에 있다고 가정합니다 (부팅) "USB에서!)

... 해당 권한을 제거하지 못합니다.

— 점화
소스

12

나는 Server 버전에서 동일한 기능을 가진 것은 보안 구멍 생각

— warvariuc

4

그것은 미친 설명입니다. 사람 계정 외에 사람들이 응용 프로그램을 격리하는 데 사용할 수있는 기술 계정이 있습니다. 또한 컴퓨터에서 기본적으로 계정을 공유하는 로컬 ftp 서버를 설정하는 방법에 대한 지침이 많이 있습니다.

— Barafu Albino

4

나는 이것이 오래된 스레드라는 것을 알고 있지만 이것을 바보 같은 결정으로 생각합니다. 사용자 중 하나가 다른 프로파일에서 파일을 읽고 보낼 수있는 앱 / 스크립트 (의도하지 않음)를 실행한다고 상상해보십시오.

— mauron85

5

필요한 세부 사항을 다루는 Ubuntu 서버 안내서 의 사용자 관리 섹션을 읽을 수 있습니다 . 사용자 프로필 보안 공식적으로 - 단락은 아마 당신의 질문에 대답합니다.

— 파블로 스 G.
소스

4

공식 출처에 감사드립니다. 그러나 슬프게도 정당성을 제공하는 것처럼 보이지 않습니다.

— ændrük

1

Lekensteyn 의 대답은 -X 옵션을 사용하여 마지막 두 개의 find 명령을 chmod로 바꾸면 개선 될 수 있다고 생각 합니다 (자본 X 참고). 두 개의 찾기 명령은

chmod -R o+rX ~/Public

이것은 파일과 디렉토리를 적절히 구분하지만 다른 사람이 실행 파일을 실행할 수있게하는 추가적인 효과가 있습니다.

— 스핀 업
소스

0

(적용된 태그로 판단 할 때) 관심있는 개인 정보이므로 권한 설정이 충분하지 않을 수 있습니다 ( ignis 's answer 참조 ). 대답은 암호화 된 홈 디렉토리 의 줄에 있는 것일 수 있습니다 . 이 솔루션은 컴퓨터의 다른 사용자의 공격에 대비하여 특별히 설계되었습니다. 물론 다른 사용자가 파일을 손상시키는 것을 막을 수는 없지만 (단순히 ~/.Private디렉토리 를 제거 하여 모든 파일을 지워서) 디렉토리를 마운트하고 비밀번호없이 파일을 볼 수는 없습니다.

가장 쉬운 방법은 설치 과정에서 "홈 디렉토리 암호화"라는 확인란이 있으며이를 선택해야합니다.

이를 위해 다시 설치하기는 어렵고 (다시 설치하지 않고 수행하는 데 따르는 모든 위험이 여전히 있기 때문에) 다음을 수행 할 수 있습니다.

sudo apt-get install encryptfs-utils
encryptfs-migrate-home

— v010dya
소스

-1

높은 수준의 보안이 필요한 경우 : 다시 설치하고 전체 디스크를 암호화하는 옵션을 선택하십시오. 컴퓨터를 시작하기 위해서는 암호가 필요합니다. 물론 성능 저하로 홈 폴더를 다시 한 번 더 암호화 할 수도 있습니다. 정상적인 사용에는 눈에 띄지 않습니다.

홈 폴더를 암호화하면 Dropbox와 같은 응용 프로그램이 비활성화됩니다. Dropbox는 프라이버시를 존중하는 안전한 저장소가 아니므로 중요한 시점 일 수 있습니다. 그러나 클라우드에 보안 및 개인 스토리지가 필요한 경우 데이터에만 액세스 할 수있는 키가 있으므로 MEGAsync를 개인적으로 권장합니다.

— SLS
소스