web-dev-qa-db-ja.com

umask 077の欠点?

077の制限付きumaskを持つことの短所は何ですか?多くのディストリビューション(Red Hatを除いてすべてを信じますか?)のデフォルトのumaskは022で、/ etc/profileで構成されています。これは、複数のユーザーがアクセスしているデスクトップ以外のシステムでは安全性が高すぎるようで、セキュリティが懸念されます。

関連する注記として、Ubuntuでは、ユーザーのホームディレクトリも755の権限で作成され、インストーラーは、ユーザーがファイルを簡単に共有できるようにするためのものであると述べています。ユーザーがファイルを共有するために手動で権限を設定するのが快適であると仮定すると、これは問題ではありません。

他にどんな欠点がありますか?

15
K. Norbert

022は物事を便利にします。 077は物事を不便にしますが、状況と使用状況プロファイルによっては、Sudoを使用する必要があることほど便利ではない場合があります。

Sudoのように、これから得られる実際の測定可能なセキュリティ上の利点は、自分自身とユーザーに与える苦痛のレベルと比較すると無視できると私は主張します。コンサルタントとして、私はSudoに対する私の見解を軽視し、多数のSudo設定を解除するように挑戦しました。そのために15秒以上かかっていません。あなたの電話。

umaskについて知ることは良いことですが、「完全な朝食」に含まれるコーンフレークは1つだけです。たぶんあなたはあなたに自分自身に尋ねるべきでしょう。「デフォルトの設定でいじくり回す前に、その一貫性はインストール全体で維持される必要があり、それは文書化され、薄明かりのない人々に正当化される必要があるでしょう、これは何を買うつもりですか私?」

Umaskはbashの組み込みでもあり、個々のユーザーがシェル初期化ファイル(~/.bash*)なので、実際にumaskを簡単に適用することはできません。これは単なるデフォルトです。言い換えれば、それはあなたをあまり買いません。

15
jonesy

最も明らかな欠点は、他のユーザーがそれらにアクセスすることを期待して、共有ディレクトリにファイル/ディレクトリの作成を開始するときです。

もちろん、すべてのユーザーが共有する必要のある作業を行う前に、正しいumaskを設定することを忘れないでください。

もう1つの注意点(気づいたら、実際にはマイナス面ではありません)は、ローカルプログラムのインストールなどのSudoの作業を開始するときですRuby gems、python卵(OSではなくパッケージの管理)、構成ファイルの作成など。

UmaskはSudoセッションによって継承されるため、トラブルに巻き込まれるため、作成したファイル/ディレクトリにアクセスできるのはrootだけです。 Sudoは、umaskを希望どおりに自動的に設定するように構成できます。 この質問はsuperuser.comで説明されています .

2
zarkdav

他のユーザーがお互いに見ることができるものを制御しようとしている場合、Umaskは適切ではありません。ただし、それらにアクセスするための許可を求められることは、人々が望むものを何でも見るだけにさせるよりも面倒/危険性が少ないという点に敏感な多数のファイルを使用して作業している場合、077のumaskは良い考えです。

管理しているファイルサーバーに機密ファイルがいくつかあります。私は、制限付きのumaskを設定してから定期的なスクリプトを作成します。特定のフォルダー内のアイテムに対してより具体的な権限を設定するcronジョブが理想的な解決策になると思います。これをセットアップしたら、ここにポストバックして、それがどのように機能したかをお知らせします。

@ [Sudoをバッシングしている人たち]そのために新しいスレッドを開始します。独自のスレッドがいくつか必要になる可能性があり、このスレッドはumaskについてです。

1
Sqeaky

独自のインストールシステムを使用するサードパーティアプリケーションには、システムのデフォルトのumaskに関する組み込みの前提条件がある場合があります。

実用的な例として、umaskが077に設定されているシステムでOracle 10データベースを更新した後、同じシステム上のアプリケーションはデータベースにアクセスできませんでした...データベースクライアントに不可欠なライブラリとライブラリに配置され、Oracleユーザーのみがアクセスできるように保護されました。これは明らかに、想定されていた動作ではありませんでした。

Oracleアップデータプロセスは、クライアントライブラリの権限によって他のユーザーがそれらを使用できるように特別に注意を払っていなかったことがわかりました。デフォルトでは。いくつかの賢明な後chmod -R a+rX適切なディレクトリ用のコマンド。

確かに、これはOracleアカウントを標準のumask 022を持つ特別なシステムアカウントとして扱い、umask 077を実際にログイン可能なユーザーアカウントのみに制限することで回避できたかもしれませんが、これは良いことだと思います包括的な「強化」の決定が予期せぬ副作用をもたらす可能性のある例。

.rpmおよび.debパッケージには、含まれているファイルの明示的な権限情報が含まれているため、通常、このタイプのエラーのリスクはありません。

1
telcoM

サーバーで問題が発生します。たとえば、複数のアプリケーションを異なるユーザーとして実行して、異なるユーザーのファイルにアクセスしようとしている場合です。 Apacheが設定ファイルを読み取るか、pi-holeがdnsmasq.confを読み取るように。 /etc/profileで明示的に設定するのではなく、個々のホームディレクトリのように、その恩恵を受ける可能性のあるユーザーで実行してください。

0
arst

~/.zshrcにこの行があります

umask 0077

それをグローバルに設定することはおそらく良い考えではありませんが、rcファイルでデフォルトとして設定しても、おそらく害はありませんし、/etc/skel/.rcファイルでもデフォルトとして設定することはできません。システム全体で問題が発生します。

0
xenoterracide