Quelles autorisations changeraient si je changeais umask en 027 à partir de 022?
Je viens de commencer à utiliser Lynis (Lynis est un logiciel, ne croyez pas que j'ai mal orthographié Linux). Après l'avoir exécuté, il m'a été suggéré de définir mask dans / etc/login.defs et / etc/init.d/rc à 027 que la valeur par défaut 022 .
Je veux savoir quelles modifications apporteraient aux autorisations sur les fichiers. Aussi, pourquoi la valeur est-elle stockée dans deux fichiers? Travaillent-ils différemment?
Pour plus d'informations si nécessaire, j'utilise Ubuntu 12.10 et je suis le seul utilisateur du système.
Le paramètre umask 027 signifie que le groupe propriétaire sera également autorisé à lire les fichiers nouvellement créés. Cela éloigne un peu plus le modèle d'octroi des autorisations de la gestion des bits d'autorisation et le base sur la propriété du groupe.
Cela créera des répertoires avec la permission 750.
S'il vous plaît vérifier cet article génial 27 umask - un compromis entre sécurité et simplicité .
Le masque de mode
Pour citer ArchWiki :
L'utilitaire umask est utilisé pour contrôler le masque de mode de création de fichier, qui détermine la valeur initiale des bits d'autorisation de fichier pour les fichiers nouvellement créés.
les bits de mode
Les trois nombres octaux correspondent aux autorisations pour l'utilisateur, le groupe et autres. En modifiant le troisième nombre de 2 à 7, l'autorisation autre est modifiée.
Pour comprendre ces nombres, écrivez-les sous forme binaire, et chaque bit correspond à l'un des éléments suivants: , lisez , , écrivez et exécuter . En bref, 2 correspond à write ; 7 correspond à lire , écrire et exécuter . Les répertoires sont un peu différents, read signifie obtenir la liste des éléments (fichiers et répertoires) dans un répertoire, tandis que execute signifie accéder à ces éléments à condition que leurs noms soient connus.
comment ça masque
Pour être exact, les masques de mode décident quelles autorisations sont masquées ou sont supprimées des fichiers nouvellement créés par défaut. Donc, une valeur de masque de 2 signifie que les fichiers ne sont pas inscriptibles; 7 signifie supprimer toutes les autorisations. Notez que même si certaines autorisations ne sont pas supprimées par le masque de mode, elles peuvent ne pas être disponibles en raison d'autres restrictions. Par exemple, Linux n'autorise pas la création de fichiers avec des autorisations d'exécution. Par conséquent, ils ne seront jamais exécutables par défaut.
Une valeur raisonnable
Donc, pour répondre à la première question: 022 signifie que l'autorisation d'écriture est masquée pour autre , ainsi, les fichiers peuvent par défaut être lus mais pas écrits. à ou modifié par d'autres. Bien que l'autorisation execute ne soit pas masquée, d'autres ne pourront pas exécuter de fichiers en raison des restrictions mentionnées ci-dessus. Cependant, ils peuvent être en mesure d'accéder aux éléments avec des répertoires. Changez-le en 027, et read et execute sont également masqués. Ainsi, les fichiers et les répertoires nouvellement créés restent confidentiels. les éléments des nouveaux répertoires seront toujours inaccessibles aux autres.
Dans de nombreux cas, il n'y a qu'un seul utilisateur humain . Cependant, il existe généralement plusieurs utilisateurs du système utilisés pour exécuter des services, tels que nobody. Dans de rares cas, par exemple lorsqu'un programme qui s'exécute en tant que personne n'est compromis, des autorisations restrictives peuvent l'empêcher de lire des données sensibles.
Cependant, dans un environnement multi-utilisateur, le partage d'un fichier devient plus complexe: en plus de définir les autorisations sur le fichier, au moins l'autorisation execute doit être définie sur tous les parents. des répertoires.
Définir la valeur
En ce qui concerne la deuxième question, le masque de mode doit être défini une seule fois. Si elle est configurée plusieurs fois, la dernière est importante. La plupart des distributions définissent le masque de mode par défaut dans /etc/profile, donc je vous suggère de modifier ce fichier.