/media/username
のアクセス許可をroot:root
からusername:root
[1]に調整しました。ユーザー中心の場所ではユーザー中心のアクセス許可が許可されることを理解しています[2]。
しかし、なぜこのフォルダーのアクセス許可が最初にroot:root
だったのですか?
[1] Gnome EncFS Managerで 暗号化されたフォルダーをマウント できるように。たとえば、暗号化されたフォルダーを/media/username/personal-documents
としてマウントできるようになりました。
[2]から buntuがデフォルトのマウントポイントを移動した理由 :
Udisks2のこのデフォルト動作の変更の根本原因は明らかです:セキュリティ。システムのすべてのユーザーにファイルシステムへのアクセスを許可するのではなく、特定のユーザーにファイルシステムへのアクセスを制限する方が安全です。
私の場合、これは/media
の様子です。
$ ls -l /media | grep $USER
drwxr-x---+ 3 root root 4096 Jan 22 15:59 oli
基本的に、これは、rootユーザーのみがディレクトリと対話できることを意味します。これはセキュリティには優れています(他のユーザーがデータを盗む/削除する/変更することはもちろんのこと、他のユーザーの閲覧を確実に停止します)が、それが物語の終わりではありません。
許可マスクの最後にプラス記号が表示される場合があります。これは、ACL(アクセス制御リスト)が使用されていることを意味します。これにより、よりきめ細かなアクセス許可が可能になります。
$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---
ユーザーが/media/oli
のコンテンツをviewにアクセスできるのはACLを介してです。内容の編集はまだ許可されていません。
最新のデスクトップ(GnomeとKDEの両方)でマウントを行うのはudisks2
です:
root 2882 0.3 0.0 195956 4048 ? Sl Jan16 30:35 /usr/lib/udisks/udisks-daemon
root 2887 0.0 0.0 47844 784 ? S Jan16 0:00 udisks-daemon: not polling any devices
root 3386 0.0 0.0 429148 6980 ? Sl Jan16 7:35 /usr/lib/udisks2/udisksd --no-debug
ご覧のように、ルートとしてそこで実行されているため、DBUSを介して何かにアクセスすると、/ home/$ USER内にマウントポイントを作成し、ユーザーにコンテンツを編集できるようにそれらをコピーできます。
それは私が元々言ったことを変えません。実際にどのように機能するかを説明しています。これは、デスクトップ上の何かがrootによってのみ許可されている場所に書き込むことを実際に許可する方法であり、ユーザーがそれ以外の場合は所有権を制限しているにもかかわらず読み取りを許可する方法です。
すべてがユーザーのデータに対して安全な環境になりますが、ユーザーがマウントのファブリックでmeddleすることも難しくします。たとえば、マウントポイントを削除したり名前を変更したりすることはできません。ルートアクセス権がない限り、問題が発生する可能性があります。
編集:私が思いついたのは、管理者が単一のユーザーのために物事をマウントするための良い場所を提供することです。パーミッションはデフォルトでこのマウントを非公開に保ち、このマウントをユーザーの干渉から保護します。 /media/$user/
ディレクトリなしで実行された場合、root権限が必要なもののかなり健全なデフォルトのようです。
私はそれに加えて他の答えとコメントに同意します
root:root
は、主に2つの状況を回避します。
1。セキュリティリスク:/ dev/zeroを/ media/user /にダンプするハッカースクリプト。ルートパーティションがいっぱいになるため、ログインできないか、パフォーマンスが低下します。
2。 udisk2との競合:ラベルbackupのパーティションを想定します。 Udisksはそれを@/media/user/backupにマウントします。ユーザーは手動で上記のディレクトリを作成します。これにより、udiskはマウントポイントを/ media/user/backup1などに強制的に変更するため、バックアップスクリプトなどによって誤解されます。
Linux(および* nix)の考え方は一般に、次の原則に基づいています。 Least amount of necessary privileges.
通常、最新のDesktop Environments
は/media/username/devicepartitionname
の下にデバイスをマウントします。つまり、デバイスを使用可能にするには、devicepartitionname
フォルダーとその下にあるものだけを所有する必要があります。これは、/media/username
のフォルダーがroot
によって所有されている可能性があることを意味し、これにより安全性が高まります。
また、/media/username
に何かをマウントすると、DE
が別のマウントされたパーティション上のフォルダーにパーティションをマウントしようとするため、多くの !! FUN !! (データ損失の可能性もあります)。