/ মিডিয়া / ইউজারনেম রুট: রুটের জন্য ডিফল্ট অনুমতিগুলি কেন?


20

আমি অনুমতি tweaked আছে /media/usernameথেকে root:rootথেকে username:root[1]। আমি বুঝতে পারি যে কোনও ব্যবহারকারীকেন্দ্রিক অবস্থান ব্যবহারকারীকেন্দ্রিক অনুমতিগুলির অনুমতি দেয় [2]।

তবে কেন এই ফোল্ডারটির অনুমতি root:rootপ্রথম স্থানে ছিল?


[1] যাতে আমি সেখানে জিনোম এনএনএফএস ম্যানেজারের সাথে এনক্রিপ্ট করা ফোল্ডারগুলি মাউন্ট করতে পারি । উদাহরণস্বরূপ, আমি এখন হিসাবে একটি এনক্রিপ্ট করা ফোল্ডার মাউন্ট করতে পারি /media/username/personal-documents

[২] উবুন্টু কেন ডিফল্ট মাউন্ট পয়েন্টগুলি সরিয়ে নিয়েছে? :

Udisks2 এ এই ডিফল্ট আচরণের পরিবর্তনের মূল কারণটি পরিষ্কার বলে মনে হচ্ছে: সুরক্ষা। সিস্টেমের সমস্ত ব্যবহারকারীর অ্যাক্সেস না দেওয়ার পরিবর্তে কোনও নির্দিষ্ট ব্যবহারকারীর কাছে কোনও ফাইল সিস্টেমের অ্যাক্সেসকে সীমাবদ্ধ করা নিরাপদ।


মাউন্টিং সাধারণত রুট অ্যাক্সেস জড়িত। আপনি অনুমতিগুলি (যেমন আপনি করেছিলেন) টুইঙ্ক করতে পারেন। তবে এটি কোনওভাবেই লিনাক্সে "ডিফল্ট" আচরণে পরিণত হতে পারে না। ভাবুন কী হবে যদি কোনও ব্যবহারকারীর (কোনও প্রশাসক নয়) আপনার মতো মাউন্ট করার ক্ষমতা রাখে। এটি হবে মোট বিশৃঙ্খলা। :)
rbaleksandar

উত্তর:


20

আমার ক্ষেত্রে জিনিসগুলি এইভাবে দেখায় /media:

$ ls -l /media | grep $USER
drwxr-x---+  3 root root 4096 Jan 22 15:59 oli

মূলত এর অর্থ হ'ল কেবল কোনও রুট ব্যবহারকারী ডিরেক্টরিতে ইন্টারঅ্যাক্ট করতে পারেন। এটি সুরক্ষার জন্য দুর্দান্ত (অবশ্যই অন্যান্য ব্যবহারকারীদের দেখা বন্ধ করে দেয়, চুরি / ডিলিট / ডেটা বদলানো ছেড়ে দেয়) তবে গল্পটি এখানেই শেষ হয় না।

অনুমতি মাস্কের শেষে আপনি প্লাস চিহ্নটি লক্ষ্য করতে পারেন। এর অর্থ একটি এসিএল (অ্যাক্সেস কন্ট্রোল তালিকা) ব্যবহৃত হচ্ছে। এটি আরও বেশি দানাদার অনুমতিগুলির অনুমতি দেয়।

$ getfacl /media/$USER
getfacl: Removing leading '/' from absolute path names
# file: media/oli
# owner: root
# group: root
user::rwx
user:oli:r-x
group::---
mask::r-x
other::---

এটি ACL এর মাধ্যমে যেখানে আমার ব্যবহারকারীর লিখিত সামগ্রীগুলি দেখার অনুমতি রয়েছে /media/oli। আমাকে এখনও সামগ্রীগুলি সম্পাদনা করার অনুমতি নেই not

আধুনিক ডেস্কটপগুলিতে (জিনোম এবং কেডিআই উভয়) মাউন্টিংয়ের কাজটি হ'ল udisks2:

root      2882  0.3  0.0 195956  4048 ?        Sl   Jan16  30:35 /usr/lib/udisks/udisks-daemon
root      2887  0.0  0.0  47844   784 ?        S    Jan16   0:00 udisks-daemon: not polling any devices
root      3386  0.0  0.0 429148  6980 ?        Sl   Jan16   7:35 /usr/lib/udisks2/udisksd --no-debug

