Saya telah mengubah izin dari /media/username
dari root:root
ke username:root
[1]. Saya mengerti bahwa lokasi yang berpusat pada pengguna memungkinkan izin yang berpusat pada pengguna [2].
Tetapi mengapa izin untuk folder ini root:root
pada awalnya?
[1] Agar saya dapat memasang folder terenkripsi di sana dengan Gnome EncFS Manager. Sebagai contoh, saya sekarang dapat me-mount folder terenkripsi sebagai /media/username/personal-documents
.
[2] Dari Mengapa Ubuntu memindahkan titik pemasangan default? :
Akar penyebab perubahan perilaku default di udisks2 ini tampak jelas: keamanan. Lebih aman untuk membatasi akses ke sistem file ke satu pengguna tertentu daripada memberikan akses ke semua pengguna sistem.
permissions
mountpoint
udisks
david.libremone
sumber
sumber
Jawaban:
Dalam kasus saya ini adalah bagaimana hal-hal terlihat
/media
:Pada dasarnya ini berarti bahwa hanya pengguna root yang dapat berinteraksi dengan direktori. Ini bagus untuk keamanan (tentu saja menghentikan pengguna lain untuk melihat, apalagi mencuri / menghapus / mengubah data) tetapi itu bukanlah akhir cerita.
Anda mungkin melihat tanda plus di akhir topeng izin. Ini berarti ACL (Access Control List) sedang digunakan. Ini memungkinkan izin yang lebih rinci.
Melalui ACL tempat pengguna saya diizinkan untuk melihat konten
/media/oli
. Saya masih tidak diizinkan mengedit konten.Hal yang dilakukan pemasangan di desktop modern (baik Gnome dan KDE) adalah
udisks2
:Seperti yang Anda lihat, itu berjalan di sana sebagai root, jadi ketika sesuatu mengaksesnya melalui DBUS, ia dapat membuat titik-mount di / home / $ USER dan mengirimkannya ke pengguna Anda sehingga mereka dapat mengedit konten.
Tidak ada yang mengubah apa yang saya katakan pada awalnya. Saya hanya menjelaskan cara kerjanya dalam praktik. Ini adalah bagaimana sesuatu di desktop Anda dalam efek diperbolehkan untuk menulis di suatu tempat yang hanya diizinkan oleh root, dan bagaimana pengguna Anda diizinkan untuk membacanya meskipun ada kepemilikan yang sebaliknya.
Semua itu mengubahnya menjadi lingkungan yang aman untuk data pengguna tetapi yang juga membuat sulit bagi pengguna untuk ikut campur dengan tatanan mount. Mereka tidak dapat, misalnya, menghapus titik-mount atau mengganti nama yang dapat menyebabkan masalah kecuali mereka memiliki akses root.
Sunting : Sesuatu yang baru saja terjadi pada saya adalah bahwa itu juga memberikan administrator tempat yang baik untuk me-mount sesuatu untuk satu pengguna. Izin secara default membantu menjaga mount ini tetap pribadi dan melindungi mount ini terhadap campur tangan pengguna. Sepertinya default yang cukup waras untuk sesuatu yang dilakukan tanpa
/media/$user/
direktori, akan memerlukan izin root.sumber
Saya setuju dengan jawaban dan komentar lain di samping itu
root:root
terutama untuk menghindari dua situasi.1. Risiko keamanan: Skrip hacker yang membuang / dev / nol ke / media / pengguna / yang mengisi partisi root dan karenanya tidak dapat masuk atau kinerja buruk.
2. Konflik dengan udisk2: Asumsikan partisi dengan cadangan label . Udang memasangnya @ / media / pengguna / cadangan. pengguna secara manual membuat direktori di atas yang akan memaksa udisk untuk mengubah mount point ke sesuatu seperti / media / user / backup1 dan dengan demikian disesatkan oleh skrip cadangan dll.
sumber
Mentalitas Linux (dan * nix) secara umum didasarkan pada prinsip
Least amount of necessary privileges.
Biasanya modern
Desktop Environments
akan memasang perangkat Anda di bawah/media/username/devicepartitionname
. Ini berarti bahwa agar perangkat dapat digunakan, Anda hanya perlu memilikidevicepartitionname
folder dan apa pun di bawahnya. Ini berarti bahwa folder Anda/media/username
masih dapat dimiliki olehroot
, dan itu akan membuatnya lebih aman.Juga memasang apa pun pada
/media/username
adalah ide yang buruk, karena itu akan membuat AndaDE
mencoba untuk me-mount partisi ke folder di partisi mount lain yang dapat menyebabkan banyak !! MENYENANGKAN !! (juga kemungkinan hilangnya data).sumber
/media/username/someplace
tidak/media/username
... Anda secara khusus mengatakan itu harus dimiliki oleh root, akanroot:username
lebih baik daripadausername:root
dalam kasus saya? atau apakah mereka berdua memperkenalkan masalah keamanan yang sama? (lihat pertanyaan ini untuk alasan mengapa saya harus tetap melakukannya askubuntu.com/questions/392063/... )/media/user
(karena itu 750) yang sedikit lebih baik daripada kasus pertama. Adapun pemasangan: secara historis,/mnt
dan subfoldernya dianggap sebagai titik pemasangan default untuk apa pun,/media
itu hanya ditambahkan sehingga orang yang hanya ingin menggunakan kotak linux tanpa benar-benar memahami bagaimana hal-hal yang bekerja tidak akan bingung oleh semua folder aneh dan yang lainnya aktif/
.root
akses ke kotakmu. (Ini disebut hak istimewa eskalasi.) Meskipun Anda tidak seharusnya membuat sistem Anda dengan sengaja lebih tidak aman, ada tempat-tempat default yang memungkinkan hal yang sama (dan lebih tidak jelas sehingga mengurangi kemungkinan aktivitas peretas ditemukan). Jadi "masalah keamanan" dalam kasus ini dapat diabaikan tergantung pada pengaturan Anda.