it-swarm-ko.tech

umask 077의 단점?

제한적 umask가 077 인 단점은 무엇입니까? 많은 배포판 (Red Hat을 제외한 모든 배포판)에는/etc/profile에 구성된 기본 umask가 022입니다. 이는 여러 사용자가 액세스하는 비 데스크톱 시스템에 너무 안전하지 않은 것처럼 보이며 보안이 우려됩니다.

관련 메모에서 Ubuntu에서 사용자의 홈 디렉토리도 755 권한으로 생성되며 설치 프로그램은 사용자가 파일을 더 쉽게 공유 할 수 있도록합니다. 사용자가 파일을 공유하기 위해 권한을 직접 설정하는 것이 편하다고 가정하면 문제가되지 않습니다.

다른 단점이 있습니까?

15
K. Norbert

022는 일을 편리하게 만듭니다. 077은 일을 덜 편리하게 만들지 만 상황과 사용 프로필에 따라 Sudo를 사용하는 것보다 덜 편리하지 않을 수도 있습니다.

Sudo와 같이 이로 인해 얻을 수있는 실질적이고 측정 가능한 보안 이점은 자신과 사용자에게 가해지는 고통의 수준에 비해 미미합니다. 컨설턴트로서 저는 Sudo에 대한 내 견해에 경멸을 당했고 수많은 Sudo 설정을 깨뜨리는 데 도전을 받았지만 아직 그렇게하는 데 15 초 이상 걸리지 않았습니다. 당신의 전화.

umask에 대해 아는 것은 좋지만 "완전한 아침 식사"에서 단 하나의 옥수수 조각 일뿐입니다. 아마도 당신은 스스로에게 질문해야 할 것입니다. "기본 구성을 다루기 전에, 그 일관성은 설치 전반에 걸쳐 유지되어야하며, 바보가 아닌 사람들에게 문서화되고 정당화되어야 할 것입니다. 이것이 무엇을 살 것인가? 나를?"

Umask는 또한 셸 초기화 파일 (~/.bash*)에서 개별 사용자가 설정할 수있는 bash 내장형이므로 umask를 쉽게 적용 할 수 없습니다. 그것은 단지 기본값입니다. 즉, 그것은 당신을 많이 사지 않습니다.

15
jonesy

가장 명백한 단점은 공유 디렉토리에서 파일/디렉토리를 생성하기 시작하여 다른 사용자가 액세스 할 것으로 예상 할 때입니다.

물론 모든 사용자가 공유해야하는 작업을 수행하기 전에 올바른 umask를 설정하는 것을 잊지 않는 것이 문제입니다.

또 다른주의 사항 (실제로 단점은 아님)은 로컬 프로그램 설치와 같은 Sudo 작업을 시작할 때입니다. Ruby gems, python) 계란 (OS 관리 패키지가 아님), 구성 파일 생성 등.

Umask가 Sudo 세션에 상속되어 문제가 발생하므로 루트 만 생성 한 파일/디렉터리에 액세스 할 수 있습니다. Sudo는 원하는 방식으로 umask를 자동으로 설정하도록 구성 할 수 있습니다. 이 질문은 superuser.com에서 다룹니다 .

2
zarkdav

다른 사용자가 서로 볼 수있는 내용을 제어하려는 경우 Umask는 적합하지 않습니다. 그러나 액세스 권한을 요청받는 것이 사람들이 원하는 것을 보는 것보다 덜 귀찮거나 위험하다는 점에 민감한 많은 파일을 가지고 작업하는 경우 077의 umask보다 좋은 생각입니다.

내가 관리하는 파일 서버에 민감한 파일이 있습니다. 제한적인 umask를 설정 한 다음 정기적 인 스크립트, 특정 폴더의 항목에 대한보다 구체적인 권한을 설정하는 크론 작업이 이상적인 솔루션이라고 생각합니다. 이 설정을하면 여기에 다시 게시하고 어떻게 작동하는지 알려 드리겠습니다.

@ [The guys bashing Sudo] 그것을 위해 새로운 쓰레드를 시작하세요. 그것은 자신의 여러 쓰레드를 취할 수 있으며이 쓰레드는 umask에 관한 것입니다.

1
Sqeaky

자체 설치 시스템을 사용하는 타사 응용 프로그램에는 시스템 기본 umask에 대한 기본 가정이있을 수 있습니다.

실제 예로서, umask가 077로 설정된 시스템에서 Oracle 10 데이터베이스를 업데이트 한 후 동일한 시스템의 애플리케이션이 데이터베이스에 액세스하지 못했습니다. 데이터베이스 클라이언트에 필수적인 라이브러리와 라이브러리가있는 디렉토리 Oracle 사용자 만 액세스 할 수 있도록 보호되었습니다.

오라클 업데이터 프로세스는 클라이언트 라이브러리의 권한이 다른 사용자가이를 사용할 수 있도록 허용하는 것을 특별히 신경 쓰지 않고 대신 업데이터가 추가 한 파일이 umask 022로 생성되어 사용할 수 있다는 가정에 의존했습니다. 기본적으로. 적절한 디렉토리에 대해 몇 가지 신중한 chmod -R a+rX 명령을 실행 한 후 모든 것이 다시 정상화되었습니다.

물론, Oracle 계정을 표준 umask 022를 사용하는 특수 시스템 계정으로 처리하고 umask 077을 실제로 로그인 가능한 사용자 계정으로 만 제한하여 피할 수 있었지만, 이것이 좋은 것 같습니다. 포괄적 인 "강화"결정이 예상치 못한 부작용을 일으킬 수있는 방법의 예입니다.

.rpm.deb 패키지에는 포함 된 모든 파일에 대한 명시적인 권한 정보가 포함되어 있으므로 일반적으로 이러한 유형의 오류 위험이 없습니다.

1
telcoM

서버에 문제가 발생합니다. 예를 들어, 여러 응용 프로그램을 다른 사용자로 실행하는 경우 다른 사용자의 파일에 액세스하려고합니다. Apache 읽기 구성 파일 또는 pi-hole 읽기 dnsmasq.conf와 같습니다. /etc/profile에 명시 적으로 설정하지 않고 개별 홈 디렉토리처럼 이점을 얻을 수있는 사용자에게 실행하면됩니다.

0
arst

~/.zshrc에이 줄이 있습니다.

umask 0077

전역으로 설정하는 것은 좋은 생각이 아니지만 rc 파일의 기본값으로 설정하는 것은 아마 /etc/skel/.rc 파일의 기본값으로 설정하거나 손상시키지 않을 것입니다. 시스템 전체가 문제를 일으킬 수 있습니다.

0
xenoterracide