Question Propriétaires / autorisations par défaut des fichiers dans le répertoire personnel de l'utilisateur


Je vois souvent des utilisateurs qui tentent de résoudre un problème et de lire ou d’essayer chown leur répertoire personnel et parfois même réinitialiser les autorisations récursivement à quelque chose comme rwxr-xr-x ou similaire.

Imaginez un tel massacre propriétaire / permission - existe-t-il des fichiers / répertoires critiques avoir besoin des autorisations spéciales ou une propriété root pour que le système fonctionne?


13
2017-09-11 12:41


origine


Wat fichiers vous parlez? Pourquoi les fichiers critiques appartenant à root seraient-ils dans la page d'accueil de l'utilisateur? - mikewhatever
@mikew terres Je connais au moins trois répertoires qui doivent appartenir à root: ~/.gvfs/, ~/.cache/gvfs-burn/ et ~/.cache/dconf. Il y en a probablement plus. - Byte Commander
drwx------ 2 romano romano 4096 dic 2 2008 .gvfs et jamais eu de problème .... (voir la date). Aussi drwx------ 2 romano romano 4096 abr 28 14:57 .cache/dconf - Rmano
Il n'y a pas de fichiers "critiques" dans le répertoire de l'utilisateur, s'il y en a, alors c'est le résultat d'une très mauvaise programmation, puisque l'utilisateur peut les supprimer intentionnellement / par erreur en un clin d'œil. Sauf erreur, les fichiers "critiques" sont stockés ailleurs. - kos
FWIW, je peux confirmer que ~ / .gvfs et ~ / .cache / dconf sur mon système appartiennent tous deux à root. J'ai couru "sudo ls -Al" sur les deux répertoires, et ils sont tous deux vides. Bien que j'aie changé les autorisations de groupe et autres pour les documents, je n'ai jamais couru. La propriété de la racine pour ces deux répertoires pourrait donc être normale, du moins pour Ubuntu 15.04. De plus, je n'ai pas de répertoire ~ / .cache / gvfs-burn, ni les répertoires ipc-admin mentionnés par Byte Commander qui appartiennent à la racine. Mais, le fichier nommé alphanumérique dans ~ / .dbus / session-bus appartient à Me, pas à root. - user173876


Réponses:


AUCUN fichier dans ~ doit être la propriété de root.

Si un logiciel nécessite un fichier dans votre Le répertoire personnel appartient à un autre utilisateur, il s’agit d’un bogue et doit être signalé comme tel.

En dehors de cela, un cas commun implique deux logiciels liés à la sécurité qui nécessitent des autorisations restreintes sur certains fichiers, à savoir:

  1. SSH
  2. GPG

SSH

Voir man ssh, section FILES:

 ~/.ssh/config
     This is the per-user configuration file.  The file format and
     configuration options are described in ssh_config(5).  Because of
     the potential for abuse, this file must have strict permissions:
     read/write for the user, and not writable by others.  It may be
     group-writable provided that the group in question contains only
     the user.

 ~/.ssh/identity
 ~/.ssh/id_dsa
 ~/.ssh/id_ecdsa
 ~/.ssh/id_ed25519
 ~/.ssh/id_rsa
     Contains the private key for authentication.  These files contain
     sensitive data and should be readable by the user but not acces‐
     sible by others (read/write/execute).  ssh will simply ignore a
     private key file if it is accessible by others.  It is possible
     to specify a passphrase when generating the key which will be
     used to encrypt the sensitive part of this file using 3DES.

Autres fichiers comme authorized_keys, known_hosts, etc. doivent être accessibles en écriture uniquement par l'utilisateur, mais peuvent être lisibles par tous.

GnuPG

~/.gnupg (et son contenu) ne devraient être accessibles que par vous. Avec d'autres autorisations, GPG se plaindra des autorisations non sécurisées.


17
2017-09-11 13:15



Alors qu'en est-il ~/.gvfs/, ~/.cache/gvfs-burn/ et ~/.cache/dconf? Ils appartiennent à la racine et je pense qu'ils devraient l'être. - Byte Commander
@ByteCommander non. Utilisation sudo avec les programmes GUI, n'est-ce pas? - muru
Non pas que je puisse m'en souvenir… Je crée un nouvel utilisateur et vérifie là-bas. Un instant s'il vous plaît. - Byte Commander
@ByteCommander regarde: bugzilla.gnome.org/show_bug.cgi?id=534284 - muru
@ByteCommander si c'était l'intention, alors sudo -i ou sudo -H devrait probablement être utilisé. - muru


En général, vous devez posséder les fichiers et les répertoires de votre maison.
J'ai des fichiers étranges appartenant à la racine qui sont probablement le résultat de l'exécution sudo commander; en fait, il existe des programmes qui écrivent des choses sous $HOME (ce que des programmes bien comportés nécessitant des privilèges de super-utilisateur ne devraient pas faire - l’effet est que root prenne possession des fichiers qui doivent appartenir à l’utilisateur).
Normalement, les supprimer ou les réapproprier (en fonction du fichier) ne crée pas de problèmes et résout souvent certains problèmes, comme le tristement célèbre .Xauthority fichier --- et parfois, après l'exécution sudo dconf-editor, vous avez des choses dans des configurations que vous ne pouvez plus modifier.

À propos des modes spéciaux:

  • les scripts doivent être exécutables, bien sûr, au moins pour le propriétaire;
  • il faut donc aussi des répertoires (où x signifie droit de traverser);
  • .ssh doit être drwx------ (0700) et les clés privées -rw------- (0600)
  • si tu as un Public répertoire pour le partage, il devrait être probablement drwxr-xr-x (autorisation de lecture à quiconque) ou drwxrwxrwt (avec permission d'écriture et sticky bit, pour permettre l'écriture).

... Je ne peux pas penser à autre chose nécessitant un traitement spécial.


11
2017-09-11 13:05



Alors qu'en est-il ~/.gvfs/, ~/.cache/gvfs-burn/ et ~/.cache/dconf? Ils appartiennent à la racine et je pense qu'ils devraient l'être. - Byte Commander
@ByteCommander --- tout ce que je possède dans mon système et rien ne fonctionne. Pourquoi pensez-vous qu'ils doivent appartenir à root? Dans dconf est votre configuration, et la commande / daemon privilégiée qui effectue le montage des partitions devrait vous changer de propriétaire --- sinon, c'est un bogue. Je l'ai commenté sur votre question. - Rmano
J'ai trouvé deux autres fichiers appartenant à root que je ne suis pas sûr si c'est bien ou mal: ~/.dbus/session-bus/7ae519bec942595a6925fb2d5448031b-1 et /home/ipc-admin/.aptitude/config, beaucoup de choses sous /home/ipc-admin/.cache/pip/wheels/, /home/ipc-admin/.local/share/session_migration-(null) et /home/ipc-admin/.local/share/applications/mimeapps.list. Pouvez-vous imaginer pourquoi celles-ci sont la propriété de root sur mon système? - Byte Commander