উমাস্ক 077 এর ডাউনসাইডস?

077 এর একটি সীমাবদ্ধ উমাস্ক থাকার জন্য কী কী? অনেকগুলি ডিস্ট্রোস (আমি বিশ্বাস করি রেড হ্যাট ব্যতীত?) এর একটি ডিফল্ট উমাস্ক 022 -র, / etc / প্রোফাইলে কনফিগার করা আছে। এটি কোনও ডেস্কটপবিহীন সিস্টেমের জন্য অত্যন্ত সুরক্ষিত বলে মনে হচ্ছে, একাধিক ব্যবহারকারী অ্যাক্সেস করছেন এবং সুরক্ষা উদ্বেগজনক।

সম্পর্কিত নোটে, উবুন্টুতে, ব্যবহারকারীদের হোম ডিরেক্টরিগুলি 755 অনুমতি নিয়ে তৈরি করা হয় এবং ইনস্টলারটি বলে যে এটি ব্যবহারকারীদের পক্ষে ফাইলগুলি ভাগ করা আরও সহজ করার জন্য। ধরে নিই যে ব্যবহারকারীরা ফাইল ভাগ করে নেওয়ার জন্য স্বাচ্ছন্দ্যে অনুমতি নির্ধারণ করছেন, এটি কোনও সমস্যা নয়।

আর কি ডাউনসাইডস আছে?

022 জিনিসগুলিকে সুবিধাজনক করে তোলে। 077 জিনিসগুলিকে কম সুবিধাজনক করে তোলে তবে পরিস্থিতি এবং ব্যবহারের প্রোফাইলের উপর নির্ভর করে এটি ব্যবহারের চেয়ে কম কোনও সুবিধাজনক হতে পারে না sudo।

আমি যুক্তি দিয়ে বলব যে, sudoআপনার নিজের এবং আপনার ব্যবহারকারীদের জন্য যে পরিমাণ বেদনা ভোগ করা হচ্ছে তার তুলনায় আপনি প্রকৃত, পরিমাপযোগ্য সুরক্ষা বেনিফিট উপেক্ষিত। পরামর্শদাতা হিসাবে, আমি আমার মতামতের জন্য বদনাম পেয়েছি sudoএবং অসংখ্য sudoসেটআপগুলি ভাঙার চ্যালেঞ্জ জানিয়েছি এবং এটি করতে এখনও আমার 15 সেকেন্ডের বেশি সময় লেগেছে না। আপনার কল

সম্পর্কে জেনে umaskরাখা ভাল, তবে এটি "সম্পূর্ণ প্রাতঃরাশ" এ কেবল একটি একক কর্ন ফ্লেক। হতে পারে আপনার নিজেকে জিজ্ঞাসা করা উচিত "আমি ডিফল্ট কনফিগারেশনের সাথে কৌতুক করতে যাওয়ার আগে, ইনস্টলগুলি জুড়ে যার ধারাবাহিকতা বজায় রাখা দরকার এবং যা ডাম্পটেড নয় এমন লোকেদের নথিভুক্ত ও ন্যায়সঙ্গত হওয়া দরকার, এটি কী কিনছে? আমাকে?"

উমাস্ক হ'ল একটি বাশ অন্তর্নির্মিত যা পৃথক ব্যবহারকারীদের দ্বারা তাদের শেল প্রারম্ভিকরণ ফাইলগুলিতে সেট করা যায় ( ~/.bash*), যাতে আপনি সহজেই কার্যকর করতে সক্ষম হন না umask। এটি কেবল একটি ডিফল্ট। অন্য কথায়, এটি আপনাকে বেশি কিনছে না।

সর্বাধিক সুস্পষ্ট ক্ষতি হ'ল যখন আপনি কোনও ভাগ করা ডিরেক্টরিতে ফাইল / ডিরেক্টরি তৈরি করা শুরু করেন, অন্য ব্যবহারকারীদের সেগুলি অ্যাক্সেস করার আশা করে।

অবশ্যই, এটি সমস্ত ব্যবহারকারীদের ভাগ করে নেওয়া দরকার এমন স্টাফগুলি করার আগে সঠিক উমাস্কটি সেট করতে ভোলার বিষয় নয়।

আপনি যখন স্থানীয় প্রোগ্রাম ইনস্টল করা, রুবি রত্ন, পাইথন ডিম (স্পষ্টতই ওএস প্যাকেজ পরিচালনা করেন না), কনফিগারেশন ফাইল তৈরি করা ইত্যাদি জাতীয় সুডো স্টাফগুলি শুরু করা হয় তখন অন্য একটি সতর্কতা (সত্যিকারের নেতিবাচক দিক নয়) it

আপনি সমস্যার মধ্যে পড়বেন উমাস্ক সুডো সেশন দ্বারা উত্তরাধিকার সূত্রে প্রাপ্ত, সুতরাং কেবল রুট আপনার তৈরি ফাইল / ডায়ার অ্যাক্সেস করতে সক্ষম হবে। আপনার পছন্দমতো উমাস্কটি স্বয়ংক্রিয়ভাবে সেট করতে sudo কনফিগার করা যেতে পারে: এই প্রশ্নটি superuser.com এ আচ্ছাদিত ।

অন্যান্য ব্যবহারকারীরা একে অপরের কাছ থেকে কী দেখতে পাবে তা নিয়ন্ত্রণ করতে চাইলে উমাস্ক উপযুক্ত হবে না। তবে, আপনার কাছে যদি এমন অসংখ্য ফাইল রয়েছে এবং যেগুলি এই বিন্দুটির সাথে সংযোগের জন্য জিজ্ঞাসা করা হচ্ছে যে লোকেরা তাদের যা চান তা দেখার সুযোগ দেওয়ার চেয়ে কম বিরক্তিকর / ঝুঁকিপূর্ণ, 077 এর একটি উমাস্কের চেয়ে ভাল ধারণা হবে।

আমি পরিচালনা করি এমন একটি ফাইল সার্ভারে আমার কিছু সংবেদনশীল ফাইল রয়েছে। আমি মনে করি একটি নিষিদ্ধ উমাস্ক স্থাপনের পরে একটি পর্যায়ক্রমিক স্ক্রিপ্ট থাকা, সম্ভবত কোনও নির্দিষ্ট ফোল্ডারে আইটেমগুলিতে আরও সুনির্দিষ্ট অনুমতি স্থাপনের জন্য ক্রোন জব আমার জন্য আদর্শ সমাধান হতে পারে। আমি এটি সেট আপ করার পরে আমি এখানে আবার পোস্ট করব, এবং এটি কীভাবে কাজ করেছে তা আপনাকে জানাতে হবে।

@ [ছেলেরা সুডোকে বাশ দিচ্ছে] এর জন্য একটি নতুন থ্রেড শুরু করুন, এটি নিজস্ব কয়েকটি থ্রেড নিতে পারে এবং এই থ্রেডটি উমাস্ক সম্পর্কে।

তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলি যা তাদের নিজস্ব ইনস্টলেশন সিস্টেম ব্যবহার করে সিস্টেম ডিফল্ট উমাস্ক সম্পর্কে অন্তর্নির্মিত অনুমানগুলি থাকতে পারে।

ব্যবহারিক উদাহরণ হিসাবে, উমাস্ককে 077-তে সেট করা সিস্টেমে ওরাকল 10 ডাটাবেস আপডেট করার পরে, একই সিস্টেমের অ্যাপ্লিকেশনগুলি ডাটাবেস অ্যাক্সেস করতে ব্যর্থ হয়েছিল ... কারণ ডাটাবেস ক্লায়েন্টগুলির জন্য প্রয়োজনীয় লাইব্রেরি এবং লাইব্রেরি ডিরেক্টরিগুলি অবস্থিত ছিল, এখন সুরক্ষিত ছিল যাতে কেবল oracleব্যবহারকারী তাদের অ্যাক্সেস করতে পারে যা স্পষ্টতই ছিল না যে জিনিসগুলি কীভাবে কাজ করার কথা ছিল।

এটি দেখা যাচ্ছে যে ওরাকল আপডেটের প্রক্রিয়াটি বিশেষভাবে খেয়াল করেনি যে ক্লায়েন্ট লাইব্রেরির অনুমতিগুলি অন্য ব্যবহারকারীদের সেগুলি ব্যবহারের অনুমতি দেবে, তবে পরিবর্তে আপডেটার দ্বারা যুক্ত ফাইলগুলি উমাস্ক 022 দ্বারা তৈরি হবে এবং তাই ব্যবহারের যোগ্য হবে এই ধারণার উপর নির্ভর করে গতানুগতিক. chmod -R a+rXউপযুক্ত ডিরেক্টরিগুলির জন্য কয়েকটি বিচক্ষণ আদেশের পরে , সমস্ত কিছু আবার ভাল।

ঠিক আছে, oracleস্ট্যান্ডার্ড উমাস্ক 022 দিয়ে অ্যাকাউন্টটিকে একটি বিশেষ সিস্টেম অ্যাকাউন্ট হিসাবে বিবেচনা করে এবং উমাস্ক 077কে কেবলমাত্র লগইন-সক্ষম ব্যবহারকারী অ্যাকাউন্টগুলিতে সীমাবদ্ধ করেই এড়ানো যেত ... তবে আমি মনে করি এটি কম্বল "শক্ত হয়ে যাওয়া" এর একটি ভাল উদাহরণ "সিদ্ধান্তের অপ্রত্যাশিত পার্শ্ব প্রতিক্রিয়া হতে পারে।

.rpmএবং .debপ্যাকেজগুলিতে যে কোনও ফাইল রয়েছে সেগুলির স্পষ্ট অনুমতি সম্পর্কিত তথ্য বহন করে, তাই তাদের সাধারণত এই ধরণের ত্রুটির ঝুঁকি থাকে না।

আমার এই লাইন আছে ~/.zshrc

umask 0077

এটি বিশ্বব্যাপী সেট করা সম্ভবত কোনও ভাল ধারণা নয়, তবে এটি আপনার আরসি ফাইলে ডিফল্ট হিসাবে সেট করা সম্ভবত ক্ষতিগ্রস্থ হতে পারে না এমনকি /etc/skel/.rcফাইলটিতে এটি ডিফল্ট হিসাবে সেট করাও নয় । যদিও সিস্টেমের প্রশস্ততা সমস্যার সৃষ্টি করবে।

এটি কোনও সার্ভারে সমস্যা সৃষ্টি করবে; উদাহরণস্বরূপ, যখন একাধিক অ্যাপ্লিকেশনগুলি বিভিন্ন ব্যবহারকারী থেকে ফাইল অ্যাক্সেস করার চেষ্টা করে বিভিন্ন ব্যবহারকারী হিসাবে চলছে। অ্যাপাচি রিডিং কনফিগারেশন ফাইল বা পাই-হোল রিডিং dnsmasq.conf এর মতো। এটি কেবল এমন ব্যবহারকারীদের উপর চালান যা স্বতন্ত্র হোম ডিরেক্টরিগুলির মতো এটি থেকে উপকৃত হতে পারে, সুস্পষ্টভাবে সেট করা হয়নি /etc/profile।