限制性 umask 为 077 有什么缺点?很多发行版(我相信所有发行版,除了 Red Hat?)都有一个默认的 umask 022,在 /etc/profile 中配置。对于多个用户访问的非桌面系统来说,这似乎太不安全了,安全性值得关注。
与此相关的是,在 Ubuntu 上,用户的主目录也是使用 755 权限创建的,安装程序声明这是为了让用户更容易共享文件。假设用户愿意手动设置权限来共享文件,那么这不是问题。
还有什么其他缺点?
答案1
022 让事情变得方便。 077 使事情变得不太方便,但根据情况和使用情况,它可能并不比必须使用sudo.
我认为,与sudo您给自己和用户带来的痛苦相比,您从中获得的实际的、可衡量的安全收益可以忽略不计。作为一名顾问,我因自己的观点而受到蔑视sudo,并被挑战去打破无数的sudo设置,而我还没有花费超过 15 秒的时间来做到这一点。你的来电。
了解umask固然好,但它只是“完整早餐”中的一块玉米片。也许你应该问自己“在我搞砸默认配置之前,需要在安装过程中保持其一致性,并且需要记录下来并向那些不傻的人证明是合理的,这会买什么?”我?”
Umask 也是一个 bash 内置程序,可由各个用户在其 shell 初始化文件 ( ~/.bash*) 中设置,因此您实际上无法轻松地强制执行umask.这只是默认值。换句话说,它并没有给你带来太多好处。
答案2
最明显的缺点是当您开始在共享目录中创建文件/目录并期望其他用户访问它们时。
当然,这只是在执行需要由所有用户共享的操作之前不要忘记设置正确的 umask 的问题。
另一个警告(一旦您意识到这一点,这并不是真正的缺点)是当您开始执行 sudo 操作时,例如安装本地程序、ruby gems、python Eggs(显然不是操作系统管理包)、创建配置文件等。
你会遇到麻烦,因为 umask 是由 sudo 会话继承的,因此只有 root 才能访问你创建的文件/目录。 sudo 可以配置为按照您想要的方式自动设置 umask:superuser.com 上涵盖了这个问题。
答案3
如果您试图控制其他用户可以互相看到的内容,则 Umask 不合适。然而,如果您拥有并使用大量敏感文件,以至于请求访问它们的权限比让人们看到他们想要的任何内容更不麻烦/风险更大,那么 umask 077 将是一个好主意。
我管理的文件服务器上有一些敏感文件。我认为设置一个限制性的 umask 然后有一个定期脚本,也许一个 cron 作业来为某些文件夹中的项目设置更具体的权限对我来说是一个理想的解决方案。当我设置这个时,我会发回这里,并让您知道它是如何工作的。
@[那些抨击 sudo 的人]为其启动一个新线程,它可能需要它自己的多个线程,并且该线程是关于 umask 的。
答案4
我的里面有这条线~/.zshrc
umask 0077
全局设置它可能不是一个好主意,但是将其设置为 rc 文件中的默认值可能不会造成损害,甚至将其设置为文件中的默认值/etc/skel/.rc。但系统范围内会引起问题。