Die Standardberechtigungen für Ubuntu-Distributionen (oder sogar einige BSD-Distributionen) für die /etc/passwd -Dateien sind 644.
In Fragen wie this wird darauf hingewiesen, dass /etc/passwd ist eine Art Benutzerdatenbank und es ist praktisch, sie allgemein lesbar zu machen.
Diese Datei kann jedoch auch (möglicherweise) reservierte Informationen über die Benutzer in der Feld GECOS . Sollten diese Informationen nicht trotzdem geschützt werden?
Oder gibt es eine andere Möglichkeit (neuer als GECOS), diese Art von Daten werbesicher zu speichern?
Kommentare
- Können Sie ein Beispiel für " reservierte " Informationen in GECOS angeben?
Antwort
Es gibt mehrere neuere Möglichkeiten zum Speichern dieser Art von Daten, einschließlich, aber nicht beschränkt auf LDAP und NIS. Die Frage, die Sie stellen müssen Fragen Sie, warum es in /etc/passwd überhaupt private Informationen gibt.
Antwort
Die persönlichen Daten in /etc/passwd sind Benutzernamen, Bürostandorte und Telefonnummern. Dies ist die 1970er-Version des Unternehmenstelefonbuchs. Als Unix entwickelt wurde, wurde erwartet, dass Personen, die ein Konto auf demselben Computer haben, Mitglieder derselben Organisation sind (Kollegen, Kommilitonen usw.).
Wenn Sie nicht möchten, dass Ihre Benutzer auf diese Art von Informationen zugreifen können, speichern Sie sie nicht in der Benutzerdatenbank. Benutzer können ihre persönlichen Informationen mit der chfn bearbeiten Befehl.
Wenn Sie nicht möchten, dass Ihre Benutzer etwas über andere Benutzer wissen, einschließlich der Nichtzulassung der Benutzerkonten, richten Sie für jeden Benutzer eine separate virtuelle Umgebung ein.
Antwort
Ich müsste zustimmen. /etc/passwd enthält seit einiger Zeit keine sehr vertraulichen Daten mehr. Ich glaube, in /etc/shadow sollten viele Daten gespeichert werden, die geschützt werden müssen.
Kommentare
- Die Schattendatei ähnelt der Hauptdatei passwd, speichert jedoch die tatsächlichen Kennwörter (in gehashter und gesalzener Form). Ich ' weiß nicht, ob es ' noch etwas gibt, das Sie im Schatten verstecken können – ich denke, alle anderen Informationen in passwd gehen in den Hauptbereich Datei, die ' für alle lokalen Benutzer lesbar ist.