আপনি দেখতে পাচ্ছেন, এটি রুট হিসাবে সেখানে চলছে, সুতরাং কোনও জিনিস যখন এটি ডিবিইউএসের মাধ্যমে অ্যাক্সেস করে, তখন এটি / হোম / $ ব্যবহারকারীর মধ্যে মাউন্ট-পয়েন্টগুলি তৈরি করতে সক্ষম হয় এবং সেগুলি আপনার ব্যবহারকারীর কাছে ডাউন করে দেয় যাতে তারা সামগ্রীগুলি সম্পাদনা করতে পারে।

মূলত আমি যা বলেছি সেগুলির কোনওটিরই পরিবর্তন হয় না। আমি বাস্তবে এটি কীভাবে কাজ করে তা ব্যাখ্যা করছি। এইভাবে আপনার ডেস্কটপের কোনও কিছু কার্যকরভাবে এমন কোনও জায়গায় লেখার অনুমতি দেওয়া হয়েছে যা কেবলমাত্র রুট দ্বারা অনুমোদিত, এবং অন্যথায় সীমাবদ্ধ মালিকানা সত্ত্বেও কীভাবে আপনার ব্যবহারকারী এটি পড়তে মঞ্জুরিপ্রাপ্ত।

এটি এটিকে এমন পরিবেশে পরিণত করে যা ব্যবহারকারীর ডেটার জন্য সুরক্ষিত তবে এমন একটি যা ব্যবহারকারীর পক্ষে মাউন্টের ফ্যাব্রিকের সাথে হস্তক্ষেপ করা শক্ত করে তোলে । উদাহরণস্বরূপ, তারা মাউন্ট-পয়েন্টটি মুছতে বা পুনরায় নামকরণ করতে পারে না যা তাদের রুট অ্যাক্সেস না করলে সমস্যার কারণ হতে পারে।

সম্পাদনা : আমার কাছে সবেমাত্র ঘটেছিল এমন একটি বিষয় এটি কোনও প্রশাসককে একক ব্যবহারকারীর জন্য জিনিসগুলি মাউন্ট করার জন্য একটি ভাল জায়গা দেয়। ডিফল্টরূপে অনুমতিগুলি এই মাউন্টটিকে ব্যক্তিগত রাখতে এবং ব্যবহারকারীর মধ্যস্থতার বিরুদ্ধে এই মাউন্টটিকে সুরক্ষিত করতে সহায়তা করে। /media/$user/ডিরেক্টরিটি না করে এমন কোনও কিছুর জন্য এটি মোটামুটি বুদ্ধিমান ডিফল্ট বলে মনে হচ্ছে , রুট অনুমতিগুলির প্রয়োজন হবে।


2

আমি এ ছাড়াও অন্যান্য উত্তর এবং মন্তব্যগুলিতে সম্মত

root:rootমূলত দুটি পরিস্থিতি এড়ানো।
১. সুরক্ষা ঝুঁকি: একটি হ্যাকার স্ক্রিপ্ট যা / dev / শূন্য থেকে / মিডিয়া / ব্যবহারকারী / যা রুট পার্টিশন পূরণ করে এবং তাই লগইন বা খারাপ কার্য সম্পাদন করতে অক্ষম।
২.উডিস্ক ২ এর সাথে সংঘাত: লেবেল ব্যাকআপ সহ একটি পার্টিশন ধরে নিন । উদীকস এটি @ / মিডিয়া / ব্যবহারকারী / ব্যাকআপ মাউন্ট করে। ব্যবহারকারী স্বয়ংক্রিয়ভাবে উপরের ডিরেক্টরিটি তৈরি করেছেন যা ইউডিস্ককে মাউন্ট পয়েন্টটি / মিডিয়া / ব্যবহারকারী / ব্যাকআপ 1 এর মতো কিছুতে পরিবর্তন করতে বাধ্য করে এবং ব্যাকআপ স্ক্রিপ্ট ইত্যাদির দ্বারা বিভ্রান্ত করে will


2

সাধারণভাবে লিনাক্স (এবং * নিক্স) মানসিকতা নীতির উপর ভিত্তি করে Least amount of necessary privileges.

