<Poprzedni | Spis treści | Następne>
1.3. Bezpieczeństwo profilu użytkownika
Kiedy tworzony jest nowy użytkownik, narzędzie adduser tworzy zupełnie nowy katalog domowy o nazwie /home/nazwa użytkownika. Domyślny profil jest wzorowany na zawartości znalezionej w katalogu / etc / skel, który obejmuje wszystkie podstawy profilu.
Jeśli Twój serwer będzie domem dla wielu użytkowników, powinieneś zwrócić szczególną uwagę na uprawnienia do katalogu domowego użytkownika, aby zapewnić poufność. Domyślnie katalogi domowe użytkowników w Ubuntu są tworzone z uprawnieniami do odczytu/wykonania na całym świecie. Oznacza to, że wszyscy użytkownicy mogą przeglądać i uzyskiwać dostęp do zawartości katalogów domowych innych użytkowników. Może to nie być odpowiednie dla Twojego środowiska.
• Aby zweryfikować bieżące uprawnienia do katalogu domowego użytkownika, użyj następującej składni:
ls -ld /dom/nazwa użytkownika
Poniższe dane wyjściowe pokazują, że katalog /home/nazwa użytkownika ma uprawnienia czytelne dla całego świata:
drwxr-xr-x 2 nazwa użytkownika nazwa użytkownika 4096 2007-10-02 20:03 nazwa użytkownika
• Możesz usunąć uprawnienia do odczytu świata, używając następującej składni:
sudo chmod 0750 /home/nazwa_użytkownika
Niektórzy ludzie mają tendencję do bezkrytycznego używania opcji rekurencyjnej (-R), która modyfikuje wszystkie foldery i pliki podrzędne, ale nie jest to konieczne i może dawać inne niepożądane skutki. Sam katalog nadrzędny jest wystarczający, aby zapobiec nieautoryzowanemu dostępowi do czegokolwiek poniżej katalogu nadrzędnego.
Znacznie skuteczniejszym podejściem do tej kwestii byłaby modyfikacja domyślnych globalnych uprawnień adduser podczas tworzenia folderów domowych użytkownika. Po prostu edytuj plik /etc/adduser.conf i zmodyfikuj DIR_MODE zmienną na coś odpowiedniego, tak aby wszystkie nowe katalogi domowe otrzymały odpowiednie uprawnienia.
DIR_MODE=0750
• Po poprawieniu uprawnień do katalogu przy użyciu dowolnej z wcześniej wymienionych technik, sprawdź wyniki, korzystając z następującej składni:
ls -ld /dom/nazwa użytkownika
Poniższe wyniki pokazują, że uprawnienia czytelne dla całego świata zostały usunięte:
drwxr-x--- 2 nazwa użytkownika nazwa użytkownika 4096 2007-10-02 20:03 nazwa użytkownika