Permisiunile implicite pentru distribuțiile Ubuntu (sau chiar unele BSD) pentru /etc/passwd file are 644.
Este subliniat în întrebări precum this că /etc/passwd este un fel de bază de date pentru utilizatori și este convenabil să fie citită universal.
Dar acest fișier poate conține, de asemenea, (posibil) informații rezervate despre utilizatori din Câmpul GECOS . Aceste informații nu ar trebui oricum protejate?
Sau există o altă modalitate (mai nouă decât GECOS) de a stoca acest tip de date securizate la publicitate?
Comentarii
- Puteți furniza un exemplu de informații " rezervate " în GECOS?
Răspuns
Există mai multe moduri mai noi de stocare a acestui tip de date, inclusiv dar fără a se limita la LDAP și NIS. Întrebarea pe care trebuie să o întrebarea este de ce există informații private în /etc/passwd în primul rând.
Răspunde
Datele personale din /etc/passwd sunt nume de utilizatori, locații de birouri și numere de telefon. Aceasta este versiunea din anii 1970 a agendei telefonice a companiei. Când a fost proiectat Unix, era de așteptat ca persoanele care au un cont pe aceeași mașină să fie membri ai aceleiași organizații (colegi, colegi studenți etc.).
Dacă nu doriți ca utilizatorii dvs. să aibă acces la acest tip de informații, nu le stocați în baza de date a utilizatorilor. Utilizatorii își pot edita informațiile personale cu chfn comanda.
Dacă nu doriți ca utilizatorii dvs. să știe nimic despre ceilalți utilizatori, inclusiv să nu le permiteți listarea conturilor de utilizator, configurați un mediu virtual separat pentru fiecare utilizator.
Răspuns
Ar trebui să fiu de acord. /etc/passwd nu conține date foarte sensibile de ceva vreme. Cred că /etc/shadow este locul unde ar trebui stocate o mulțime de date care trebuie protejate.
Comentarii
- Fișierul umbră este ca fișierul principal passwd, dar stochează parolele reale (într-o formă hash și sărată). Nu ' nu știu dacă mai există ' ceva ce poți ascunde în umbră – cred că toate celelalte informații din passwd intră în principal fișier care ' este lizibil pentru toți utilizatorii locali.