为什么/ media / username root的默认权限是root?

Modified on: Sat, 09 Jun 2018 23:57:53 +0800

我已将/media/username的权限从root:root调整为username:root [1]。我知道以用户为中心的位置允许以用户为中心的权限[2]。

但为什么首先要对此文件夹root:root的权限?


[1]这样我就可以使用Gnome EncFS Manager在那里安装加密文件夹。例如,我现在可以将加密文件夹挂载为/media/username/personal-documents

[2]来自为什么Ubuntu移动了默认挂载点?

  

udisks2中这种默认行为更改的根本原因似乎很清楚:安全性。将访问文件系统限制为一个特定用户更安全,而不是将其访问权限给系统的所有用户。

作者:Community,d3vid

最佳答案

就我而言,这就是/media

中的内容

$ ls -l /media | grep $USER
drwxr-x---+  3 root root 4096 Jan 22 15:59 oli

基本上这意味着只有root用户才能与目录进行交互。这非常适合安全性(当然会阻止其他用户查看,更不用说窃取/删除/更改数据了)但这不是故事的结束。

您可能会注意到权限掩码末尾的加号。这意味着正在使用ACL(访问控制列表)。这允许更细化的权限。

$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---

通过ACL,我的用户可以查看 /media/oli的内容。我仍然不允许编辑内容。

在现代桌面(Gnome和KDE)中安装的东西是udisks2

root      2882  0.3  0.0 195956  4048 ?        Sl   Jan16  30:35 /usr/lib/udisks/udisks-daemon
root      2887  0.0  0.0  47844   784 ?        S    Jan16   0:00 udisks-daemon: not polling any devices
root      3386  0.0  0.0 429148  6980 ?        Sl   Jan16   7:35 /usr/lib/udisks2/udisksd --no-debug

正如您所看到的,它以root用户身份运行,因此当某些内容通过DBUS访问时,它可以在/ home / $ USER中创建挂载点,然后将它们下载到您的用户,以便他们可以编辑内容。

这些都没有改变我原来说的话。我只是在解释它在实践中是如何运作的。这就是桌面上的某些内容允许写入只允许root用户访问的内容,以及允许用户如何读取它,尽管限制性所有权。

所有这一切都将其转变为对用户数据安全的环境,但也使用户难以插入与挂载结构。例如,他们不能删除挂载点或重命名它,这可能会导致问题,除非他们具有超级用户权限。

编辑:刚刚发生的事情是,它还为管理员提供了为单个用户安装内容的好地方。权限默认情况下有助于将此挂载保持为私有,并保护此挂载不受用户干扰。对于没有/media/$user/目录的东西,它似乎是一个相当理智的默认值,需要root权限。

作者:,Oli

相关问答

添加新评论