As permissões padrão nas distribuições Ubuntu (ou mesmo em alguns BSD) para as /etc/passwd arquivo são 644.

É apontado em questões como isso que /etc/passwd é uma espécie de banco de dados do usuário e é conveniente torná-lo universalmente legível.

Mas esse arquivo também pode conter (possivelmente) informações reservadas sobre os usuários em Campo GECOS . Essas informações não deveriam ser protegidas de qualquer maneira?

Ou existe outra maneira (mais recente do que o GECOS) para armazenar esse tipo de dado de forma segura?

Comentários

  • Você pode fornecer um exemplo de informações " reservadas " no GECOS?

Resposta

Existem várias maneiras mais recentes de armazenar esse tipo de dados, incluindo, mas não se limitando a LDAP e NIS. A pergunta que você precisa perguntar é por que há informações privadas em /etc/passwd em primeiro lugar.

Resposta

Os dados pessoais em /etc/passwd são nomes de usuário, endereços de escritórios e números de telefone. Essa é a versão dos anos 1970 da lista telefônica da empresa. Quando o Unix foi projetado, esperava-se que as pessoas que tivessem uma conta na mesma máquina fossem membros da mesma organização (colegas, colegas estudantes, etc.).

Se você não deseja que seus usuários tenham acesso a esse tipo de informação, não armazene no banco de dados do usuário. Os usuários podem editar suas informações pessoais com o chfn .

Se você não quiser que seus usuários saibam nada sobre outros usuários, incluindo não permitir que eles listem as contas de usuário, configure um ambiente virtual separado para cada usuário.

Resposta

Eu teria que concordar. /etc/passwd não contém dados muito confidenciais há algum tempo. Acredito que /etc/shadow é onde muitos dados que precisam ser protegidos devem ser armazenados.

Comentários

  • O arquivo shadow é como o arquivo passwd principal, mas armazena as senhas reais (em forma de hash e sal). Não ' não sei se há ' mais alguma coisa que você possa esconder na sombra – acho que todas as outras informações no passwd vão para o arquivo que ' pode ser lido por todos os usuários locais.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *