Otin jokin aika sitten käyttöön Ubuntun, ja keskimäärin hommat sujuvat oikein mukavasti. Seuraaviin haluaisin kumminkin kommenttejanne.
kommentoidaan sitten.
(1) Oletuksena Ubuntu näyttää antavan uusille tiedostoille luku- ja execute-oikeudet muillekin käyttäjille kuin tiedoston omistajalle mutta kirjoitusoikeudet vain omistajalle.
niin se tosiaan näyttää tekevän.
Halusin kumminkin kieltää kotihakemistojen selailun tyystin muilta käyttäjiltä, mihin löysinkin avuksi chmod-komennon. Mutta eihän ole mitään järkeä joutua käyttämään chmodia aina tiedoston luotuaan, jos haluaa muuttaa oikeuksia?
jos otat muiden käyttöoikeudet pois omalta kotihakemistoltasi, eivät he pääse tiedostoihisi käsiksi. jos jätät hakemistolle suoritusoikeudet, mutta poistat lukuoikeudet, pystyvät muut käyttäjät käsittelemään kotihakemistosi tiedostoja, joiden nimet he tietävät, mutta eivät näe hakemistolistausta (kätevää jos henkilökohtaiset kotisivut ovat käytössä ja haluaa niiden olevan saatavilla).
Siis miten muutan oletuskäyttöoikeudet, eli saan jokaiselle uudellekin tiedostolle rajoitetummat oikeudet oletusarvoisesti? Luulin, että umask auttaisi, mutta se muuttaa oikeuksia vain komentoriviltä luoduille tiedostoille eikä vaikuta graafisesta käyttöliittymästä luotuihin tiedostoihin.
kyllä umaskin pitäisi vaikuttaa kaikkiin tiedostoihin, mutta tietty session ollessa jo käynnissä se vaikutta vain siihen shelliin missä se ajetaan. siksi tuo pitäisi ajaa aikaisemmin ja kaikille sessioille. tosin tuo kotihakemiston oikeuksien muuttaminen hoitaa kyllä homman.
Lisäksi umaskin joutuisin ajamaan jokaisella käyttäjällä erikseen. Eli onko mitään komentoa, joka muuttaisi oletuksen kaikilta käyttäjiltä kerralla?
umaskin voi ajaa käyttäjäkohtaisesti jossain käyttäjän omassa kirjautumisen aikana luettavassa tiedostossa ja järjestelmänlaajuisesti se ajetaan tiedostosta
/etc/profile. silti luulen, että itse en ainakaan lähtisi tuota oletusta järjestelmänlaajuisesti muuttaaan, vaikka niin voisikin thedä jos haluaisi.
(2) Järjestelmätiedostoihin (Vai miten niitä pitäisi kutsua? Tarkoitan ihan kaikkea, mitä /homen ulkopuolelta löytyy eli /usr/*, /etc/* jne.) on luku- ja execute-oikeudet kaikilla.
höpöhöpö. ei todellakaan ole kaikkiin, ellet ole tehnyt jotain todella erikoista. toki oikeudet tarvitaa aika monen tiedoston ajamiseen ja ajetuille tiedostoille resurssitietojen lukemiseen, mutta kaikki salaamista tarvitseva on kyllä salattuna.
Onkos tämä järkevää?
minusta on järkevää, että käyttäjällä on oikeudet ajaa teidsotoja joita hänen tarvitsee ajaa ja käyttää resursseja joita hänen tarvitsee käyttää.
Entä jos joku roisto pääsee vaikka nettiselaimen kauttaa lukemaan järjestelmän sisältöä.
silloin nettiselaimessa on järkyttävn kokoinen bugi. silti, vaikka se pääsisikin lukemaan sisältöä, niin eipä siitä kamalasti haittaa tietoturvan osalta olisi järjestelmätiedostojen osalta. ehkä sillä saisi tietoon käyttäjänimiä, jotka kyllä helpottaisivat esim. ssh-aplvelinta kohtaan tehtyjä hyökkäyksiä, mutta oletan että remotena noita juttuja ei saa selville.
Tai jos ihan vain joku koneen käyttäjistä on yli-innokas.
aivan sama tilanne.
quote author=ash link=topic=19818.msg147482#msg147482 date=1215755626]
Erityisesti mietityttävät salasanoihin liittyvät tiedostot; ei niitä kannattaisia kaikkien pystyä lukemaan.[/quote]
ei salasanoihin liittyviä tiedostoja pysty lukemaan. käyttäjätiedot toki löytyvät tiedostosta
/etc/passwd joka on kaikkien luettavissa, mutta itse kryptatut salasanat ovat turvassa tiedostossa
/etc/shadow jota taviksilla ei ole oikeutta lukea.
En kumminkaan uskaltanut chmodata näiden tiedostojen lukuoikeuksia (saati sitten execute-oikeuksia), kun arvelin sen vaikuttavan ohjelmien toimintaan.
juu, järjestelmätiedostojen oikeuksien muuttamisella saa helposti aikaan järjestelmän joka ei vaan toimi.
Siis pitäisikö näiden järjestelmätiedostojen käyttöoikeuksista olla huolissaan?
ei oikeastaan.
Voinko surutta kieltää niiden lukemisen muilta kuin niiltä, joilla on sudo-oikeudet?
jos haluta, että konetta pystyy käyttämään muutkin kuin ne jolla ei ole sudo-oikeuksia (tai konetta pystyy ylipäätään käyttämään), niin et voi.