Proprietari / autorizzazioni predefiniti dei file nella home directory dell'utente

14

Vedo spesso utenti che provano a risolvere un problema e da qualche parte leggono o semplicemente provano a ricorsivamente la chownloro directory home e talvolta anche a ripristinare le autorizzazioni in modo ricorsivo su qualcosa di simile rwxr-xr-xo simile.

Immagina un tale massacro di autorizzazioni / proprietari - ci sono file / directory critici che richiedono autorizzazioni speciali o di proprietà di root per il funzionamento del sistema?

permissions  home-directory 
Byte Commander
fonte
1
Di che file stai parlando? Perché i file critici di proprietà di root dovrebbero trovarsi in una home page dell'utente?
mikewhatever,
1
@mikewhatever So di almeno tre directory che devono essere di proprietà di root: ~/.gvfs/, ~/.cache/gvfs-burn/e ~/.cache/dconf. Probabilmente ce ne sono altri.
Byte Commander
1
drwx------ 2 romano romano 4096 dic 2 2008 .gvfse non ho mai avuto problemi .... (vedi la data). Inoltredrwx------ 2 romano romano 4096 abr 28 14:57 .cache/dconf
Rmano,
3
Non ci sono file "critici" nella home directory dell'utente, se ce ne sono allora è il risultato di una pessima programmazione, poiché l'utente può rimuoverli di proposito / per errore in un lampo. A meno che non sia un errore, i file "critici" vengono archiviati altrove.
kos,
FWIW, posso confermare che ~ / .gvfs e ~ / .cache / dconf sono entrambi di proprietà di root. Ho eseguito "sudo ls -Al" su entrambe le directory e sono entrambe vuote. Anche se ho cambiato gruppo e altre autorizzazioni per i documenti, non ho mai eseguito chown. Quindi, la proprietà di root per queste due directory potrebbe essere normale, almeno per Ubuntu 15.04. Inoltre, non ho una directory ~ / .cache / gvfs-burn o le directory ipc-admin menzionate da Byte Commander che sono di proprietà di root. Ma il file con nome alfanumerico in ~ / .dbus / session-bus è di proprietà di Me, non di root.
user173876

Risposte:

17

Nessun file in ~deve essere di proprietà di root.

Se un software richiede che un file nella vostra directory home è di proprietà di un altro utente, si tratta di un bug e deve essere riportato come tale.

Oltre a ciò, un caso comune riguarda due software relativi alla sicurezza che richiedono autorizzazioni limitate su determinati file, vale a dire:

  1. SSH
  2. GPG

SSH

Vedi man ssh, sezione FILES:

 ~/.ssh/config
     This is the per-user configuration file.  The file format and
     configuration options are described in ssh_config(5).  Because of
     the potential for abuse, this file must have strict permissions:
     read/write for the user, and not writable by others.  It may be
     group-writable provided that the group in question contains only
     the user.

 ~/.ssh/identity
 ~/.ssh/id_dsa
 ~/.ssh/id_ecdsa
 ~/.ssh/id_ed25519
 ~/.ssh/id_rsa
     Contains the private key for authentication.  These files contain
     sensitive data and should be readable by the user but not acces‐
     sible by others (read/write/execute).  ssh will simply ignore a
     private key file if it is accessible by others.  It is possible
     to specify a passphrase when generating the key which will be
     used to encrypt the sensitive part of this file using 3DES.

Altri file come authorized_keys, known_hostsecc. Devono essere scrivibili solo dall'utente, ma possono essere leggibili in tutto il mondo.

GnuPG

~/.gnupg(e contenuti) dovrebbe essere accessibile solo da te. Con altre autorizzazioni, GPG si lamenterà di autorizzazioni non sicure.

Muru
fonte
E per quanto riguarda ~/.gvfs/, ~/.cache/gvfs-burn/e ~/.cache/dconf? Sono di proprietà di root e penso che dovrebbero essere.
Byte Commander
2
@ByteCommander no. Utilizzare sudocon i programmi di interfaccia grafica, vero?
muru,
Non che me lo ricordassi ... Sto creando un nuovo utente e controllando lì. Un momento per favore.
Byte Commander
@ByteCommander dai un'occhiata: bugzilla.gnome.org/show_bug.cgi?id=534284
muru
1
@ByteCommander se questa era l'intenzione, allora sudo -io sudo -Hprobabilmente dovrebbe essere usata.
muru,
11

In generale, i file e le directory nella tua casa dovrebbero essere di tua proprietà.
Ho alcuni strani file di proprietà di root che sono probabilmente il risultato dell'esecuzione del sudocomando; in effetti ci sono programmi che scrivono cose $HOME(che i programmi ben educati che richiedono privilegi da superutente non dovrebbero fare --- l'effetto è il root che diventa proprietario dei file che dovrebbero appartenere all'utente).
Normalmente cancellarli o riappropriarli (a seconda del file) non crea problemi e spesso ne risolve alcuni, come il famigerato .Xauthorityfile --- e talvolta, dopo l'esecuzione sudo dconf-editor, ci sono cose nelle configurazioni che non è più possibile modificare.

Informazioni sulle modalità speciali:

  • gli script devono essere eseguibili, ovviamente, almeno per il proprietario;
  • così devono essere anche le directory (dove xsignifica diritto di attraversare);
  • .sshdeve essere drwx------(0700) e le chiavi private al suo interno -rw-------(0600)
  • se hai una Publicdirectory per la condivisione, dovrebbe essere probabilmente drwxr-xr-x(permesso di lettura a chiunque) o drwxrwxrwt(con permesso di scrittura e bit appiccicoso, per abilitare la scrittura).

... Non riesco a pensare a qualcosa di più che necessita di un trattamento speciale.

Rmano
fonte
E per quanto riguarda ~/.gvfs/, ~/.cache/gvfs-burn/e ~/.cache/dconf? Sono di proprietà di root e penso che dovrebbero essere.
Byte Commander
@ByteCommander --- tutte le cose sono di mia proprietà nel mio sistema e niente malfunzionamenti. Perché pensi che debbano essere di proprietà di root? In dconfè la tua configurazione, e il comando / demone privilegiato che esegue il montaggio delle partizioni dovrebbe cambiare la tua proprietà --- altrimenti è un bug. Ho commentato questo sulla tua domanda.
Rmano,
Ho trovato altri due file di proprietà di root che non sono sicuro se sia giusto o sbagliato: ~/.dbus/session-bus/7ae519bec942595a6925fb2d5448031b-1e /home/ipc-admin/.aptitude/config, molte cose sotto /home/ipc-admin/.cache/pip/wheels/, /home/ipc-admin/.local/share/session_migration-(null)e /home/ipc-admin/.local/share/applications/mimeapps.list. Riesci a immaginare perché quelli sono di proprietà root sul mio sistema?
Byte Commander
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.