/ media / username root：rootのデフォルトの許可はなぜですか？

/media/usernamefrom root:rootからusername:root[1] へのアクセス許可を調整しました。ユーザー中心の場所ではユーザー中心のアクセス許可が許可されることを理解しています[2]。

しかし、root:rootそもそもこのフォルダーのアクセス許可があったのはなぜですか？

[1] Gnome EncFS Managerで暗号化されたフォルダーをマウントできるようにするため。たとえば、暗号化されたフォルダをとしてマウントできるようになりました/media/username/personal-documents。

[2]からUbuntuがデフォルトのマウントポイントを移動した理由 ：

udisks2のデフォルト動作のこの変更の根本的な原因は明らかです：セキュリティ。システムのすべてのユーザーにファイルシステムへのアクセスを許可するのではなく、特定のユーザーにファイルシステムへのアクセスを制限する方が安全です。

私の場合、これは物事がどのように見えるかです/media：

$ ls -l /media | grep $USER
drwxr-x---+  3 root root 4096 Jan 22 15:59 oli

基本的に、これは、rootユーザーのみがディレクトリと対話できることを意味します。これはセキュリティには優れています（他のユーザーがデータを盗む/削除する/変更することはもちろんのこと、他のユーザーの閲覧を確実に停止します）が、それは物語の終わりではありません。

許可マスクの最後にプラス記号が表示される場合があります。これは、ACL（アクセス制御リスト）が使用されていることを意味します。これにより、よりきめ細かなアクセス許可が可能になります。

$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---

ユーザーがのコンテンツを表示できるのはACLを介してです/media/oli。内容の編集はまだ許可されていません。

最新のデスクトップ（GnomeとKDEの両方）でマウントを行うことはudisks2次のとおりです。

root      2882  0.3  0.0 195956  4048 ?        Sl   Jan16  30:35 /usr/lib/udisks/udisks-daemon
root      2887  0.0  0.0  47844   784 ?        S    Jan16   0:00 udisks-daemon: not polling any devices
root      3386  0.0  0.0 429148  6980 ?        Sl   Jan16   7:35 /usr/lib/udisks2/udisksd --no-debug

ご覧のとおり、ルートとして実行されているため、DBUSを介して何かにアクセスすると、/ home / $ USER内にマウントポイントを作成し、コンテンツを編集できるようにそれらをユーザーに制限できます。

それは私が元々言ったことを変えません。実際にどのように機能するかを説明しています。これは、デスクトップ上の何かが、rootによってのみ許可されている場所に実際に書き込みを許可されている方法であり、ユーザーが所有権を制限しているにもかかわらず読み取りを許可されている方法です。

すべてがユーザーのデータに対して安全な環境に変わりますが、ユーザーがマウントのファブリックに干渉するのを困難にする環境にもなります。たとえば、マウントポイントを削除したり名前を変更したりすることはできません。ルートアクセスがない限り、問題が発生する可能性があります。

編集：私に起こったのは、管理者が単一のユーザーのために物事をマウントするための良い場所を提供するということです。デフォルトでは、パーミッションはこのマウントをプライベートに保ち、ユーザーの干渉からこのマウントを保護します。/media/$user/ディレクトリなしで実行されたもののかなり健全なデフォルトは、root権限を必要とするようです。

私はそれに加えて他の答えとコメントに同意します

root:root主に2つの状況を回避するため。
1.セキュリティリスク：/ dev / zeroを/ media / user /にダンプするハッカースクリプト。ルートパーティションがいっぱいになるため、ログインできないか、パフォーマンスが低下します。
2. udisk2との競合：ラベルバックアップのあるパーティションを想定します。Udiskは@ / media / user / backupでマウントします。ユーザーは上記のディレクトリを手動で作成します。これにより、udiskはマウントポイントを/ media / user / backup1などに強制的に変更し、バックアップスクリプトなどによって誤解されます。

一般に、Linux（および* nix）の考え方は、次の原則に基づいています。 Least amount of necessary privileges.

通常、modern Desktop Environmentsはデバイスをにマウントします/media/username/devicepartitionname。つまり、デバイスが使用可能になるためには、devicepartitionnameフォルダーとその下にあるものを所有するだけで済みます。これは、のフォルダ/media/usernameがまだ所有されている可能性があることを意味し、これによりフォルダのrootセキュリティが強化されます。

また、何かをマウントすること/media/usernameは悪い考えです。それはDE、パーティションを別のマウントされたパーティションのフォルダにマウントしようとするため、多くの!! FUN !! （データ損失の可能性もあります）。