Výchozí oprávnění pro distribuce Ubuntu (nebo dokonce některé BSD) pro /etc/passwd je 644.
V otázkách jako toto je zdůrazněno, že /etc/passwd je druh uživatelské databáze a je vhodné zajistit, aby byla univerzálně čitelná.
Tento soubor však může také obsahovat (případně) vyhrazené informace o uživatelích v Pole GECOS . Neměly by být tyto informace stejně chráněny?
Nebo existuje jiný způsob (novější než GECOS) pro ukládání reklam zabezpečující tento druh dat?
Komentáře
- Můžete uvést příklad " vyhrazených " informací v systému GECOS?
Odpověď
Existuje několik novějších způsobů ukládání tohoto druhu dat, mimo jiné LDAP a NIS. Otázka, kterou musíte zeptejte se, proč jsou na prvním místě soukromé informace v /etc/passwd.
Odpověď
Osobní údaje v /etc/passwd jsou uživatelská jména, umístění kanceláře a telefonní čísla. Toto je verze firemního telefonního seznamu ze 70. let. Když byl Unix navržen, očekávalo se, že lidé, kteří mají účet na stejném stroji, budou členy stejné organizace (kolegové, spolužáci atd.).
Pokud si nepřejete, aby vaši uživatelé měli přístup k tomuto druhu informací, neukládejte je do databáze uživatelů. Uživatelé mohou upravovat své osobní údaje pomocí chfn příkaz.
Pokud si nepřejete, aby vaši uživatelé věděli něco o ostatních uživatelích, včetně toho, že jim neumožníte seznam uživatelských účtů, nastavte každému uživateli samostatné virtuální prostředí.
Odpověď
Musím souhlasit. /etc/passwd již nějakou dobu neobsahuje velmi citlivá data. Věřím, že /etc/shadow je místo, kde by měla být uložena spousta dat, která je třeba chránit.
Komentáře
- Stínový soubor je jako hlavní soubor passwd, ale ukládá skutečná hesla (v hašované a solené podobě). Nevím ' nevím, jestli ' existuje něco jiného, co můžete skrýt ve stínu – myslím, že všechny ostatní informace v passwd jdou do hlavní soubor, který je ' čitelný pro všechny místní uživatele.