/ media / username root:rootのデフォルトの許可はなぜですか?


20

/media/usernamefrom root:rootからusername:root[1] へのアクセス許可を調整しました。ユーザー中心の場所ではユーザー中心のアクセス許可が許可されることを理解しています[2]。

しかし、root:rootそもそもこのフォルダーのアクセス許可があったのはなぜですか?


[1] Gnome EncFS Managerで暗号化されたフォルダーマウントできるようにするため。たとえば、暗号化されたフォルダをとしてマウントできるようになりました/media/username/personal-documents

[2]からUbuntuがデフォルトのマウントポイントを移動した理由

udisks2のデフォルト動作のこの変更の根本的な原因は明らかです:セキュリティ。システムのすべてのユーザーにファイルシステムへのアクセスを許可するのではなく、特定のユーザーにファイルシステムへのアクセスを制限する方が安全です。


マウントには通常、ルートアクセスが含まれます。(許可したように)アクセス許可を調整できます。ただし、これがLinuxの「デフォルト」動作になることは決してありません。ユーザー(管理者ではない)があなたのようにマウントできる場合はどうなるか想像してみてください。これは完全な混乱になります。:)
rbaleksandar 14年

回答:


20

私の場合、これは物事がどのように見えるかです/media

$ ls -l /media | grep $USER
drwxr-x---+  3 root root 4096 Jan 22 15:59 oli

基本的に、これは、rootユーザーのみがディレクトリと対話できることを意味します。これはセキュリティには優れています(他のユーザーがデータを盗む/削除する/変更することはもちろんのこと、他のユーザーの閲覧を確実に停止します)が、それは物語の終わりではありません。

許可マスクの最後にプラス記号が表示される場合があります。これは、ACL(アクセス制御リスト)が使用されていることを意味します。これにより、よりきめ細かなアクセス許可が可能になります。

$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---

ユーザーがのコンテンツを表示できるのはACLを介してです/media/oli。内容の編集はまだ許可されていません。

最新のデスクトップ(GnomeとKDEの両方)でマウントを行うことはudisks2次のとおりです。

root      2882  0.3  0.0 195956  4048 ?        Sl   Jan16  30:35 /usr/lib/udisks/udisks-daemon
root      2887  0.0  0.0  47844   784 ?        S    Jan16   0:00 udisks-daemon: not polling any devices
root      3386  0.0  0.0 429148  6980 ?        Sl   Jan16   7:35 /usr/lib/udisks2/udisksd --no-debug

ご覧のとおり、ルートとして実行されているため、DBUSを介して何かにアクセスすると、/ home / $ USER内にマウントポイントを作成し、コンテンツを編集できるようにそれらをユーザーに制限できます。

それは私が元々言ったことを変えません。実際にどのように機能するかを説明しています。これは、デスクトップ上の何かが、rootによってのみ許可されている場所に実際に書き込みを許可されている方法であり、ユーザーが所有権を制限しているにもかかわらず読み取りを許可されている方法です。

すべてがユーザーのデータに対して安全な環境に変わりますが、ユーザーがマウントのファブリックに干渉するのを困難にする環境にもなります。たとえば、マウントポイントを削除したり名前を変更したりすることはできません。ルートアクセスがない限り、問題が発生する可能性があります。

編集:私に起こったのは、管理者が単一のユーザーのために物事をマウントするための良い場所を提供するということです。デフォルトでは、パーミッションはこのマウントをプライベートに保ち、ユーザーの干渉からこのマウントを保護します。/media/$user/ディレクトリなしで実行されたもののかなり健全なデフォルトは、root権限を必要とするようです。


2

私はそれに加えて他の答えとコメントに同意します

root:root主に2つの状況を回避するため。
1.セキュリティリスク:/ dev / zeroを/ media / user /にダンプするハッカースクリプト。ルートパーティションがいっぱいになるため、ログインできないか、パフォーマンスが低下します。
2. udisk2との競合:ラベルバックアップのあるパーティションを想定します。Udiskは@ / media / user / backupでマウントします。ユーザーは上記のディレクトリを手動で作成します。これにより、udiskはマウントポイントを/ media / user / backup1などに強制的に変更し、バックアップスクリプトなどによって誤解されます。


2

一般に、Linux(および* nix)の考え方は、次の原則に基づいています。 Least amount of necessary privileges.

通常、modern Desktop Environmentsはデバイスをにマウントします/media/username/devicepartitionname。つまり、デバイスが使用可能になるためには、devicepartitionnameフォルダーとその下にあるものを所有するだけで済みます。これは、のフォルダ/media/usernameがまだ所有されている可能性があることを意味し、これによりフォルダのrootセキュリティが強化されます。

また、何かをマウントすること/media/usernameは悪い考えです。それはDE、パーティションを別のマウントされたパーティションのフォルダにマウントしようとするため、多くの!! FUN !! (データ損失の可能性もあります)。


単純だが単純ではない答えをありがとう... GnomeEncFSがマウントされて/media/username/someplaceいないことを上で明確にした/media/username...あなたは具体的にはルートが所有するべきだと言っている、私の場合root:usernameよりも良いでしょうusername:rootか?または、両方とも同じセキュリティ上の懸念をもたらしますか?(とにかくaskubuntu.com/questions/392063/…しなければならない理由については、この質問を参照してください)
david.libremone 14年

@ d3vid:依存します。2番目のケースでは、通常のユーザーが/media/user(750であるため)書き込みできないデフォルトのアクセス許可を変更しなかった場合、最初のケースよりも少し良くなります。マウントに関して:歴史的にthe /mntとそのサブフォルダーはあらゆるもののデフォルトのマウントポイントと見なされますが、/media実際に物事の仕組みを理解せずにLinuxボックスを使用したいだけの人が混乱しないようにのみ追加されました奇妙なフォルダーとその他/
ウォルファー14年

@ d3vid:セキュリティの問題に関しては、書き込みアクセス権と実行アクセス権を持つフォルダは、ハッカー/クラッカー/あなたが彼/彼女に電話したいものは何でも使用でき、バイナリをアップロードするために使用できるためrootですあなたの箱。(これは特権エスカレーションと呼ばれます。)システムを意図的に安全性を低下させるべきではありませんが、同じことを許可するデフォルトの場所があります(より不明瞭であるため、ハッカーの活動が発見される可能性が低くなります)。したがって、この場合の「セキュリティ上の懸念」は、設定によっては無視できます。
ウォルファー14年

1
@Wolfer-みなさんの不快な言葉が含まれていないよりも、あなたの答えのバージョンに戻ってきました。Q&Aを可能な限りクリーンに保ち、違反を引き起こさないようにします。ありがとう。
fossfreedom
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.