Standardbehörigheterna för Ubuntu (eller till och med vissa BSD) -distributioner för /etc/passwd -fil är 644.
Det påpekas i frågor som detta att /etc/passwd är en slags användardatabas och det är bekvämt att göra den allmänt läsbar.
Men den här filen kan också innehålla (möjligen) reserverad information om användarna i GECOS -fält. Borde inte denna information ändå skyddas?
Eller finns det ett annat sätt (nyare än GECOS) att lagra annonssäker sådan typ av data?
Kommentarer
- Kan du ge ett exempel på " reserverad " information i GECOS?
Svar
Det finns flera nyare sätt att lagra denna typ av data, inklusive men inte begränsat till LDAP och NIS. Frågan du måste fråga är varför det finns privat information i /etc/passwd i första hand.
Svar
Personuppgifterna i /etc/passwd är användarnamn, kontorsplatser och telefonnummer. Det är 1970-talsversionen av företagets telefonbok. När Unix designades förväntades man att personer som har ett konto på samma maskin skulle vara medlemmar i samma organisation (kollegor, studiekamrater etc.).
Om du inte vill att dina användare ska ha tillgång till den typen av information, spar inte den i användardatabasen. Användare kan redigera sin personliga information med chfn kommando.
Om du inte vill att dina användare ska veta något om andra användare, inklusive att inte tillåta dem att lista användarkontona, ska du skapa en separat virtuell miljö för varje användare.
Svar
Jag måste hålla med. /etc/passwd har inte innehöll särskilt känsliga data på ett tag nu. Jag tror att /etc/shadow är där massor av data som behöver skyddas ska lagras.
Kommentarer
- Skuggfilen är som den huvudsakliga passwd-filen, men lagrar de faktiska lösenorden (i en hashad och saltad form). Jag vet inte ' om det finns ' något annat du kan dölja i skugga – jag tror att all annan information i passwd går in i huvudmenyn fil som ' är läsbar för alla lokala användare.