LINUX.ORG.RU

Подстава с правами

 ,


0

1

Привет! Я как-то совершенно случайно для себя обнаружил, что в убунте каждому пользователю доступны для чтения домашние директории других пользователей.

Гугл говорит, что это довольно известная вещь.

Но блин, получается, что если есть потенциально зловредная программа, но с нужным функционалом, то бесполезно ее запускать из отдельного пользователя, т.к. она все равно сможет прошпионить.

Конечно, можно руками прописать права на пользовательские папки, однако подобный подход к безопасности сильно напрягает.

Какие дистры есть на выбор, в которых к безопасности относятся не так безалаберно?


а как в ubuntu с новыми пользователями*? создаёшь нового юзера и ему сразу «включается» sudo и т.д.? или нужно добавлять ему полномочий?

anymouze ★★
()
Ответ на: комментарий от anonymous

спасибо за корректировку.

Ну, дефолты могут вызвать споры. Например, слабая безопасность по дефолту не гуд. Поэтому, я и подумал, что это убунтовская фича, мол, что бы юзвери не теряли свои фоточки, насоздавав юзеров для домашних, а затем пытаясь достать из /home/mama/Pictures…

Deleted
()
Ответ на: комментарий от anonymous

Ты не понял. Проблем-то нет, конечно.

Проблема в том, что непонятно, почему это не сделано по умолчанию. А также то, почему разрабы дистра так наплевательски относятся к безопасности.

И сколько еще подобных дыр оставлено в системе?

я ведь совершенно случайно узнал об этой особенности, мне даже в голову не могло придти что такое могут зачем-то сделать.

f95-2
() автор топика

Не бреши ерунду винда такая же если не хуже , папка бравузера все равно доступна тебе и создателям этого бравузера через всякие джс

anonymous
()
Ответ на: комментарий от f95-2

«не всё потеряно»©

безопасность это забота пользователя (и не только в Ubuntu). Начинающие пользователи Ubuntu, обычно про «права и полномочия» и не слыхали... А про то, что Ubuntu это как Windows «только лучше» они уже в курсе :)

anymouze ★★
()
Ответ на: комментарий от anonymous

Кто о чем, а вшивый о бане.

При чем тут винда?

f95-2
() автор топика

Начал думать о безопасности? Всегда проверяй.

umask

boowai ★★★★
()
Ответ на: комментарий от anonymous

факт. Чай, не лихие девяностые, а все фото всех мамок на порнохабе давно. Тем больше причин не делать такую дыру как сабж

Deleted
()
Ответ на: комментарий от anonymous

Не бреши ерунду винда такая же

4.2, в винде домашние каталоги пользователей по умолчанию недоступны другим пользователям.

h578b1bde ★☆
()

С подключением

https://bugs.launchpad.net/ubuntu/ source/adduser/ bug/48734

бесполезно ее запускать из отдельного пользователя, т.к. она все равно сможет прошпионить

Ты ещё про иксы узнай, что можно слушать весь ввод, ибо нет изоляции

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)

Там же пользователю можно шифровать домашнюю папку в убунте

votafak ★★★★★
()
Ответ на: комментарий от h578b1bde

Как раз таки линуксу пофиг на виндовые права я из под рута карал Винду с её не до правами так что ещё скажешь ? Так что Линус это мощь

anonymous
()
Ответ на: комментарий от anonymous

Как раз таки линуксу пофиг на виндовые права я из под рута карал Винду с её не до правами так что ещё скажешь ? Так что Линус это мощь

Фигня твой линукс, там NTFS можно монтировать лишь в RO иначе гигтег капут. Поэтому и запилили не умеющий даже в права тормозной ntfs-3g в юзерспейсе.

h578b1bde ★☆
()

ChromeOS, там обязательный cryptohome с ключами в TPM.

если есть потенциально зловредная программа

Традиционные линуксы затачивались под установку опенсорца из официальных репозиториев, где такое не пропустят ментейнеры. Для стороннего софта пилят sandboxing в snap/flatpak, там неймспейс не даст в корневую систему ходить (если разработчик осилил порталы и хороший манифест). А если ставишь левый софт из deb/rpm - так малвари проще просто от рута в postinst скрипте червь закрепить.

snizovtsev ★★★★★
()

Если в /etc/login.defs выставить

UMASK           077
домашние каталоги начинают создаваться с правами 700.

spirit ★★★★★
()

Какие дистры есть на выбор, в которых к безопасности относятся не так безалаберно?

qubes os
/thread

Deleted
()

Но блин, получается, что если есть потенциально зловредная программа, но с нужным функционалом, то бесполезно ее запускать из отдельного пользователя,

Не надо её запускать. А если надо, то ты всё равно ей запретишь. И вообще это всё прошлый век, для таких игрушек контейнеры придумали.

Dispetcher14 ★★★★★
()
Ответ на: комментарий от Dispetcher14

А если надо, то ты всё равно ей запретишь

И каким образом? Я, в общем-то, и хотел запретить ей путем запуска от другого пользователя.

И вообще это всё прошлый век, для таких игрушек контейнеры придумали

Контейнер - это виртуалка? Так это как будто из пушки по воробьям.

f95-2
() автор топика
Ответ на: комментарий от anonymous

Ты хоть пробовал ту систему выше по ссылке ?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.