Standard tillatelser på Ubuntu (eller til og med noen BSD) distribusjoner for /etc/passwd
fil er 644.
Det blir påpekt i spørsmål som dette at /etc/passwd
er en slags brukerdatabase og det er praktisk å gjøre den universell lesbar.
Men denne filen kan også inneholde (muligens) reservert informasjon om brukerne i GECOS -feltet. Skal ikke denne informasjonen allikevel beskyttes?
Eller er det en annen måte (nyere enn GECOS) å lagre annoncesikker denne typen data?
Kommentarer
- Kan du gi et eksempel på " reservert " informasjon i GECOS?
Svar
Det er flere nyere måter å lagre denne typen data på, inkludert men ikke begrenset til LDAP og NIS. Spørsmålet du må spør er hvorfor det er privat informasjon i /etc/passwd
i utgangspunktet.
Svar
Personopplysningene i /etc/passwd
er brukernavn, kontorsteder og telefonnumre. Det er 1970-tallsversjonen av selskapets telefonbok. Da Unix ble designet, var det forventet at folk som hadde en konto på samme maskin, ville være medlemmer av samme organisasjon (kolleger, studenter osv.).
Hvis du ikke vil at brukerne skal ha tilgang til den slags informasjon, må du ikke lagre den i brukerdatabasen. Brukere kan redigere deres personlige informasjon med chfn
kommandoen.
Hvis du ikke vil at brukerne skal vite noe om andre brukere, inkludert å ikke tillate dem å liste opp brukerkontoer, kan du sette opp et eget virtuelt miljø for hver bruker.
Svar
Jeg må være enig. /etc/passwd
har ikke inneholdt veldig sensitive data på en stund nå. Jeg mener at /etc/shadow
er der mange data som må beskyttes skal lagres.
Kommentarer
- Skyggefilen er som den viktigste passwd-filen, men lagrer de faktiske passordene (i en hash og saltet form). Jeg vet ikke ' om det ' er noe annet du kan skjule i skyggen – jeg tror all annen informasjon i passwd går inn i fil som ' er lesbar for alle lokale brukere.