সাধারণত আধুনিক Desktop Environmentsআপনার ডিভাইসগুলির নীচে মাউন্ট করবে /media/username/devicepartitionname। এর অর্থ হ'ল ডিভাইসটি ব্যবহারযোগ্য হওয়ার জন্য আপনার কেবল devicepartitionnameফোল্ডার এবং এর নীচে যে কোনও কিছু থাকা দরকার । এর অর্থ হ'ল আপনার ফোল্ডারটি /media/usernameএখনও মালিকানাধীন হতে পারে rootএবং এটি আরও সুরক্ষিত করে তুলবে।

এছাড়াও যে কোনও কিছু মাউন্ট /media/usernameকরা একটি খারাপ ধারণা, কারণ DEএটি অন্য মাউন্ট করা পার্টিশনের একটি ফোল্ডারে একটি পার্টিশন মাউন্ট করার চেষ্টা করবে যা প্রচুর পরিমাণে মজাদার হতে পারে !! (সম্ভাব্য ডেটা ক্ষতিও)


সরল কিন্তু সরল নয় উত্তরের জন্য ধন্যবাদ ... আমি উপরে স্পষ্ট করে দিয়েছি যে জ্ঞোমেনসিএফএস মাউন্ট /media/username/someplaceনা করে চলেছে /media/username... আপনি স্পষ্টভাবে বলেছেন যে এটির মূল মালিকানাধীন হওয়া উচিত, আমার ক্ষেত্রে এর root:usernameচেয়ে ভাল কি হতে পারে username:root? অথবা তারা উভয়ই কি একই সুরক্ষা উদ্বেগের পরিচয় দেয়? (কেন আমি এটা যাহাই হউক না কেন যা করতে হবে এই প্রশ্ন দেখতে পাবেন askubuntu.com/questions/392063/... )
david.libremone

@ ডি 3ভিড: নির্ভর করে, দ্বিতীয় ক্ষেত্রে আপনি যদি ডিফল্ট অনুমতিটি পরিবর্তন না করে থাকেন তবে আপনার সাধারণ ব্যবহারকারী লিখতে সক্ষম হবেন না /media/user(এটি 750 হিসাবে) যা প্রথম মামলার চেয়ে কিছুটা ভাল। মাউন্টিংয়ের ক্ষেত্রে: /mnthistorতিহাসিকভাবে এবং এর সাবফোল্ডারগুলিকে যে কোনও কিছুর জন্য ডিফল্ট মাউন্ট পয়েন্ট হিসাবে বিবেচনা করা হয়, এটি /mediaকেবলমাত্র যুক্ত করা হয়েছিল যাতে যে সমস্ত লোকেরা কীভাবে সমস্ত কাজগুলি বিভ্রান্ত হয় না তা বাস্তবে বুঝতে না পেরে একটি লিনাক্স বাক্স ব্যবহার করতে চান অদ্ভুত ফোল্ডার এবং কি না /
ওল্ফার

@ d3vid: সুরক্ষা উদ্বেগের ক্ষেত্রে: এটি কারণ যে আপনি যে ফোল্ডারগুলিতে লেখার অ্যাক্সেস পেয়েছেন এবং অ্যাক্সেস চালিয়েছেন তা হ্যাকার / ক্র্যাকার / আপনি তাকে / তাকে কল করতে চান বাইনারিগুলি আপলোড করতে চান যা তারা তারপরে rootঅ্যাক্সেস পেতে ব্যবহার করতে পারে আপনার বাক্স (এটাকে প্রিভিজ এসকেলেশন বলা হয়।) যদিও আপনার সিস্টেমটি ইচ্ছাকৃতভাবে আরও বেশি সুরক্ষিত করা উচিত নয় সেখানে ডিফল্ট জায়গাগুলি একই জিনিসকে মঞ্জুরি দেয় (এবং আরও অস্পষ্ট এবং এর ফলে হ্যাকারদের ক্রিয়াকলাপ সন্ধানের সম্ভাবনা কম থাকে)। সুতরাং এই ক্ষেত্রে "সুরক্ষা উদ্বেগ" আপনার সেটআপের উপর নির্ভর করে উপেক্ষা করা যেতে পারে।
ওল্ফার

1
@ ওলফার - আপত্তিজনক ভাষা না বলে আমি আপনার উত্তরের একটি সংস্করণে ফিরে এসেছি। প্রশ্নোত্তরটিকে যথাসম্ভব পরিষ্কার রাখার চেষ্টা করুন এবং কোনও অপরাধ না করার চেষ্টা করুন try ধন্যবাদ।
ফসফ্রিডম
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.