ユーザーのホームディレクトリ内のファイルのデフォルトの所有者/アクセス許可


14

問題を修正し、どこかを読んだりchown、ホームディレクトリを再帰的に読み込もうとしたり、場合によってはアクセス許可を再帰的にrwxr-xr-x似たようなものにリセットしたりするユーザーをよく見かけます。

そのような所有者/許可の大虐殺を想像してください- 特別な許可が必要な、またはシステムが機能するためにルート所有される重要なファイル/ディレクトリはありますか?


1
Watファイルについて話しているのですか?ルートが所有する重要なファイルがユーザーのホームにあるのはなぜですか?
mikewhatever

1
@mikewhatever私は、ルートが所有する必要がある少なくとも3つのディレクトリを知っています:~/.gvfs/~/.cache/gvfs-burn/および~/.cache/dconf。おそらくもっとあります。
バイトコマンダー

1
drwx------ 2 romano romano 4096 dic 2 2008 .gvfsそして、問題はなかった....(日付を参照)。またdrwx------ 2 romano romano 4096 abr 28 14:57 .cache/dconf
-Rmano

3
ユーザーのホームディレクトリに「重要な」ファイルはありません。非常に悪いプログラミングの結果である場合、ユーザーはそれらを意図的に/誤ってフラッシュで削除できるためです。間違いでない限り、「重要な」ファイルは別の場所に保存されます。
コス

FWIW、システム上の〜/ .gvfsと〜/ .cache / dconfが両方ともrootによって所有されていることを確認できます。両方のディレクトリで「sudo ls -Al」を実行しましたが、両方とも空です。グループやドキュメントのその他の権限を変更しましたが、chownを実行したことはありません。したがって、少なくともUbuntu 15.04の場合、これら2つのディレクトリのルート所有権は正常である可能性があります。また、〜/ .cache / gvfs-burnディレクトリも、Byte Commanderが言及しているルート所有のipc-adminディレクトリもありません。ただし、〜/ .dbus / session-busにある英数字の名前付きファイルは、rootではなくMeが所有しています。
-user173876

回答:


17

~ルートがファイルを所有する必要はありません。

ソフトウェアは、ファイルすることを必要とする場合は、あなたのホームディレクトリが別のユーザーによって所有され、それはバグであり、そのように報告しなければなりません。

それ以外の一般的なケースには、特定のファイルに対する制限付きアクセス許可を必要とする2つのセキュリティ関連ソフトウェアが含まれます。

  1. SSH
  2. GPG

SSH

man sshセクションを参照してくださいFILES

 ~/.ssh/config
     This is the per-user configuration file.  The file format and
     configuration options are described in ssh_config(5).  Because of
     the potential for abuse, this file must have strict permissions:
     read/write for the user, and not writable by others.  It may be
     group-writable provided that the group in question contains only
     the user.

 ~/.ssh/identity
 ~/.ssh/id_dsa
 ~/.ssh/id_ecdsa
 ~/.ssh/id_ed25519
 ~/.ssh/id_rsa
     Contains the private key for authentication.  These files contain
     sensitive data and should be readable by the user but not acces‐
     sible by others (read/write/execute).  ssh will simply ignore a
     private key file if it is accessible by others.  It is possible
     to specify a passphrase when generating the key which will be
     used to encrypt the sensitive part of this file using 3DES.

、などのその他のファイルはauthorized_keysknown_hostsユーザーのみが書き込み可能である必要がありますが、誰でも読み取り可能です。

GnuPG

~/.gnupg(および内容)はあなただけがアクセスできるようにしてください。他のアクセス許可では、GPGは安全でないアクセス許可について文句を言います。


何についてそう~/.gvfs/~/.cache/gvfs-burn/~/.cache/dconf?それらはルート所有者であり、そうあるべきだと思います。
バイトコマンダー

2
@ByteCommanderいや。sudoGUIプログラムで使用しましたか?
ムル

覚えていないということではありません...新しいユーザーを作成して、そこでチェックしています。ちょっと待ってください。
バイトコマンダー

@ByteCommanderの外観:bugzilla.gnome.org/show_bug.cgi ?id=534284
id

1
@ByteCommanderは、それが意図であった場合、sudo -iまたはsudo -Hおそらく使用する必要があります。
ムル

11

一般的に、あなたの家のファイルとディレクトリはあなたが所有するべきです。
おそらくsudoコマンドを実行した結果である、奇妙なルート所有のファイルがあります。実際、下に物事を書くプログラムがあります$HOME(スーパーユーザー特権を必要とする振る舞いの良いプログラムはすべきではありません---その結果、rootはユーザーに属するべきファイルの所有権を取得します)。
通常、(ファイルに応じて)それらを削除または再所有しても問題は発生せず、悪名高い.Xauthorityファイルなどの問題を解決することがよくあります-場合によっては、実行後にsudo dconf-editor、変更できない構成が存在することがあります。

特別なモードについて:

  • もちろん、スクリプトは少なくとも所有者に対して実行可能でなければなりません。
  • そのため、ディレクトリでもある必要があります(ここでxクロスする権利を意味します)。
  • .sshdrwx------(0700)およびその中の秘密鍵-rw-------(0600)でなければなりません
  • Public共有するディレクトリがある場合は、おそらくdrwxr-xr-x(すべてのユーザーへの読み取り許可)またはdrwxrwxrwt(書き込み許可とスティッキービットを使用して、書き込みを有効にする)である必要があります。

...特別な治療が必要なものはこれ以上ありません。


何についてそう~/.gvfs/~/.cache/gvfs-burn/~/.cache/dconf?それらはルート所有者であり、そうあるべきだと思います。
バイトコマンダー

@ByteCommander ---すべてのものは私のシステムに所有されており、誤動作するものはありません。なぜそれらはルートによって所有されなければならないと思いますか?dconfあるあなたのそれ以外の場合はバグだ---コンフィギュレーション、およびパーティションのマウントんがあなたに所有権を切り替える必要があり、特権コマンド/デーモン。あなたの質問についてコメントしました。
Rmano

私はそれが正しいか間違っているかどうかを確認していないことをrootが所有別の2つのファイルを見つけた:~/.dbus/session-bus/7ae519bec942595a6925fb2d5448031b-1/home/ipc-admin/.aptitude/config、下に多くのもの/home/ipc-admin/.cache/pip/wheels//home/ipc-admin/.local/share/session_migration-(null)/home/ipc-admin/.local/share/applications/mimeapps.list。それらが私のシステムでルート所有されている理由を想像できますか?
バイトコマンダー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.