it-swarm-es.tech

¿Desventajas de umask 077?

¿Cuáles son las desventajas de tener una umask restrictiva de 077? Muchas distribuciones (creo que todas, excepto Red Hat) tienen una umask predeterminada de 022, configurada en/etc/profile. Esto parece demasiado inseguro para un sistema que no es de escritorio, al que acceden varios usuarios, y la seguridad es motivo de preocupación.

En una nota relacionada, en Ubuntu, los directorios de inicio de los usuarios también se crean con 755 permisos, y el instalador afirma que esto es para facilitar que los usuarios compartan archivos. Suponiendo que los usuarios se sientan cómodos estableciendo permisos a mano para compartir archivos, esto no es un problema.

¿Qué otras desventajas hay?

15
K. Norbert

022 facilita las cosas. 077 hace que las cosas sean menos convenientes, pero dependiendo de las circunstancias y el perfil de uso, puede que no sea menos conveniente que tener que usar Sudo.

Yo diría que, como Sudo, el beneficio de seguridad real y medible que obtiene de esto es insignificante en comparación con el nivel de dolor que se inflige a sí mismo y a sus usuarios. Como consultor, se me ha despreciado por mis opiniones sobre Sudo y se me ha desafiado a romper numerosas configuraciones de Sudo, y todavía no me ha tomado más de 15 segundos hacerlo. Tu llamada.

Conocer umask es bueno, pero es solo un Corn Flake en el "desayuno completo". Tal vez debería preguntarse: "Antes de empezar a jugar con las configuraciones predeterminadas, cuya consistencia deberá mantenerse en todas las instalaciones, y que deberá documentarse y justificarse para las personas que no son tontas, ¿qué comprará esto? ¿yo?"

Umask también es un bash integrado que los usuarios individuales pueden configurar en sus archivos de inicialización de Shell (~/.bash*), por lo que no es posible hacer cumplir fácilmente el umask. Es solo un valor predeterminado. En otras palabras, no te está comprando mucho.

15
jonesy

La desventaja más obvia es cuando comienza a crear archivos/directorios en un directorio compartido, esperando que otros usuarios accedan a ellos.

Por supuesto, es solo cuestión de no olvidar configurar la umask correcta antes de hacer cosas que deben ser compartidas por todos los usuarios.

Otra advertencia (que no es realmente una desventaja, una vez que se da cuenta) es cuando comienza a hacer cosas de Sudo, como instalar programas locales, Ruby gems, python huevos (obviamente, no los paquetes de gestión del sistema operativo), la creación de archivos de configuración, etc.

Te meterás en problemas porque la umask es heredada por la sesión de Sudo, por lo que solo el root podrá acceder a los archivos/directorios que crees. Sudo se puede configurar para establecer automáticamente la umask de la forma que desee: esta pregunta se trata en superuser.com .

2
zarkdav

Umask no sería apropiado si está tratando de controlar lo que otros usuarios pueden ver entre sí. Sin embargo, si tiene y trabaja con numerosos archivos que son sensibles hasta el punto de que pedir permiso para acceder a ellos es menos molesto/arriesgado que simplemente dejar que las personas vean lo que quieran, entonces una umask de 077 sería una buena idea.

Tengo algunos archivos confidenciales en un servidor de archivos que administro. Creo que establecer una umask restrictiva y luego tener un script periódico, tal vez un trabajo cron para establecer permisos más específicos para elementos en ciertas carpetas sería una solución ideal para mí. Cuando configure esto, volveré a publicar aquí y les haré saber cómo funcionó.

@ [Los chicos que critican a Sudo] Inicie un nuevo hilo para él, podría tomar varios hilos propios y este hilo es sobre umask.

1
Sqeaky

Las aplicaciones de terceros que utilizan sus propios sistemas de instalación pueden tener suposiciones integradas sobre la máscara de usuario predeterminada del sistema.

Como ejemplo práctico, después de actualizar una base de datos Oracle 10 en un sistema que tenía el umask establecido en 077, las aplicaciones en el mismo sistema no pudieron acceder a la base de datos ... porque las bibliotecas esenciales para los clientes de la base de datos y los directorios las bibliotecas estaban ubicados, ahora estaban protegidos para que solo el usuario Oracle pudiera acceder a ellos, que obviamente no era como se suponía que funcionaban las cosas.

Resulta que el proceso de actualización de Oracle no se encargó específicamente de que los permisos de las bibliotecas cliente permitieran que otros usuarios las usaran, sino que se basó en la suposición de que los archivos agregados por el actualizador se crearían con umask 022 y, por lo tanto, serían utilizables. por defecto. Después de unos juiciosos chmod -R a+rX comandos para los directorios apropiados, todo estaba bien nuevamente.

Por supuesto, esto podría haberse evitado tratando la cuenta Oracle como una cuenta de sistema especial con umask 022 estándar, y restringiendo la umask 077 a cuentas de usuario que realmente pueden iniciar sesión ... pero creo que esta es una buena ejemplo de cómo las decisiones generales de "endurecimiento" pueden tener efectos secundarios imprevistos.

.rpm y .deb Los paquetes contienen información de permiso explícita para los archivos que contienen, por lo que generalmente no tienen el riesgo de errores de este tipo.

1
telcoM

Causará problemas en un servidor; por ejemplo, cuando se ejecutan varias aplicaciones como usuarios diferentes que intentan acceder a archivos de diferentes usuarios. Como Apache leyendo archivos de configuración o pi-hole leyendo dnsmasq.conf. Simplemente ejecútelo en usuarios que podrían beneficiarse de él, como directorios de inicio individuales, no establecidos explícitamente en /etc/profile.

0
arst

Tengo esta línea en mi ~/.zshrc

umask 0077

configurarlo globalmente probablemente no sea una buena idea, pero configurarlo como predeterminado en su archivo rc probablemente no hará daño o incluso establecerlo como predeterminado en el /etc/skel/.rc expediente. Sin embargo, todo el sistema causará problemas.

0
xenoterracide