De standaard permissies op Ubuntu (of zelfs sommige BSD) distributies voor de /etc/passwd bestand zijn 644.

In vragen als dit wordt erop gewezen dat /etc/passwd is een soort gebruikersdatabase en het is handig om het universeel leesbaar te maken.

Maar dit bestand kan ook (mogelijk) gereserveerde informatie bevatten over de gebruikers in de GECOS veld. Moeten deze informatie toch niet worden beschermd?

Of is er een andere manier (nieuwer dan GECOS) om dit soort gegevens veilig op te slaan?

Opmerkingen

  • Kunt u een voorbeeld geven van " gereserveerde " informatie in GECOS?

Antwoord

Er zijn meerdere nieuwere manieren om dit soort gegevens op te slaan, inclusief maar niet beperkt tot LDAP en NIS. De vraag die u moet stellen vraag is waarom er in de eerste plaats “privé-informatie in /etc/passwd staat.

Antwoord

De persoonlijke gegevens in /etc/passwd zijn gebruikersnamen, kantoorlocaties en telefoonnummers. Dat is de versie uit de jaren 70 van het bedrijfstelefoonboek. Toen Unix werd ontworpen, werd verwacht dat mensen met een account op dezelfde machine lid zouden zijn van dezelfde organisatie (collegas, medestudenten, enz.).

Als u niet wilt dat uw gebruikers toegang hebben tot dat soort informatie, sla het dan niet op in de gebruikersdatabase. Gebruikers kunnen hun persoonlijke informatie bewerken met de chfn commando.

Als u niet wilt dat uw gebruikers iets over andere gebruikers weten, inclusief hen niet toestaan om de gebruikersaccounts te vermelden, stel dan een aparte virtuele omgeving in voor elke gebruiker.

Answer

Ik ben het ermee eens. /etc/passwd bevat al een tijdje geen erg gevoelige gegevens. Ik denk dat /etc/shadow is waar veel gegevens moeten worden beschermd die moeten worden beschermd.

Opmerkingen

  • Het schaduwbestand is als het hoofdpasswd-bestand, maar slaat de werkelijke wachtwoorden op (in een gehashte en gezouten vorm). Ik ' weet niet of er ' iets anders is dat je in de schaduw kunt verbergen – ik denk dat alle andere informatie in het wachtwoord in het hoofdmenu terechtkomt bestand dat ' leesbaar is voor alle lokale gebruikers.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *