主页 / unix / 问题 / 559295
Accepted
DJCrashdummy
Asked: 2019-12-29 09:06:26 +0800 CST

家庭许可仍然过于慷慨

  • 772

我想我仍然缺少一些东西,但是经过一段时间的研究(没有任何明确的陈述),我必须咨询专家:

我正在使用 Linux Mint MATE(基于 Ubuntu)并且知道,因此UMASK 022默认情况下用户主页是世界可读的()。恕我直言,一个非常糟糕的做法!
我也知道,只要“用户和组是对应的”(由USERGROUPS_ENABin设置/etc/login.defs),组的 umask 就会被忽略,并且用户值也用于组权限......所以新文件夹的权限/files 是775/ 664(等于UMASK 002)。
我还阅读了一堆手册、问答,例如/home/<user>/ 上的权限 755等...

恕我直言,更好的权限是750/ 640( UMASK 027),但我知道我只会得到770/ 660...
所以我试图“强化”系统并设置UMASK 027. /etc/login.defs我还检查了/etc/profile,和/etc/bash.bashrc,但我只在.~/.profile~/bashrc#umask 022~/.profile

据我所知,一切都应该很好UMASK 027UMASK 007from/etc/login.defs申请新的文件夹/文件(重启后)。
新文件夹/文件现在获得权限755/644 !?! 所以有些事情发生了变化,但没有按计划进行!- 有趣:例如,apt.list添加 PPA 后的新功能现在具有所需的权限640

find $HOME/ -perm /o+rwx ! \( -path "$HOME/.*" -o -type l -o -xtype l \) -execdir chmod -c o-rwx "{}" \;为了安全起见,我还通过(排除软链接和点文件,暂时不要弄乱它们)将现有主页及其包含文件夹和文件的权限更改为??0.
但仍然没有运气,新文件夹/文件(我不是在谈论用户模板)仍然具有权限755/ 644

那么在系统范围内定义新文件夹/文件的权限是什么?...或者正在阻止该UMASK 027集合在系统范围内的应用/etc/login.defs

permissions home

3 个回答

  1. /etc/login.defs文件是影子密码套件配置文件的配置文件。来自man login.defs

    This page is part of the shadow-utils (utilities
for managing accounts and shadow password files)
project.

Much of the functionality that used to be
provided by the shadow password suite is now
handled by PAM. Thus, /etc/login.defs is no
longer used by passwd(1), or less used by
login(1), and su(1). Please refer to the 
corresponding PAM configuration files instead.

    显然,UMASKin的值/etc/login.defs不会被 读取loginpam_umask但是如果模块正在使用,它会被 PAM 模块读取。

    • 1
  2. Best Answer

    您想要创建一个/etc/profile.d/umask.sh包含您的 UMASK 设置的文件。所有匹配/etc/profile.d/*.sh的文件通常来自/etc/profile.

    也可以直接在 中设置/etc/profile,但以后可能会被系统更新覆盖。

    https://superuser.com/a/671690

    • 1

  3. 如果您在多个用户系统中或管理一个系统,您可以设置umask077限制只有所有者才能读取/写入/执行的新创建的文件和文件夹。

    将权限更改为022要安装某些软件包的时间。

    免责声明:我不太了解您的帖子,所以这只是为了让您了解我使用的做法。

    • 0

相关问题